Criminalità informatica, Covid-19 e tutela del correntista
La criminalità informatica – come è noto – si evolve di continuo, studiando nuove tattiche e strategie per realizzare i propri obiettivi illegali.
La crisi economica costituisce un’occasione per arruolare nuove leve e la crisi pandemica, purtroppo, pure. Pertanto, durante questa pandemia, i criminali esperti di informatica si sono organizzati per sfruttare nuove e vecchie debolezze dei sistemi informatici a danno delle loro vittime quali consumatori e organizzazioni piccole, medie o complesse. In tale contesto i clienti degli istituti di credito sono stati tra i più bersagliati, subendo le frodi più svariate.
Dal tradizionale Phishing, noto fenomeno illecito diffusosi da almeno due decenni in tutto il mondo, nel quale il malintenzionato invia una e-mail di phishing (sinonimo di abboccamento) alla vittima chiedendole di inserire informazioni riservate (p.e. password) e il malcapitato, senza verificare la provenienza della e-mail, inserisce incautamente i dati riservati fornendo gli stessi a terzi non autorizzati; alle forme leggermente più evolute dello Smishing, nel quale i malintenzionati per truffare la vittima utilizzano non più l’e-mail ma un SMS. Il contenuto di tale SMS è piuttosto facile da scrivere, solitamente riporta un semplice link. Per maggiore chiarezza, di seguito si riporto di seguito un testo di Smishing piuttosto ricorrente: “nome dell’Istituto di credito: la sua carta è stata bloccata per mancata sicurezza web, per informazioni per proseguire tramite il portale indicato (link al portale dell’istituto di credito)”. Il testo scritto in italiano piuttosto stentato dovrebbe far sorgere qualche dubbio ma d’altra parte un SMS, essendo uno short message, è per sua natura molto sintetico; pertanto il destinatario, per evitare di cliccare sul link, dovrebbe solo riflettere sulla circostanza che un istituto non invia mai sms ai propri clienti. Purtroppo, si tratta di un’affermazione ripetuta e riportata su molti siti web degli istituti di credito. Tuttavia, vi sono evidenze per asserire il contrario atteso che diversi clienti ricevono comunicazioni in tale modalità.
Altro fenomeno di criminalità informatica che colpisce il correntista è il Vishing, ovvero una forma di Phishing che sfrutta i sistemi Voip (Voice Over Internet). Almeno in passato, alcuni istituti di credito utilizzavano un account Skype per facilitare la comunicazione con i clienti; tuttavia, sembra allo stato attuale che tale scelta sia stata ritenuta rischiosa comportando la disattivazione di questi canali di comunicazione. Per alcuni il Vishing ha acquisito anche un diverso significato, assimilabile al Voice Phishing[1], ma questo fenomeno – a parere di chi scrive – è diverso e dovrebbe essere tenuto distinto.
Infatti il Voice Phishing è una tecnica truffaldina, molto diffusa anche in Italia, che avviene tramite il camuffamento del numero di telefono: in tal senso anche la Federal Trade Commission (FTC) e la Federal Communications Commission (FCC) definiscono tale tecnica come Caller ID spoofing[2], dove il malintenzionato si presenta come operatore dell’istituto di credito, per esempio camuffando il numero verde dell’istituto di credito.
Altra tecnica che merita di essere menzionato è lo Spear Phishing, che consiste in una variante più insidiosa del Phishing tradizionale. Si tratta di un’azione mirata commessa da parte di malintenzionati nella quale gli stessi sfruttano informazioni relative alla vittima come, per esempio, il ruolo professionale o la qualifica aziendale, al fine di carpire illecitamente ulteriori informazioni riservate.
Con riguardo invece alle organizzazione professionali e aziendali, si sta diffondendo negli ultimi anni la “Truffa del CEO” (Chief Executive Officer). Si tratta di una frode che può essere considerata una variante dello Spear Phishing, in quanto il criminale informatico si presenta nelle vesti di un apparente Amministratore delegato o, comunque, di una figura apicale dell’organizzazione; l’impostore (apparente CEO) chiede di effettuare un bonifico motivato con una causale attinente alle normali operazioni contabili dell’organizzazione, o un’altra operazione economica apparentemente connessa alle attività professionali o aziendali. L’IBAN del beneficiario, tuttavia, si riferisce a un conto corrente nella disponibilità di terzi non autorizzati.
Questa frode oggi sfrutta, in particolare, il periodo della pandemia di Covid-19, ove l’aumento dello smart working facilita la realizzazione di tecniche di ingegneria sociale che ingannano l’amministrazione o l’ufficio di contabilità delle organizzazioni.
Il Pharming è invece il fenomeno informatico che prevede un dirottamento dell’utente – o, meglio, del traffico di rete dello stesso – da un URL (Uniform Resource Locator) a un altro sito fraudolento (o fake site), all’interno del quale l’utente ingannato inserisce dati riservati, facendo così in modo che i terzi non autorizzati possano carpire informazioni private.
Peraltro, vi sono altre azioni criminali ancora più insidiose, come il Man in the Middle (MITM); si tratta, in questo caso, di un attacco informatico nel quale un malintenzionato si inserisce nella comunicazione tra due soggetti. Tale tipo di attacco può essere particolarmente efficace anche nel settore bancario, potendo essere effettuato per manipolare o carpire informazioni tra l’istituto di credito e l’utente nell’ambito delle comunicazioni che avvengono nel servizio di internet banking. Il Man in the Browser può essere visto come una variante del MITM e si verifica quando viene inoculato un malware tramite il browser, consentendo al malintenzionato di carpire illecitamente informazioni riservate; anche questo attacco può essere realizzato nell’ambito di sistemi di internet banking, come evidenziato in pronunce giudiziarie ed arbitrali.
Infine, una frode diffusasi nell’ultimo decennio è la Sim Swap Fraud: si tratta di una frode informatica tra le più insidiose che si conoscano e colpisce in particolare i sistemi di autenticazione a due fattori (qualcosa che conosco e qualcosa che possiedo), tramite la disattivazione della sim card telefonica (c.d hijacking). Tale operazione consente ai malintenzionati di carpire le comunicazioni che avvengono tramite sms, si tratta di una frode particolarmente diffusa nell’ambito dei sistemi di internet banking nella quale il malintenzionato si presenta al dealer telefonico, con documenti di riconoscimento e talvolta con una denuncia contraffatta, chiedendo il duplicato della SIM.
Si tratta di una frode di una certa complessità tramite la quale il malintenzionato acquisisce, prima, i dati riservati della vittima e, successivamente, riesce a introdursi nel sistema internet banking grazie al possesso delle SIM presso la quale viene comunicata la password “usa e getta”, mentre la vittima rimane ignara dell’azione programmata dai criminali. Rivolgendosi all’operatore telefonico per denunciare il malfunzionamento della SIM, il correntista purtroppo si accorge solo successivamente (in genere dopo alcuni giorni, quando cerca senza successo di accedere al sistema di internet banking) delle operazioni avvenute sul proprio conto corrente.
Purtroppo, in tale contesto, il correntista vittima di frode si trova sfornito di tutele immediate: l’esperienza delle vittime mostra che il riaccredito immediato delle somme illegalmente sottratte viene infatti addebitato sul conto corrente, con grande stupore del correntista, mentre immediatamente dopo il disconoscimento dell’operazione di bonifico si trova di nuovo la somma accreditata da parte dell’istituto di credo con la clausola “salvo buon fine”.
Infatti, le modifiche apportate dalla riforma sui servizi di pagamento prevedono che, qualora il correntista disconosca l’operazione, l’istituto sia tenuto ad un accredito immediato. Tuttavia, al correntista – in via quasi ordinaria – viene comunicato che, dopo aver effettuato le verifiche e non aver riscontrato anomalie in ordine all’autenticazione alla regolare contabilizzazione delle stesse, vi sarà un riaddebito delle somme sottratte. Tale addebito è da intendersi di fatto, purtroppo, nell’ottica dell’istituto di credito, come riscontro di colpa grave del cliente che avrebbe in qualche modo concorso alla realizzazione della frode consentendo ai terzi di accedere incautamente alle proprie credenziali di autenticazione.
Tale interpretazione, accolta da numerosi istituti di credito, si ritiene non conforme alla recente riforma normativa in materia dei servizi di pagamento. Infatti, le modifiche normative apportate dal decreto legislativo n. 11/2010 prevedono per contro che sia l’istituto di credito (ovvero il prestatore del servizio di pagamento), a dover dimostrare la colpa grava o il dolo e quindi l’intenzionalità di porre essere la frode ai danni dell’istituto di credito.
A tale proposito, appare doveroso ricordare la pronuncia leading case: si tratta della sentenza n. 16221 del 31 agosto 2016, nella quale il Tribunale capitolino ha sancito il primo risarcimento del danno da Sim Swap Fraud ed è questo, in effetti, il primo caso giudiziario in Italia relativo a tale frode complessa.
Come mostrato nel leading case sopra richiamato, che successivamente ha trovato conferma in altre pronunce di giurisprudenza successive, le vittime di frodi spesso devono ricorrere alle vie legali per recuperare il denaro loro sottratto illegalmente, tutela che trova fondamento principale in due normative di settore con particolare riguardo alla normativa sui servizi di pagamento, recentemente riformata in recepimento della Direttiva UE 2015/2366 (c.d. PSD2) e del Regolamento UE 2018/389 (c.d. RTS), divenuta applicabile per gli aspetti di sicurezza lo scorso 14 settembre 2019, e il Regolamento UE 2016/679 (c.d. GDPR) divenuto invece applicabile a partire dal 25 maggio 2018. Si tratta di normative che considerano l’interessato o il consumatore come parte contrattuale debole e – salvo che sussista una determinante condotta negligente del correntista – stabiliscono che a farsi carico dei costi economici-sociali, ovvero dei danni subiti dalla vittima, volti a prevenire gli accessi non autorizzati al sistema informatico deve essere l’istituto di credito, da intendersi come titolare del trattamento in ambito protezione dei dati personali oppure come prestatore del servizio di pagamento.
In conclusione, si ritiene, infatti, che un’interpretazione coerente e letterale delle disposizioni normative sopra richiamate dovrebbe necessariamente portare a concludere che, qualora non vi fosse dimostrazione evidente di colpa grave o dolo del correntista (colpa grave da intendersi come un comportamento abnorme del correntista), l’istituto di credito dovrebbe provvedere immediatamente e stabilmente al riaccredito delle somme disconosciute, così tutelando i propri clienti. Il semplice controllo interno della banca successivo al riaccredito delle somme disconosciute non appare in alcun modo coerente con il dato normativo e con l’interpretazione maggioritaria in giurisprudenza: come sopra accennato, il riaddebito delle somme sottratte al correntista lascia lo stesso sfornito di tutela immediata.
L’istituto di credito, infatti, nei casi sopra descritti in tale modo si pone su una posizione non giustificata asserendo che il comportamento del correntista sia necessariamente doloso o colposo. A parere di chi scrive, secondo l’attuale normativa, la parte contrattualmente forte dovrebbe invece farsi immediatamente carico del danno subito e solo a seguito di un giudizio arbitrale, come ad esempio la decisione emessa dall’ABF (Arbitro Bancario Finanziario)[3] o a seguito della sentenza dalla giudice ordinario che accerta le eventuali responsabilità esclusive del correntista, potrebbe provvedere al riaddebito delle somme illegalmente sottratte alla parte più debole.
Note
[1] https://en.wikipedia.org/wiki/Voice_phishing: nella nota enciclopedia del web si conferma che la definizione di Vishing solo da alcuni viene assimilata Voice Phishing, quando invece si riferiscono a due tecniche diverse.
[2] https://www.consumer.ftc.gov/articles/caller-id-spoofing-infographic; https://www.fcc.gov/consumers/guides/spoofing-and-caller-id.
[3] https://www.arbitrobancariofinanziario.it/.
Articolo a cura di Fabio Di Resta e Giovanni Grassucci
Fabio Di Resta. Esercita come avvocato principalmente nei fori di Roma, Milano e Latina. Dopo la specializzazione in Gran Bretagna in diritto dell’informatica in ambito comunitario, inizia l’attività di consulenza legale per società di primaria importanza in ambito nazionale ed internazionale riguardo la protezione dei dati personali e il diritto delle nuove tecnologie. In tale contesto ha maturato oltre 17 anni di esperienza sia per la consulenza legale che per la gestione dei contenziosi, ricopre attualmente la posizione di Responsabile della protezione dei dati personali (Data Protection Officer) prevalentemente per primari gruppo ospedalieri privati, nel settore trasporti, nei servizi tecnologici avanzati. In ambito contenzioso lo studio Di Resta Lawyers, di cui l’avvocato è titolare, può vantare importanti esperienze in ambito bancario, in particolare, gestendo con successo casi complessi di risarcimento del danno relativo all’internet banking a favore dei correntisti ( www.direstalawyers.eu ). Attualmente è docente universitario a contratto nel Master di II livello in “Competenze digitali per la protezione dei dati, la cybersecurity e la privacy” istituito presso il Dipartimento di management e diritto dell’Università Tor Vergata di Roma. Ricopre, infine, il ruolo di Presidente dal Centro europeo per la Privacy – EPCE associazione che coinvolge avvocati e tecnici specializzati di privacy e diritto delle nuove tecnologie www.europeanprivacycentre.eu.
https://www.ictsecuritymagazine.com/articoli/criminalita-informatica-covid-19-e-tutela-del-correntista/