Phishing e bonifici non autorizzati, come tutelarsi?

La Suprema Corte ha chiarito con l’ordinanza 9158/2018 che nelle operazioni effettuate tramite strumenti elettronici (home banking), è dovere dell’istituto di credito verificare, con la diligenza  professionale dell’accorto banchiere, la riconducibilità delle stesse alla volontà del cliente.

L’uso di codici di accesso al sistema da parte di terzi non autorizzati rientra nel rischio prevedibile ed evitabile del prestatore di servizi di pagamento, per cui l’istituto deve adottare misure tecniche appropriate a tutela del correntista.

La banca non sarà responsabile del danno patito dal cliente, soltanto quando avrà dimostrato che il fatto sia attribuibile al dolo del titolare oppure a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Fuori da questi casi, invece, sarà obbligo della banca risarcire il cliente.

Ma cerchiamo di capire meglio in cosa consista la truffa in esame, precisando alcuni termini tecnici.

Cos’è la “Home Banking”?

La home banking è un servizio molto utile che è stato introdotto grazie alla diffusione di Internet e che rende più veloce e semplice la gestione delle proprie risorse. Con questo sistema è possibile accedere al proprio conto, fare bonifici o altre operazioni direttamente da casa o dai nostri smartphone.

Tuttavia, con la crescita di Internet sono anche cresciute le truffe on line che hanno messo a repentaglio la sicurezza della home banking a causa dell’attività di phishing.

Cos’è il Phishing?

Il phishing è una particolare tipologia di truffa realizzata su Internet attraverso l’inganno degli utenti e si realizza, principalmente, mediante email ingannevoli.

Nella casella di posta elettronica si riceve un e-mail che sembra essere inoltrata dal proprio istituto di credito. Il messaggio riferisce problemi di registrazione o di altra natura ed invita a fornire i dati personali riservati per l’accesso.

Nel messaggio è indicato un collegamento (link) che sembra rimandare al sito web dell’istituto, ma soltanto apparentemente perché, in realtà, è stato artificiosamente riprodotto dai criminali.

Tuttavia, nel momento in cui l’utente inserisce le proprie credenziali, queste saranno nella disponibilità dei cyber-criminali il cui scopo è quello di ottenere i dati per l’accesso (user id e password) per poi utilizzarli al fine di sottrarre la liquidità.

Introdotto il tema, adesso esaminiamo nel dettaglio la fattispecie concreta oggetto della pronuncia della Suprema Corte.

La fattispecie

Nella fattispecie in esame, due correntisti convenivano in giudizio le Poste Italiane Spa per un bonifico non autorizzato di 5.500,00 euro a favore di un terzo soggetto a loro sconosciuto.

I correntisti disconoscevano l’operazione sostenendo di non averla effettuata e richiedono alle Poste il riaccredito della somma, mentre l’istituto di credito, di contro, affermava che il fatto fosse avvenuto a causa della condotta negligente delle vittime, che avevano incautamente fornito i dati di accesso ai truffatori.

Secondo Poste, non sussisteva a suo carico l’obbligo di garantire tutti i clienti frodati, essendo invece questi ultimi gli unici responsabili della custodia ed utilizzo dei codici di accesso al servizio.

Onere della prova in capo alla banca: d.lgs 11/2010

La giurisprudenza già riteneva che la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientrasse nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente [2]. Tale principio è stato richiamato nuovamente dalla Suprema Corte  con l’ordinanza  n. 9158 del 12/04/2018.

In sostanza, si afferma che non è sufficiente che chi esegua l’operazione si limiti ad inserire le credenziali per garantire la volontarietà dell’azione. Serve un quid pluris per far si che l’istituto di credito possa accertare l’effettiva volontà del correntista.

Tale conclusione è coerente con quanto disposto del D.lgs. 11/2010 [3], in particolare con l’articolo 10, in base al quale deve essere la banca a dimostrare che l’operazione è stata compiuta dall’utilizzatore, nonché, con l’articolo 12, secondo cui per le perdite superiori a 150,00 euro è responsabile il prestatore del servizio, salvo dolo o colpa grave del cliente.

Home banking ed esercizio di attività pericolosa (art. 2050 c.c.)

I prestatori di servizi di pagamento (banche, poste, altri istituti di credito) che forniscono gli strumenti di home banking, disponendo di dati sensibili dei clienti, sono soggetti all’applicazione del Codice in materia di protezione dei dati personali [4].

In particolare, l’art. 15 del suddetto Codice prevede che “chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”.

L’art. 31 aggiunge poi che i dati personali oggetto di trattamento siano custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

L’intermediario deve fornire uno standard di sicurezza adeguato per evitare accessi, bonifici e pagamenti indesiderati. Pertanto, gli è richiesta, ai sensi dell’art. 1176, c. 2,  c.c. un adeguato livello di accortezza tecnica che “deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere”[5]

Quindi, alla luce di quanto detto, è obbligo dell’intermediario adottare la diligenza adeguata a prevenire l’illecita captazione di dati personali attraverso il phishing, al fine di evitare accessi e operazioni non autorizzate.

Qualora si verifichino tali eventi, il gestore risponde ex art. 2050 c.c., con il quale il legislatore ha posto una forma di responsabilità oggettiva per gli eventuali danni derivanti dall’esercizio di attività pericolose.

Per cui, il prestatore del servizio, per essere esente da responsabilità dovrà dimostrare non soltanto di aver adottato tutte le misure idonee ad evitare il danno, ma è tenuto a fornire anche la prova di una causa esterna: si pensi al fatto naturale, fatto del terzo, fatto dello stesso danneggiato che per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell’esercente l’attività pericolosa [6].

Conclusioni della Corte di Cassazione

In conclusione, si è affermato che la banca è tenuta a dotarsi di sistemi che permettano di verificare la riconducibilità delle operazioni alla volontà del cliente, evitando che estranei possano fare uso dei codici di accesso altrui.

Sicché, qualora il cliente contesti un’operazione, la banca dovrà riaccreditare le somme, salvo non provi di aver agito con la diligenza dell’accorto banchiere, adottando tutte le misure idonee a garantire la sicurezza dei sistemi che consentono le operazioni online e che l’evento sia stato cagionato con dolo o colpa grave del cliente.

Misure di sicurezza che riducono i rischi di phishing: Token e OTP

Il One Time Password (OTP) è una delle modalità di sicurezza più diffuse nei servizi home banking atte ad evitare i tentativi di phishing, consiste nella doppia autenticazione e nella conferma dell’operazione mediante pin inviato tramite sms al titolare del conto. Con un codice alfa numerico usa e getta vengono rese più sicure le transazioni.

In sostanza, non è sufficiente possedere soltanto le credenziali di accesso al servizio di home banking per compiere operazioni, questa andrà a buon fine solo dopo la digitalizzazione di un ulteriore pin temporaneo inviato tramite sms direttamente allo smartphone del cliente.

Altro strumento di frequente utilizzo è il Token, che è un dispositivo fisico, già in possesso del cliente stesso, che genera password ad intervalli di tempo.

Dunque, per concludere un operazione occorre essere in possesso del dispositivo fisico Token che genera la password temporanea e le credenziali di accesso al servizio.

Come tutelarsi dal phishing?

Bisogna stare molto attenti per evitare di essere truffati e tenere a mente che:

  1. gli istituti di credito non chiedono mai ai clienti di collegarsi al servizio di home banking attraverso e-mail, quindi non aprire i link e non inserire mai i dati richiesti;
  2. spesso vengono utilizzare e-mail artefatte che somigliano al sito dell’istituto di credito, pertanto bisogna saper riconoscere l’e-mail false. Esse spesso presentano errori di lingua, fanno riferimento a qualche vincita, alla richiesta di risoluzione di un problema di sicurezza. Alcune volte fanno leva sulla paura delle persone, come quelle che avvertono dell’immediata sospensione di un servizio se non si seguiranno le indicazioni date;
  3. controllate sempre che il dominio del mittente corrisponda a quello ufficiale;
  4. non bisogna mai cliccare su link sospetti o scaricare file allegati di dubbia provenienza.

Se siete stati vittima di phishing vi consigliamo invece di:

1. tentare di cambiare la password del proprio account;
2. contattare la banca affinché possa bloccare i servizi online coinvolti;
3. denunciare l’accaduto alla polizia postale, infatti il phishing integra i reati di frode informatica (640 ter c.p) e di trattamento illecito dei dati personali (167 codice della privacy).

Dott. Devin Migliore

______________________________________________________________________________

NOTE:

[1] Sul punto è da segnalare che l’ABF (Arbitro Bancario Finanziario), ossia un organismo preposto alla risoluzione stragiudiziale delle controversie insorte tra operatore finanziario e cliente, ha statuito che è gravemente colposa la condotta del correntista che inserisca le proprie credenziali quando l’e-mail è redatta con un italiano non corretto e lessico inadeguato, dal quale si renderebbe evidente lo scopo fraudolento.

È inoltre responsabile il cliente che cada reiteratamente in errore in e-mail palesemente false.

Ad eccezione dei “casi limite”, l’orientamento prevalente è diretto a tutelare il correntista e ad apporre la responsabilità in capo all’istituto di credito, poiché l’eventuale sottrazione delle credenziali rientra nel rischio professionale dell’erogatore dei servizi di pagamento.

[2] Corte Cass. 3 febbraio 2017 n. 2950.

[3] Il D.lgs. 11/2010 è attuativo della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno.

[4] D.lgs 196/2003

[5] Corte Cass. Sent. 12 giugno 2007 n. 13777; Corte Cass., Sez. I, sentenza 19 gennaio 2016 n. 806.

[6]  In tal senso, A. TORRENTE – P. SCHLESINGER, Manuale di diritto privato, Giuffrè, 2013, 875 ss.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...