Market

Home banking: di chi è la responsabilità in caso di truffa?

Le truffe finanziarie a danno di sistemi di pagamento elettronici, home banking, bancomat, carte di credito, pagamenti online sono all’ordine del giorno. Buona parte delle frodi in questo settore sono perpetrate tramite il “” che come sappiamo è un attacco con il quale, tramite Social Engineering e trucchi tecnici, i criminali tentano di rubare identità personali degli utenti, dati finanziari, credenziali di servizi online.

L’attacco viene effettuato con l’invio di false e-mail costruite in modo da sembrare legittime, provenienti da fonti conosciute o persone fidate, così da indurre la vittima a cliccare sui link o allegati e visitare siti contraffatti. Qui l’incauto visitatore sarà invitato ad inserire i propri dati di accesso che saranno opportunamente sfruttati a suo danno.

Anche se i dati delle analisi relative all’autunno 2016 sembrano indicare un calo degli attacchi di phishing, in realtà si sta solo cambiando il target. Non più invii indiscriminati a grandi quantità di utenti ma mail mirate a specifici servizi e persone.


Fonte: Anti Phishing Working Group

Ho fatto un esperimento analizzando le mail di phishing ricevute sui miei indirizzi in un periodo di circa 30 giorni. Nella quasi totalità dei casi il messaggio fa riferimento, già nell’oggetto, a problemi sul conto corrente o sulla carta di credito e sono creati per attirare l’attenzione della vittima.

La richieste sono essenzialmente sempre le stesse. Per le banche: “conferma le tue credenziali”, “riattiva il conto”, “aggiorna la carta di credito” e simili. Per le altre tipologie troviamo spesso allegati o link con malware.

Ecco il riepilogo, riportante quante mail sono state ricevute per ogni (falso) mittente: 16 veneto, 15 telecom, 11 poste/postepay, 7 unicredit, 5 equitalia, 4 vicenza, 4 carta monte paschi, 3 bancamarche, 3 mediolanum, 3 ubi , 2 desio, 2 Banco BPM, 2 carta sì, 2 ebay, 2 bnl, 1 che , 1 media world, 1 paypal, 1 procura, 1 sda.

Ci tengo a precisare che si tratta solo di un campione, ristretto e non significativo, ma comunque indicativo di una situazione in essere. Anche il rapporto CLUSIT 2017 sulla sicurezza ICT in Italia riporta il fenomeno in crescita.

Fonte: Rapporto CLUSIT 2017

Come si può notare, il target si sposta dove sono i soldi: banche ed istituti finanziari.

Insomma, il rischio che più o meno incautamente si resti vittime di una truffa di questo genere esiste ed è reale la possibilità di trovarsi nella situazione di dover chiedere alla propria banca il risarcimento del danno subìto. Eh, sì. Forse non tutti sanno che è possibile chiedere alla propria banca il reintegro delle somme truffate.

Ovviamente non è tutto così semplice e lineare e la felice conclusione non è per nulla scontata.

Esistono tuttavia numerose sentenze a favore dei clienti basate sulla cosiddetta “responsabilità contrattuale” a partire dalla famosa sentenza della Cassazione n. 13777 del 2007 secondo la quale l’istituto di credito deve adottare tutte le misure idonee a garantire la sicurezza del servizio, giacché la diligenza ad esso richiesta (art. 1176 c. 2 c.c.) ha natura tecnica e «deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere».

Non si può a questo punto non citare il D.Lgs. 27 gennaio 2010, n. 11 che all’art. 8 dice: Il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l’obbligo di: a) assicurare che i dispositivi personalizzati che consentono l’utilizzo di uno strumento di pagamento non siano accessibili a soggetti diversi dall’utilizzatore legittimato (omissis)

L’art.10: Qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti (omissis)…

L’art. 12: Salvo il caso in cui abbia agito in modo fraudolento, l’utilizzatore non sopporta alcuna perdita derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente (omissis)…

Tradotto in parole povere, la banca ha l’obbligo di garantire uno standard di sicurezza adeguato nell’effettuazione delle operazioni online e dei pagamenti al fine di precludere l’accesso a soggetti non abilitati al sistema.

A fronte di questo, se il cliente subisce una truffa, la banca ha l’obbligo del risarcimento a meno che non dimostri l’adozione di misure idonee a scongiurare il verificarsi di condotte fraudolente, la casualità del fatto doloso o che il fatto è avvenuto per colpa o negligenza del cliente.

Sta quindi al cliente il tenere una condotta accorta onde evitare di cadere nella trappola del phishing. Siete stati avvisati. Ma nel caso…

Per approfondire: alcune sentenze 2016 a favore del cliente:

  • CORTE DI CASSAZIONE, SEZ. I CIVILE – SENTENZA 19 gennaio 2016, n.806
  • CORTE DI CASSAZIONE, SEZ. I CIVILE – SENTENZA 23 maggio 2016, n.10638
  • GIUDICE DI PACE DI CAMPOBASSO Sentenza 3 maggio 2016, n. 277
  • TRIBUNALE DI LECCE Sentenza 11 maggio 2016, n.1302
  • TRIBUNALE DI ROMA Sentenza 4 agosto 2016, n.16221
Paolo Giardini

Paolo Giardini

Paolo “aspy” Giardini, direttore di OPSI, Osservatorio Nazionale Privacy e , organo di AIP (Associazione Informatici Professionisti, per la quale ricopre anche l’incarico di Privacy Officer) si occupa da oltre venti anni di , Privacy, Computer Forensics ed Open Source, svolgendo attività di analisi e consulenza e tenendo corsi e seminari in Italia ed all’estero.
Svolge attività di Consulente Tecnico di parte (CTP) e di Consulente Tecnico d’Ufficio (CTU) presso diverse Procure della Repubblica e Tribunali. Nel tempo libero si dedica alla organizzazione dell’hacker game che ha creato, “CAT – Cracca Al Tesoro”.

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This