Pagamenti online e sicurezza: come difendersi dal phishing bancario

Pubblicato il 28 Dicembre 2020 in , , , , da Daniela Sanna

Quante volte ci è capitato di fare un bonifico collegandoci al sito internet della nostra banca per pagare tasse e bollette; inseriamo le nostre credenziali e a un certo punto si apre una finestra popup che ci avvisa che, per procedere con i pagamenti, dovremo inserire un codice che arriverà a breve tramite sms. Il messaggio con il codice arriva, ma non sempre ci si accorge che si tratta di una truffa e della dicitura: «Bonifico europeo di euro tot a favore di nome x di una persona ». Inserito il codice, infatti, la finestra popup si chiude e, quando accediamo al nostro conto ci  accorgiamo che i soldi sono spariti.

Rimanere vittima di una truffa online è facile, basta una svista, la poca dimestichezza con il computer oppure la convinzione di trovarsi in un “circuito protetto”, ed ecco che i nostri soldi spariscono senza che possiamo fare nulla perché siamo stati proprio noi, inconsapevolmente, a inserire i nostri dati sensibili per fare in modo che gli hacker entrassero nel nostro circuito bancario. I nostri risparmi si sono volatilizzati su un conto estero intestato a chissà chi.

Stiamo parlando di phishing, una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli, solitamente una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Di solito nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l’utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.

Scopo dei cyber-criminali è quello di carpire le credenziali del malcapitato correntista (user id e password), per poi impiegarle fraudolentemente, al fine di sottrarre liquidità.

Il primo passo da fare è ovviamente disconoscere l’operazione (ossia il bonifico) sostenendo di non averla effettuata e, in ragione di ciò, chiedere il riaccredito della somma. La banca si rifiuterà ascrivendo a noi la responsabilità del fatto ritenendo la nostra condotta negligente. In altre parole, l’istituto di credito, per liberarsi della responsabilità ex art. 2050 c.c., oltre ad affermare di aver adottato tutte le misure idonee, sosterrà che il fatto sia accaduto per la condotta tenuta dal  danneggiato.

Varie pronunce dell’organismo deputato a risolvere in via stragiudiziale le controversie insorte tra clienti e operatori finanziari  (Arbitro Bancario Finanziario) hanno statuito che sia gravemente colposa la condotta del correntista che inserisca le proprie credenziali, qualora l’e-mail truffaldina sia redatta in un italiano maccheronico, con errori  e lessico inadeguato, rendendo evidente lo scopo fraudolento. Parimenti, è responsabile il cliente che cada reiteratamente in errore, continuando a inserire i propri dati di accesso in risposta a e-mail palesemente “false”. Tuttavia, al di là di tali “casi limite”, l’orientamento dominante è volto a tutelare il correntista e ad ascrivere la responsabilità alla banca, in quanto l’eventualità di sottrazione delle credenziali rientra nel rischio professionale dell’erogatore dei servizi di pagamento.

La giurisprudenza ritiene che «la sottrazione dei codici del correntista, attraverso il phishing, rientra nell’area del rischio di impresa, destinato a essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente». L’utilizzo di uno strumento di pagamento registrato dalla banca da parte del correntista che nega di aver autorizzato l’operazione di pagamento eseguita, non è di per sé sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento. La legge pone in capo all’istituto di credito l’obbligo di risarcire il correntista truffato (art. 12, d.lgs. 11/2010) e se l’istituto di credito vuole andare esente da responsabilità, ha l’onere di dimostrare la legittimità dell’operazione on line non autorizzata e la violazione, da parte del cliente, degli obblighi nascenti dal contratto. In altre parole, deve provare che il fatto sia stato cagionato dalla condotta colposa del danneggiato.

Nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all’istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell’“accorto banchiere”. L’eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.

Le banche, che forniscono gli strumenti di home banking, infatti, dispongono dei dati sensibili dei clienti e sono tenuti ad adottare tutti gli accorgimenti per prevenire l’illecita captazione attraverso il phishing evitando accessi non autorizzati. Trova, pertanto, applicazione l’art. 15  del d.lgs. 196/2003 (Codice in materia di protezione dei dati personali) nel quale si  prevede che chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c. (esercizio di attività pericolose). Inoltre, l’art. 31 d.lgs.196/2003 dispone che i dati personali oggetto di trattamento siano custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

L’adeguatezza dei sistemi impiegati dall’istituto di credito viene valutata avendo riguardo alle conoscenze acquisite in base al progresso tecnico. Qualora si verifichi un accesso non autorizzato o l’impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c. Si tratta di una forma di responsabilità oggettiva “aggravata”, in cui il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (cosiddetta “prova liberatoria”), ma è tenuto a fornire la prova positiva di una causa esterna. Può trattarsi di fatto naturale, di fatto del terzo o di fatto dello stesso danneggiato che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell’esercente l’attività pericolosa. Ciò non toglie che, nel caso di erogazione del servizio di home banking, la banca debba garantire uno standard di sicurezza adeguato nell’effettuazione dei pagamenti al fine di precludere l’accesso a soggetti non abilitati al sistema. La diligenza richiesta, in tale circostanza, ha natura tecnica (art. 1176, c. 2, c.c.) e «deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere».

Per evitare il phishing, una delle modalità di sicurezza più diffuse nei servizi di home banking consiste nella doppia autenticazione e nella conferma dell’operazione con un pin inviato tramite sms al titolare del conto. A tal proposito si parla di One Time Password (OTP), vale a dire dell’impiego di un codice numerico o alfanumerico, usa e getta, che rende le transazioni molto più sicure dato che è impiegabile una volta soltanto. Infatti, non è sufficiente possedere le credenziali di accesso al conto corrente per effettuare delle transazioni; l’operazione può andare a buon fine solo dopo la digitazione di un’ulteriore password – impiegabile una volta sola – inviata tramite sms sullo smartphone del titolare del conto. Un altro strumento è il token, si tratta di un dispositivo fisico che genera password dinamiche ad intervalli di tempo. Il suo uso dà luogo all’autenticazione a due fattori: da una parte “occorre possedere lo specifico token che, in un dato istante, genera lo stesso numero casuale generato dal server di autenticazione, dall’altro occorre conoscere il PIN con cui il numero va combinato”.

Concludendo:

Non apriamo mai link sospetti, non scarichiamo file allegati e non clicchiamo sulla richiesta di cancellazione dalla lista dei destinatari indicati e non inseriamo mai i dati personali richiesti. Le banche non chiedono mai ai loro clienti di collegarsi attraverso e-mail.

Riconosciamo le e-mail false perché in genere non sono personalizzate e fanno riferimento alla vincita di qualche premio o alla risoluzione di un improvviso problema di sicurezza o di funzionamento. In genere, si concludono con un tono minaccioso che avverte dell’immediata sospensione del servizio se non si seguiranno le indicazioni date.