mercoledì 11 febbraio 2015

PHISHING: SE L'HACKER SVUOTA IL CONTO LA BANCA RIMBORSA?


Con il passare degli anni l’utilizzo dei servizi bancari online è aumentato a dismisura: sempre di più, infatti, i clienti effettuano operazioni bancarie da casa o dall’ufficio, mediante una connessione ad internet. Comodo, questo è vero: è indubbio il risparmio di tempo e anche di denaro per il cliente, visto che queste operazioni hanno in genere costi nettamente inferiori rispetto a quelle effettuate direttamente allo sportello. Comodo ma anche rischioso: sono numerosi, per l’appunto, gli utenti del servizio di home banking che si sono visti defraudare delle somme depositate sul conto ad opera di hackers che hanno adoperato tecniche di phishing, al fine di carpire informazioni personali e dati finanziari per compiere il reato. La domanda che dobbiamo allora porci è la seguente: può la banca essere chiamata a rimborsare il correntista quando questo è stato vittima dei “pirati informatici”? Per rispondere a questa domanda, prendiamo spunto da una vicenda esaminata dal Tribunale di Milano…

IL FATTO Due correntisti si sono visti letteralmente prosciugare il proprio conto, in sei giorni, a seguito di ripetute operazioni disposte da ignoti riusciti a penetrare nel servizio di home banking, tramite tecniche di phishing. Ebbene, non appena le malcapitate vittime si sono accorte delle movimentazioni non autorizzate, si sono adoperate tempestivamente a disconoscere tali operazioni e a sporgere denuncia all’autorità giudiziaria. Vanificato ogni tentativo di accordo con la banca per la restituzione del maltolto, ai poveretti non è rimasta altra via che citare in giudizio l’istituto creditizio, contestando a quest’ultimo, l’omessa adozione di idonee misure di protezione del sistema informatico. Prima di analizzare la decisione del giudice meneghino, ritengo, tuttavia, doveroso spendere due parole, anche per coloro che hanno meno dimestichezza con i sistemi informatici, sul fenomeno noto come phishing.

MA COS’È IL PHISHING? Non è nient’altro che un tipo di truffa online effettuata in internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso. Come può accadere tutto ciò? Il malintenzionato (chiamato phisher) effettua un invio massivo di messaggi di posta elettronica che imitano, nell’aspetto e nel contenuto, messaggi legittimi di fornitori di servizi; questi messaggi fraudolenti richiedono in genere di fornire informazioni riservate come, ad esempio, il numero della carta di credito o la password per accedere ad un determinato servizio. Il phisher utilizza, poi, questi dati per acquistare beni, trasferire somme di denaro, o anche per perpetrare ulteriori attacchi.

ALCUNI PICCOLI ACCORGIMENTI Innanzitutto, attenzione ai siti nei quali inseriamo i nostri dati; se volete verificare l’autenticità del sito esiste un trucco molto semplice: inserite nel sito che state visitando una password sbagliata al primo tentativo; se il sito la riconosce come sbagliata, il sito è autentico e possiamo digitare la seconda volta la password giusta. Se invece ricevete una e-mail con richiesta di fornire dati personali, numeri di conto, password o carta di credito, è buona norma, prima di cancellare l’e-mail, inoltrarne una copia alle autorità competenti (polizia postale) e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti. E soprattutto, tenete presente che nessuna banca o istituto vi chiederebbe mai i codici personali attraverso una richiesta via e-mail! Mai, le banche contattano i loro clienti direttamente, in particolar modo per queste operazioni così riservate. Se volete verificare quasi in tempo reale i movimenti del vostro conto corrente, molte istituti di credito offrono un servizio di SMS alert, mediante il quale potete essere avvisati ogni volta in cui viene effettuato un movimento sul vostro conto. Ma ora, torniamo al caso dei due correntisti e vediamo come è andata a finire…

I DANNI DA PHISHING SONO RISARCIBILI Dunque, ricapitolando: nel caso sopra riportato, i due correntisti si sono visti svuotare il conto corrente da ignoti hacker, i quali sono riusciti a penetrare nel servizio home banking ed a compiere numerose operazioni fraudolente per un importo complessivo di oltre 10.000,00 Euro. Ora la domanda è solo una e semplice: nel caso di truffe di questa specie, la Banca può essere ritenuta responsabile in qualche misura? Il Tribunale di Milano, nella recente sentenza del 04 dicembre 2014 non ha dubbi: la Banca può essere ritenuta responsabile per carenza di adeguate misure di sicurezza, ancor di più quando queste siano state adottate dagli altri operatori all’epoca delle indebite intrusioni. In particolare, il Giudice ha correttamente evidenziato che l’istituto bancario chiamato in giudizio non si era ancora adeguato agli standard di sicurezza adottati dalle principali banche europee, omettendo, ad esempio, di utilizzare sistemi di autenticazione denominati OTP (One Time Password), in grado di generare password usa e getta, comunemente utilizzati per tutelare i clienti delle banche dai phishing. La Banca, pertanto, è stata ritenuta responsabile per la truffa perpetrata ai clienti, ai sensi dell’art. 1176, II comma del codice civile, secondo il quale, “nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata”.

ANCHE ALTRE DECISIONI SONO A FAVORE DEL CLIENTE La violazione dell’obbligo, di fonte negoziale, di adottare, o comunque fornire al proprio cliente, le misure tecniche più idonee ad evitare che terzi potessero venire a conoscenza in modo fraudolento delle credenziali che consentivano di utilizzare il servizio di home banking, è venuta parimenti in rilievo nei casi decisi da altri Tribunali (Tribunale di Firenze, Sentenza del 20 maggio 2014; Tribunale di Verona, Sentenza del 2 ottobre 2012; Tribunale di Nocera Inferiore, Sentenza del 18 febbraio 2011). Anche in questi casi, la clientela del servizio di home banking non era stata dotata di dispositivi in grado di generare una password usa e getta (OTP); a questa infrazione se ne affiancava una ulteriore consistente nel non essersi attivato tempestivamente dopo le prime operazioni sospette. Meritano di essere rimarcate anche alcune decisioni nelle quali l’istituto di credito è stato condannato per mancato rispetto della disciplina in materia di protezione dei dati personali (Tribunale di Siracusa, Sentenza del 15 marzo 2012; Tribunale di Palermo, Sentenza dell’11 giugno 2011). 

IN CONCLUSIONE Sicuramente va riconosciuto che tali pronunce meritano un plauso per aver colto in maniera ineccepibile e inconfutabile l’aspetto più rilevante della tutela da porre in essere nelle operazioni compiute tramite home banking. Poiché gli istituti di credito incentivano e caldeggiano in ogni modo l’uso degli strumenti informatici per la gestione delle operazioni bancarie è necessario che questi si facciano carico dei rischi che non sono in grado di gestire attraverso sistemi di sicurezza adeguati. In sintesi non è giusto che il rischio ricada sul correntista che, seppur fruisce di una comodità, non è in grado di gestire in modo appropriato questi attacchi provenienti da web. Ciò premesso, non posso esimermi dal raccomandare a tutti coloro che utilizzano i servizi home banking, apparentemente sicuri, di tenere ben presenti gli accorgimenti sopra evidenziati.


Avvocato Roberto Carniel – Studio Comite