Le truffe informatiche: il Fishing

Le truffe informatiche: il Fishing

di Severino Coladonato

Versione PDF del documento

L’utilizzo massivo delle nuove tecnologie nei servizi di pagamento – fenomeno in realtà promosso dagli stessi istituti di credito che beneficiano di una ovvia e sensibile riduzione dei costi dall’impiego di tali sistemi –  ha favorito l’aumento esponenziale delle “truffe informatiche” e/o dei tentativi di intromissioni indebite nei sistemi dei prestatori dei servizi di pagamento.

Volume consigliato

La responsabilità nei nuovi reati informatici

La responsabilità nei nuovi reati informatici

Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alfonso Contaldo, Alessandra Cortese, 2020, Maggioli Editore

L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica. Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo...



Cos’è il Fishing?

Uno dei sistemi più comuni e insidiosi di intromissioni indebite nei sistemi dei prestatori dei servizi di pagamento è il c.d. Fishing: dall’inglese to fish, pescare, in italiano potremmo dire “far abboccare”. Questo tipo di truffa consiste nell’invio di e-mail o sms, apparentemente provenienti da Istituti di credito o società di e-commerce, che invitano la vittima a collegarsi a pagine internet – del tutto simili a siti istituzionali o aziendali – dalle quali verranno carpiti i loro dati riservati: credenziali per l’accesso a conti on-line, carte di credito e sistemi di pagamento tramite piattaforme e-commerce. Solitamente nel messaggio esca è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.  In realtà il sito a cui ci si collega, utilizzando il suddetto link, è  stato artatamente allestito identico a quello originale, tramite un malware specifico. Attraverso tale meccanismo, denominato “man in the browser”, che realizza l’interposizione fra il sistema centrale della banca e il software di navigazione del singolo utente (browser),  viene propinata all’ignaro utente una pagina video esattamente identica a quella che il medesimo è abituato a riconoscere in sede di accesso regolare al sito della propria banca o della propria area riservata della piattaforma e-commerce. L’utente, una volta  introdotto in un’ambiente identico in tutto e per tutto al sito istituzionale del proprio home banking ove lo stesso è solito operare (stessa grafica e medesimi colori aziendali), digiterà le proprie credenziali di accesso così consentendo la sottrazione di denaro da parte dei criminali informatici.

Cosa fare in caso di Fishing a proprio danno?

Una volta accortisi di aver dato le credenziali a quella che si credeva essere la propria banca e subito l’ammanco sul conto, bisogna provvedere a:

  1. Disconoscere l’operazione, recandosi immediatamente presso la banca, chiedendo nel contempo il rimborso della somma sottratta.
  2. Denunciare l’accaduto all’autorità di pubblica sicurezza più vicina (Polizia di Stato o Carabinieri).

La banca provvederà a rimborsare la somma sul conto corrente, avviando nel contempo un’istruttoria interna al fine di verificare se v’è stata colpa grave da parte del cliente. Nel caso in cui tale accertamento fosse a quest’ultimo sfavorevole, la banca provvederà ad addebitare nuovamente e definitivamente la somma precedentemente restituita. Ma attenzione: è la banca che dovrà dimostrare la colpa grave del cliente, provare in altri termini che non v’è stata truffa ai danni di quest’ultimo, ma soltanto imprudenza non scusabile o addirittura dolo da pare del cliente medesimo.

L’inversione dell’onere della prova a carico della banca.

La legge [1]prevede, infatti, che il disconoscimento dell’operazione fraudolenta da parte del cliente, determini l’inversione dell’onere probatorio: sarà l’istituto di credito, nella sua qualità di prestatore di servizi di pagamento, a dover dimostrare la riconducibilità dell’operazione contestata al proprio correntista, fornendo prova dei fatti idonei ad integrare la colpa grave del medesimo. La Cassazione in proposito ha statuito [2]che la responsabilità dell’intermediario in tali casi sia da ricondursi “nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente”. Ne consegue che la banca, cui è richiesta una diligenza di natura tecnica, (quella dell’accorto banchiere) è tenuta a fornire la prova della riconducibilità dell’operazione al cliente. Tale prova non può in alcun modo limitarsi a provare che l’operazione sia stata autorizzata tramite l’autenticazione a due fattori con metodo OTP, ben potendo avvenire la cattura dei codici da parte di terzi non autorizzati in presenza di un comportamento diligente del cliente.

La One Time Password, infatti, pur essendo notevolmente più sicura della password statica, in quanto richiede una tecnologia supplementare per poter essere utilizzata (un dispositivo fisico con la calcolatrice OTP incorporata, o un numero di cellulare specifico),  non può di per sé escludere la cattura dei codici da parte del truffatore informatico, anche in presenza di un autenticazione a due fattori con metodo OTP.

L’efficienza dei sistemi di sicurezza delle banche come argine alle aggressioni informatiche.

Da quanto in precedenza affermato costituisce preciso obbligo dell’intermediario il “costante ed effettivo monitoraggio dell’efficienza del sistema di sicurezza che, come tale, non può non tenere in debita considerazione l’evoluzione dei metodi di aggressione e la costante ricerca di soluzioni protese ad ovviarne o arginarne le offensive”.[3]

A tal proposito il Collegio di coordinamento dell’Arbitro Bancario Finanziario, in una sua recente decisione[4], ha escluso, la colpa grave dell’utente (financo la colpa lieve), traendo tale convincimento “dalla più che tempestiva attivazione della ricorrente che, accortasi qualche ora più tardi dell’intervenuta operazione non autorizzata, ha provveduto ad informare telefonicamente la banca per il blocco del bonifico, ha sporto il giorno successivo denuncia all’autorità di P.S. contestualmente formalizzando il reclamo di disconoscimento”.

Ad ulteriore conferma delle responsabilità di natura “tecnica” degli Istituti di Credito, la Banca d’Italia nel 2011 ha emanato un provvedimento [5]col quale impegna le banche ad aderire “a piattaforme tecniche che consentano ai propri clienti  di  effettuare pagamenti in rete in condizioni di elevata sicurezza”. I medesimi Istituti di credito saranno chiamati a gestire – ed eventualmente a rispondere – dei rischi associati alle tecnologie utilizzate, tra i quali:   malfunzionamenti  nei  sistemi  e  nei  processi  informatizzati interni; difetti delle procedure software e dei sistemi operativi; guasti dei componenti hardware; limitata capacita dei sistemi di elaborazione e trasmissione;  vulnerabilità delle reti di telecomunicazione; debolezza del sistema dei controlli e delle misure di sicurezza; sabotaggi; attacchi da parte di soggetti esterni,  tentativi di frode.”

Conclusione

Il cliente, dovrà usare ogni accortezza possibile nel custodire le proprie credenziali di accesso ai sistemi di pagamento al fine di andare esente da responsabilità la quale, comunque, sarà limitata al dolo o alla colpa grave. Al contrario gli istituti di credito, ai quali è richiesta la diligenza “tecnica” dell’accorto banchiere,  dovranno adottare tutte le soluzioni tecniche più idonee ad evitare i rischi di intrusione illegale connessi all’utilizzo delle proprie piattaforme informatiche da parte degli utenti.

Volume consigliato

La responsabilità nei nuovi reati informatici

La responsabilità nei nuovi reati informatici

Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alfonso Contaldo, Alessandra Cortese, 2020, Maggioli Editore

L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica. Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo...



Note

[1] Il D.lgs 11/2010, attuativo della direttiva n. 2007/64/CE, all’art. 10 in caso di disconoscimento di un’operazione di pagamento, pone a carico della banca i seguenti oneri probatori:

  1. L’intermediario deve provare “che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
  2. A seguito dell’eventuale prova di cui sopra, l’apparente autenticazione non è necessariamente sufficiente a dimostrane la riconducibilità all’utilizzatore che la disconosca;
  3. E’ onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.”

[2] Cass. Civ. Sez. VI- 1 Ordinanza n. 9158 del 12.04.2018 la responsabilità dell’intermediario sia da ricondursi “nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità dell’utilizzo dei codici di accesso  al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.

[3] Collegio di Roma A.B.F. decc. Nn. 2264/2012, 2660/2012, 1910/2012

[4] Collegio di coordinamento dell’Arbitro Bancario Finanziario, decisione n. 3498 del 26 ottobre 2012

[5] Provvedimento attuativo della Banca d’Italia 5.7.2011 in tema di sicurezza al punto 3.1 testualmente prescrive: “Avuto riguardo agli obiettivi di regolare funzionamento del sistema dei pagamenti nonchè di tutela della fiducia degli utilizzatori nel ricorso ai servizi compresi nell’ambito di applicazione del  Decreto, i prestatori di servizi di  pagamento  assicurano  che le soluzioni tecniche adottate per l’esercizio  dell’attività siano  presidiate gestendo i rischi associati alle tecnologie utilizzate”.

 

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto della settimana 
in una pratica email  direttamente nella tua casella di posta elettronica!

Non abbandonare Diritto.it
senza iscriverti alla newsletter!