Phishing bancario: quando la truffa corre su internet

Alzi la mano chi non ha mai ricevuto un messaggio di posta elettronica o un sms contenente il nome o il logo di istituti bancari, talvolta anche il link di collegamento ad un sito clone identico a quello dell’istituto di credito cui si è registrati, con cui si chiede al destinatario di accedere al proprio account e fornire informazioni personali, dati finanziari o addirittura codici per l’esecuzione di operazioni sul proprio conto.

Se è successo anche a voi, allora siete stati vittima di phishing!

Il termine phishing (variante di fishing, letteralmente pescare in lingua inglese) identifica le frodi informatiche, caratterizzate dall’invio di messaggi di posta elettronica o sms ingannevoli, finalizzati a sottrarre i dati sensibili del destinatario e impiegarli fraudolentemente.

La responsabilità degli istituti di credito

Il fenomeno del phishing è in continua crescita e ciò, è dovuto al fatto che in una realtà sempre più connessa la maggior parte delle transazioni finanziarie viene conclusa online, attraverso i servizi messi a disposizione dalle Banche, come l’home banking, che ci consentono di gestire in maniera semplice il nostro conto corrente comodamente a casa dal nostro smartphone.

Le Banche, in questo modo, dispongono dei dati personali dei propri clienti, dovendone assicurare un’adeguata protezione al fine di evitare che gli stessi vengano fraudolentemente carpiti da soggetti terzi per il compimento di attività illecite.

Ci si chiede, pertanto, se gli istituti di credito vadano incontro a profili di responsabilità nel caso in cui non adottino le misure di sicurezza più adeguate alla protezione dei dati personali dei propri correntisti, al fine di prevenire il compimento di frodi informatiche ai loro danni.

Per rispondere a questa domanda, dobbiamo necessariamente volgere lo sguardo alla normativa europea e nazionale sulla protezione dei dati personali, alla quale devono ispirarsi i fornitori di servizi di pagamento nonché, alle più recenti pronunce giurisprudenziali dalle quali emerge una tendenza ad assicurare maggiori tutele nei confronti degli utenti ed obblighi di protezione sempre più stringenti in capo agli istituti di credito.

La normativa sulla protezione dei dati personali

Il Codice in materia di protezione dei dati personali (D.lgs. n. 196/2003) – sul presupposto che le attività di trattamento dei dati personali sono da intendersi come pericolose ai sensi dell’art. 2050 c.c. – prevede all’art. 15 un obbligo di risarcimento in capo a chi cagiona un danno per effetto del trattamento dei dati personali.

Si tratta nello specifico di una responsabilità oggettiva posta a carico dei prestatori del servizio, i quali per potersene liberare devono dimostrare non soltanto di aver adottato tutte le misure offerte dalla tecnica e a propria disposizione idonee ad evitare il danno, non essendo sufficiente a tal fine la prova di non aver violato norme giuridiche e di comune prudenza; ma altresì, di aver osservato quella diligenza qualificata ex art. 1176, co. 2 c.c. che si richiede all’accorto banchiere, da cui l’istituto di credito va esente solo fornendo la prova positiva di una causa esterna ad essa non imputabile – ovvero un fatto naturale, un fatto del terzo o dello stesso danneggiato – che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell’esercente l’attività pericolosa.

Con l’introduzione del nuovo GDPR 2016/679 (Regolamento generale sulla protezione dati), gli obblighi in capo ai titolari di dati personali sono stati ulteriormente rafforzati.

Il principale riferimento normativo è l’art. 32, che obbliga il titolare ed il responsabile del trattamento dei dati a mettere in atto misure tecniche e organizzative adatte a garantire un livello di sicurezza adeguato al rischio, tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento.

Viene introdotto, inoltre, all’art. 82 un obbligo di risarcimento in capo al titolare o al responsabile del trattamento dei dati nei confronti di chiunque subisca un danno, materiale o immateriale, causato da una violazione del Regolamento.

A tutela della vittima di phishing è intervenuto anche il D.Lgs. 11/2010 – attuativo della Direttiva Europea 2007/64/CE (conosciuta come PSD – Payment Services Directive) adesso sostituita dalla Direttiva 2015/2366/UE (cosiddetta PSD2) sui servizi di pagamento del mercato interno – che all’art. 11 pone a carico del prestatore di servizi di pagamento l’onere di rimborsare al cliente l’importo dell’operazione di pagamento non autorizzata.

La citata normativa europea prevede obblighi ancora più rigorosi e pregnanti nei confronti del prestatore dei servizi di pagamento, il quale – ove siano disposte ed eseguite operazioni non autorizzate da parte del cliente – deve provare che l’operazione di pagamento è stata autenticata, corret­tamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

L’art. 10 del citato decreto avverte, inoltre, che l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé sufficiente a dimostrare che l’operazione di pagamento sia stata autorizzata dal cliente, né che questi abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, ai suoi obblighi, incombendo sul prestatore di servizi di pagamento l’onere di fornire la prova contraria.

Cosa dice la giurisprudenza

Al quadro normativo, nazionale ed europeo, come sopra delineato si sono ispirate le più recenti pronunce giurisprudenziali, che sostanzialmente tendono a riconoscere una responsabilità oggettiva degli istituti di credito in caso di operazioni non riconducibili alla volontà del cliente correntista effettuate per il tramite di strumenti elettronici.

Tale responsabilità, infatti, rientra nell’area del rischio professionale dell’istituto di credito, al quale è richiesta una diligenza tecnica specifica – da valutarsi secondo il parametro dell’accorto banchiere nell’adempimento del contratto – che impone allo stesso l’adozione di tutte le misure di sicurezza più appropriate a garantire la sicurezza del servizio, verificando la riconducibilità delle operazioni alla volontà del cliente correntista (cfr. Cassazione Civile, Sez. VI, 12/04/2018, n. 9158).

Con una recente pronuncia, la Corte di Cassazione – nell’affrontare il caso di una correntista che agiva in giudizio contro Poste Italiane s.p.a. per ottenere la condanna al risarcimento della somma fraudolentemente sottratta dal suo conto – ha precisato che “…la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell’utente” (Cassazione Civile, Sez. III, 05/07/2019, n. 18045).

La Banca pertanto, nel caso di operazioni effettuate con strumenti elettronici come l’home banking è tenuta a risarcire il danno patito dal correntista vittima di phishing, salvo che dimostri che il fatto sia attribuibile a dolo o colpa grave del cliente o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.

Sicchè, la responsabilità oggettiva del prestatore di servizi incontra un limite laddove venga accertata la condotta dolosa o gravemente colposa dell’utente, che può ad esempio configurarsi nel caso in cui il medesimo inserisca le proprie credenziali a seguito della ricezione di e-mail redatte con evidenti errori e lessico non corretto.

Sul punto, si registrano diverse pronunce dell’Arbitro Bancario Finanziario (cosiddetto ABF) – organismo deputato a risolvere in via stragiudiziale le controversie insorte tra clienti e operatori finanziari – che riconoscono la colpa grave dell’utente, qualora l’impiego di una “media diligenza” sia sufficiente a scongiurare il pericolo e ad impedire la truffa (cfr. ex multis, Decisione n. 1726 del 05.02.2020).

L’autenticazione a due o più fattori (Strong Customer Authentication)

E’ indispensabile, quindi, proteggere i nostri account e prestare attenzione ogni qualvolta accediamo al nostro conto corrente online, utilizziamo un servizio di pagamento elettronico o effettuiamo qualsiasi azione a distanza che possa comportare un rischio di frode.

La misura di sicurezza più importante per proteggere l’accesso ai nostri account, non solo quello bancario, è certamente la autenticazione forte a due o più fattori (conosciuta anche come SCA –Strong Customer Authentication), introdotta dalla citata Direttiva (UE) 2015/2366 nota come PSD2 all’art. 4, co. 30, che consiste in una autenticazione basata sull’uso di due o più elementi – classificati nelle categorie: a) della conoscenza (qualcosa che solo l’utente conosce), b) del possesso (qualcosa che solo l’utente possiede) e c) dell’inerenza (qualcosa che caratterizza l’utente), indipendenti tra loro, in quanto la violazione di uno non compromette l’affidabilità degli altri – concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.

Come funziona l’autenticazione a due o più fattori?

E’ semplice, quando eseguiamo l’autenticazione in qualunque servizio informatico, dopo aver inserito il nostro username dobbiamo autenticarci ovvero dimostrare la nostra identità.

L’autenticazione può esser eseguita con modalità diverse:

– la “conoscenza”, per esempio una password o il PIN;

– il “possesso”, ovvero uno strumento come lo smartphone, una smartcard o un token di sicurezza;

– la “inerenza”, vale a dire un dato biometrico, quale è ad esempio, l’impronta digitale, il timbro vocale, il viso o l’iride.

Si parla di autenticazione forte a due o più fattori quando – oltre all’utilizzo di almeno due dei tre fattori sopra elencati – i fattori utilizzati siano generati attraverso due modalità differenti tra le tre possibili.

Considerazioni finali

Non v’è dubbio che, se da un lato tutte le attività di trattamento dei dati personali sono classificate come pericolose e comportano rischi soprattutto per i prestatori di servizi online, dall’altro i vantaggi che ne derivano alla collettività sono evidenti.

E’ importante, pertanto, sviluppare dei processi che siano in grado nel tempo di assicurare adeguati sistemi di protezione dei dati sensibili che circolano in rete, minimizzando il rischio che tali dati vengano sottratti da terzi ed impiegati fraudolentemente a danno degli utenti.

Da questo punto di vista, sia la normativa europea e nazionale che la giurisprudenza – come abbiamo visto – stanno lavorando in sinergia per arginare fenomeni come il phishing, nell’ottica di assicurare una maggiore fiducia degli utenti nella sicurezza dell’online.

Ultimi Articoli inseriti

Annullabilità delle dimissioni rassegnate dal dipendente minacciato di licenziamento

25 Marzo 2024|Commenti disabilitati su Annullabilità delle dimissioni rassegnate dal dipendente minacciato di licenziamento

La Corte di Cassazione Civile - Sezione Lavoro, con la recente ordinanza numero 7190 del 18 marzo 2024, si è pronunciata sull’annullabilità delle dimissioni rassegnate dal lavoratore minacciato di licenziamento. La vicenda La fattispecie esaminata [...]

“One shot” provvedimentale e lode agli esami di maturità

22 Marzo 2024|Commenti disabilitati su “One shot” provvedimentale e lode agli esami di maturità

Il Tribunale Amministrativo della Campania, con sentenza del 19 febbraio 2024 numero 1176, nel decidere una controversia in materia di mancata attribuzione della lode agli esami di maturità, ha trattato il tema del cosiddetto one [...]

Le tappe operative della ZES Unica

20 Marzo 2024|Commenti disabilitati su Le tappe operative della ZES Unica

La Zona Economica Speciale per il Mezzogiorno - ZES Unica, di seguito denominata «ZES Unica» – che ricomprende i territori delle regioni Abruzzo, Basilicata, Calabria, Campania, Molise, Puglia, Sicilia, Sardegna – è stata istituita dal [...]

About the Author: Martina Trombetta

Condividi

Phishing bancario: quando la truffa corre su internet

Published On: 9 Marzo 2022

Alzi la mano chi non ha mai ricevuto un messaggio di posta elettronica o un sms contenente il nome o il logo di istituti bancari, talvolta anche il link di collegamento ad un sito clone identico a quello dell’istituto di credito cui si è registrati, con cui si chiede al destinatario di accedere al proprio account e fornire informazioni personali, dati finanziari o addirittura codici per l’esecuzione di operazioni sul proprio conto.

Se è successo anche a voi, allora siete stati vittima di phishing!

Il termine phishing (variante di fishing, letteralmente pescare in lingua inglese) identifica le frodi informatiche, caratterizzate dall’invio di messaggi di posta elettronica o sms ingannevoli, finalizzati a sottrarre i dati sensibili del destinatario e impiegarli fraudolentemente.

La responsabilità degli istituti di credito

Il fenomeno del phishing è in continua crescita e ciò, è dovuto al fatto che in una realtà sempre più connessa la maggior parte delle transazioni finanziarie viene conclusa online, attraverso i servizi messi a disposizione dalle Banche, come l’home banking, che ci consentono di gestire in maniera semplice il nostro conto corrente comodamente a casa dal nostro smartphone.

Le Banche, in questo modo, dispongono dei dati personali dei propri clienti, dovendone assicurare un’adeguata protezione al fine di evitare che gli stessi vengano fraudolentemente carpiti da soggetti terzi per il compimento di attività illecite.

Ci si chiede, pertanto, se gli istituti di credito vadano incontro a profili di responsabilità nel caso in cui non adottino le misure di sicurezza più adeguate alla protezione dei dati personali dei propri correntisti, al fine di prevenire il compimento di frodi informatiche ai loro danni.

Per rispondere a questa domanda, dobbiamo necessariamente volgere lo sguardo alla normativa europea e nazionale sulla protezione dei dati personali, alla quale devono ispirarsi i fornitori di servizi di pagamento nonché, alle più recenti pronunce giurisprudenziali dalle quali emerge una tendenza ad assicurare maggiori tutele nei confronti degli utenti ed obblighi di protezione sempre più stringenti in capo agli istituti di credito.

La normativa sulla protezione dei dati personali

Il Codice in materia di protezione dei dati personali (D.lgs. n. 196/2003) – sul presupposto che le attività di trattamento dei dati personali sono da intendersi come pericolose ai sensi dell’art. 2050 c.c. – prevede all’art. 15 un obbligo di risarcimento in capo a chi cagiona un danno per effetto del trattamento dei dati personali.

Si tratta nello specifico di una responsabilità oggettiva posta a carico dei prestatori del servizio, i quali per potersene liberare devono dimostrare non soltanto di aver adottato tutte le misure offerte dalla tecnica e a propria disposizione idonee ad evitare il danno, non essendo sufficiente a tal fine la prova di non aver violato norme giuridiche e di comune prudenza; ma altresì, di aver osservato quella diligenza qualificata ex art. 1176, co. 2 c.c. che si richiede all’accorto banchiere, da cui l’istituto di credito va esente solo fornendo la prova positiva di una causa esterna ad essa non imputabile – ovvero un fatto naturale, un fatto del terzo o dello stesso danneggiato – che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell’esercente l’attività pericolosa.

Con l’introduzione del nuovo GDPR 2016/679 (Regolamento generale sulla protezione dati), gli obblighi in capo ai titolari di dati personali sono stati ulteriormente rafforzati.

Il principale riferimento normativo è l’art. 32, che obbliga il titolare ed il responsabile del trattamento dei dati a mettere in atto misure tecniche e organizzative adatte a garantire un livello di sicurezza adeguato al rischio, tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento.

Viene introdotto, inoltre, all’art. 82 un obbligo di risarcimento in capo al titolare o al responsabile del trattamento dei dati nei confronti di chiunque subisca un danno, materiale o immateriale, causato da una violazione del Regolamento.

A tutela della vittima di phishing è intervenuto anche il D.Lgs. 11/2010 – attuativo della Direttiva Europea 2007/64/CE (conosciuta come PSD – Payment Services Directive) adesso sostituita dalla Direttiva 2015/2366/UE (cosiddetta PSD2) sui servizi di pagamento del mercato interno – che all’art. 11 pone a carico del prestatore di servizi di pagamento l’onere di rimborsare al cliente l’importo dell’operazione di pagamento non autorizzata.

La citata normativa europea prevede obblighi ancora più rigorosi e pregnanti nei confronti del prestatore dei servizi di pagamento, il quale – ove siano disposte ed eseguite operazioni non autorizzate da parte del cliente – deve provare che l’operazione di pagamento è stata autenticata, corret­tamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

L’art. 10 del citato decreto avverte, inoltre, che l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé sufficiente a dimostrare che l’operazione di pagamento sia stata autorizzata dal cliente, né che questi abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, ai suoi obblighi, incombendo sul prestatore di servizi di pagamento l’onere di fornire la prova contraria.

Cosa dice la giurisprudenza

Al quadro normativo, nazionale ed europeo, come sopra delineato si sono ispirate le più recenti pronunce giurisprudenziali, che sostanzialmente tendono a riconoscere una responsabilità oggettiva degli istituti di credito in caso di operazioni non riconducibili alla volontà del cliente correntista effettuate per il tramite di strumenti elettronici.

Tale responsabilità, infatti, rientra nell’area del rischio professionale dell’istituto di credito, al quale è richiesta una diligenza tecnica specifica – da valutarsi secondo il parametro dell’accorto banchiere nell’adempimento del contratto – che impone allo stesso l’adozione di tutte le misure di sicurezza più appropriate a garantire la sicurezza del servizio, verificando la riconducibilità delle operazioni alla volontà del cliente correntista (cfr. Cassazione Civile, Sez. VI, 12/04/2018, n. 9158).

Con una recente pronuncia, la Corte di Cassazione – nell’affrontare il caso di una correntista che agiva in giudizio contro Poste Italiane s.p.a. per ottenere la condanna al risarcimento della somma fraudolentemente sottratta dal suo conto – ha precisato che “…la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell’utente” (Cassazione Civile, Sez. III, 05/07/2019, n. 18045).

La Banca pertanto, nel caso di operazioni effettuate con strumenti elettronici come l’home banking è tenuta a risarcire il danno patito dal correntista vittima di phishing, salvo che dimostri che il fatto sia attribuibile a dolo o colpa grave del cliente o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.

Sicchè, la responsabilità oggettiva del prestatore di servizi incontra un limite laddove venga accertata la condotta dolosa o gravemente colposa dell’utente, che può ad esempio configurarsi nel caso in cui il medesimo inserisca le proprie credenziali a seguito della ricezione di e-mail redatte con evidenti errori e lessico non corretto.

Sul punto, si registrano diverse pronunce dell’Arbitro Bancario Finanziario (cosiddetto ABF) – organismo deputato a risolvere in via stragiudiziale le controversie insorte tra clienti e operatori finanziari – che riconoscono la colpa grave dell’utente, qualora l’impiego di una “media diligenza” sia sufficiente a scongiurare il pericolo e ad impedire la truffa (cfr. ex multis, Decisione n. 1726 del 05.02.2020).

L’autenticazione a due o più fattori (Strong Customer Authentication)

E’ indispensabile, quindi, proteggere i nostri account e prestare attenzione ogni qualvolta accediamo al nostro conto corrente online, utilizziamo un servizio di pagamento elettronico o effettuiamo qualsiasi azione a distanza che possa comportare un rischio di frode.

La misura di sicurezza più importante per proteggere l’accesso ai nostri account, non solo quello bancario, è certamente la autenticazione forte a due o più fattori (conosciuta anche come SCA –Strong Customer Authentication), introdotta dalla citata Direttiva (UE) 2015/2366 nota come PSD2 all’art. 4, co. 30, che consiste in una autenticazione basata sull’uso di due o più elementi – classificati nelle categorie: a) della conoscenza (qualcosa che solo l’utente conosce), b) del possesso (qualcosa che solo l’utente possiede) e c) dell’inerenza (qualcosa che caratterizza l’utente), indipendenti tra loro, in quanto la violazione di uno non compromette l’affidabilità degli altri – concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.

Come funziona l’autenticazione a due o più fattori?

E’ semplice, quando eseguiamo l’autenticazione in qualunque servizio informatico, dopo aver inserito il nostro username dobbiamo autenticarci ovvero dimostrare la nostra identità.

L’autenticazione può esser eseguita con modalità diverse:

– la “conoscenza”, per esempio una password o il PIN;

– il “possesso”, ovvero uno strumento come lo smartphone, una smartcard o un token di sicurezza;

– la “inerenza”, vale a dire un dato biometrico, quale è ad esempio, l’impronta digitale, il timbro vocale, il viso o l’iride.

Si parla di autenticazione forte a due o più fattori quando – oltre all’utilizzo di almeno due dei tre fattori sopra elencati – i fattori utilizzati siano generati attraverso due modalità differenti tra le tre possibili.

Considerazioni finali

Non v’è dubbio che, se da un lato tutte le attività di trattamento dei dati personali sono classificate come pericolose e comportano rischi soprattutto per i prestatori di servizi online, dall’altro i vantaggi che ne derivano alla collettività sono evidenti.

E’ importante, pertanto, sviluppare dei processi che siano in grado nel tempo di assicurare adeguati sistemi di protezione dei dati sensibili che circolano in rete, minimizzando il rischio che tali dati vengano sottratti da terzi ed impiegati fraudolentemente a danno degli utenti.

Da questo punto di vista, sia la normativa europea e nazionale che la giurisprudenza – come abbiamo visto – stanno lavorando in sinergia per arginare fenomeni come il phishing, nell’ottica di assicurare una maggiore fiducia degli utenti nella sicurezza dell’online.

About the Author: Martina Trombetta