Il Phishing

Un appello gravissimo è stato lanciato nei mesi scorsi dall’OMS che, dalle pagine del suo sito, denuncia e mette in allerta contro il fenomeno delle truffe informatiche realizzate con lo specifico scopo di ripulire i conti dei poveri malcapitati (https://www.who.int/about/communications/cyber-security).

L’espediente utilizzato è tanto ovvio quanto subdolo: chiedere donazioni finalizzate a sostenere l’emergenza sanitaria mondiale. Si utilizza la sensibilità e l’umana solidarietà per indegne opere di sciacallaggio.

Ma al pari, si sfrutta la fragilità e l’ansia dei risparmiatori e dei pensionati per indurli ad esempio a pagare in anticipo commissioni su mutui, riscuotere pensioni, rinegoziare prodotti finanziari, chiedere prestiti a buon mercato in un momento in cui la precarietà regna sovrana. E’ciò che pure emerge dalle denunce sempre crescenti presentate alla Polizia postale, che non manca di mettere in guardia i consumatori, soprattutto i meno esperti della navigazione on line.

(https://www.interno.gov.it/it/notizie/attenzione-frodi-informatiche-sul-coronavirus)

 

Phishing: email sospette

Qualunque sia il “nobile fine” escogitato dai cybercriminali, il sistema vincente ancora oggi è quello del phishing, ossia l’impiego di una email (ma anche di sms o messaggio whatsapp o di messenger) apparentemente uguale a quella di un ente, un istituto di credito, una società finanziaria nota al correntista, il quale, aprendola risponde a quanto richiesto fornendo credenziali in piena ingenuità.

La capacità di utilizzare un’interfaccia digitale uguale a quella nota alla vittima rende ovviamente difficilissimo accorgersi dell’inganno. Per quanto oggi si possa credere di sapere tutto in merito, in realtà i phishermen se ne inventano sempre una più del diavolo.

Phishing e altre truffe informatiche

Vi è da fare una breve quanto utile precisazione prima di affrontare altri profili di questo noto quanto attuale argomento.

Si parla sempre di phishing per riferirsi alle truffe on line relative all’home banking.

In realtà esistono altre forme di captazione informatica di credenziali: le due più sofisticate rispetto al phishing puro e semplice innanzi descritto sono il MITM (Man in the Middle) e il MITB (Man in the Browser), due tecniche di accesso al pc del correntista da parte di un soggetto estraneo.

Il MITM per definizione è “un dispositivo che, frapponendosi fra il computer del privato e quello della banca, imbroglia l’elenco telefonico di internet e fa indirizzare a un suo computer le richieste che l’utente indirizza alla banca”; il MITB è invece “un virus che si insinua nel programma che si usa per accedere a internet e che intercetta i dati mentre vengono digitati” (Tribunale di Milano, sez. IV, sent. 4.12.2014).

Orbene, è evidente che, rispetto al phishing, in queste ultime due ipotesi manca una compartecipazione (seppure inconsapevole) del correntista alla realizzazione della truffa.

Ma la banca quando paga?

La casistica giurisprudenziale mette bene in evidenza quando la banca sia tenuta a risarcire il danno al correntista che, senza aver dato disposizioni di bonifici o giroconti, si ritrova flussi in uscita anche consistenti e ripetuti a distanza di tempo ravvicinata che gli svuotano l’intero conto.

La regola generale è che, di fronte ad una denuncia di un cliente, che lamenta furto di credenziali e operazioni non autorizzate, la banca deve dimostrare di aver approntato i livelli massimi di sicurezza generalmente riconosciuti e comunemente adottati per impedire attacchi fraudolenti ai correntisti: in tal caso, la banca va esente da ogni responsabilità e non è tenuta a risarcire alcunchè. Ciò a maggior ragione in caso di incauta consegna delle credenziali da parte dello stesso correntista truffato.

OPT: sistema sicuro!

La giurisprudenza ha anche chiarito, a tal proposito, che gli standard di sicurezza ormai riconosciuti sono quelli connessi all’uso dei sistemi OTP (one time password), attualmente il metodo crittografico più sicuro per impedire attacchi pirata.

“Sin dal 2003 si stavano diffondendo nel mondo bancario delle tecniche specificamente messe a punto per prevenire gli attacchi dei programmi spia e del phishing … sulla base della constatazione che il pirata utilizzava i codici sottratti in un momento diverso da quello della sottrazione  … e che se fosse stato possibile abbinare a una transazione bancaria  un codice legato, non solo all’utente, ma anche all’istante in cui la transazione era svolta, anche se tutti i codici fossero stati rubati dal pirata, sarebbe stato impossibile per lui riutilizzarli una seconda volta in un secondo momento. Nascevano così le cd. Password usa e getta … tecnicamente OTP “One Time Password” , valido per pochi secondi da quando compare  … Al disporre di un’operazione il sistema chiede di introdurre l’OTP, che è generata in quell’istante  … Il sistema controlla che l’OTP immessa sia corrispondente a quella che quell’utente doveva immettere in quell’istante … se difforme, la transazione è rifiutata … in questo modo il ladro informatico, per operare la truffa, dovrebbe rubare anche il dispositivo generatore delle OTP, cosa impossibile per via informatica” (Trib. Milano cit.).

Responsabilità contrattuale della banca

La responsabilità della banca è stata inquadrata in origine nella responsabilità extracontrattuale ex art. 2050 cc, considerata la natura pericolosa dell’attività bancaria: le prime sentenza richiamavano gli artt. 15 e 31 del Codice sulla privacy (D. Lgs. 196 /2003) e quindi configuravano la condotta come illecito trattamento di dati personali. Poi, in realtà, la Cassazione prima e i tribunali poi si sono orientati per una responsabilità contrattuale (richiamando le norme sul mandato, ma anche quelle in materia di inadempimento contrattuale), basata sul principio generale di cui all’art. 1176 cc, ossia la responsabilità è in questo caso una responsabilità tecnica e specifica, ossia quella dell’accorto banchiere.

“In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del D.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente (Cass. 3 febbraio 2017, n. 2950)”  – Cassazione 12 aprile 2018 n. 9138, ordinanza.

Illeciti penali

Sul piano penale, si inquadra la fattispecie in varie tipologie delittuose: poiché solitamente il terzo che accede al conto dispone i bonifici in favore di un soggetto che a sua volta dirotta i soldi sul conto di un altro (di norma, un conto estero), trattenendo per sé una commissione (e correndo il rischio di essere chiamato in causa!), si parla di truffa, accesso abusivo informatico e falsificazione di comunicazioni informatiche, di associazione a delinquere e di riciclaggio di denaro.

Come difendersi da tutto ciò?

Sicuramente evitando di dar credito a email o messaggi provenienti da banche o enti che chiedono con urgenza di fornire credenziali o password: oggigiorno la propria banca invia comunicazioni solo attraverso l’account personale. Se si dovesse verificare un’illecita sottrazione di denaro dal proprio conto, denunciare prontamente alle autorità (sporgere denuncia-querela); contattare immediatamente la propria banca (che, tra l’altro dovrebbe essere ferratissima anche nell’assistenza clienti); se possibile, munire il proprio computer o il device da cui si effettuano operazioni di home banking di adeguati sistemi di antivirus; verificare che il dominio dell’ente che ha inviato email sia corrispondente proprio a quello istituzionale (controllare l’URL), ecc.

Insomma, occhio alle immagini, alle email, alle scritte, agli inviti insidiosi camuffati da buonismo!

© avv. Annunziata Candida Fusco

Riferimenti normativi e giurisprudenziali: Tribunale di Milano sentenza 4.12.2014; Tribunale di parma sentenza 1268del 2018; Cassazione sent. 3 febbraio 2017 n. 2950; Cass. Ord. 12.4.2018 n. 9138, D.lgs. 11/2010.