Banche e responsabilità per phishing: come ci si difende?

Scarica PDF Stampa

Cassazione, banca non responsabile di phishing ai clienti se questi cedono le proprie credenziali. Consigli pratici per difendersi

Indice

1. La vicenda


La Corte di Cassazione, con la sentenza numero 7217/2023 ha stabilito un importante principio in materia di phishing e truffe online ai danni dei correntisti: se un cliente di una banca cade vittima di truffe online e fornisce informazioni personali quali il proprio user-ID o la password per accedere al proprio home banking, e la banca ha adottato tutte le misure di sicurezza efficaci per impedire che ciò accada, la responsabilità resta in capo al correntista e non può essere fatta ricadere sull’Istituto di Credito.
Così è stato deciso in una pronuncia destinata a fare da scudo alle banche e da filtro per le cause di tutti i correntisti che cadono incautamente vittima di phishing, un fenomeno che ormai dilaga a macchia d’olio. I fatti si sono verificati a Palermo, dove il Giudice di prime cure aveva accolto la domanda di risarcimento di un cliente che aveva inopinatamente effettuato un bonifico online, che invece si era rivelato essere una truffa. Secondo il Giudice la banca non aveva attivato le misure di sicurezza adeguate e pertanto meritava la condanna al risarcimento del malcapitato. Non così l’ha pensata la Corte d’Appello di Palermo, che ha ribaltato la sentenza, con un orientamento che è stato successivamente confermato dalla Suprema Corte, che ha respinto il ricorso del correntista per la cassazione della sentenza di secondo grado.
La Cassazione ha escluso la responsabilità dell’intermediario per il bonifico effettuato da un terzo, che con l’inganno si era impadronito dei codici di accesso all’home banking del ricorrente, richiamando in toto le argomentazioni poste dalla Corte d’Appello.
Il principio statuito dalla giurisprudenza di legittimità è dunque che se vengono adottate tutte le misure di sicurezza tecniche per la sicurezza delle operazioni online, l’Istituto non può essere ritenuto responsabile, se sono i clienti stessi a fornire a terzi le proprie credenziali.
Un principio che, a ben guardare, non dovrebbe fare scalpore più di tanto, perché si sposa perfettamente con l’approccio basato sul rischio e con il sistema di accountability richiesto dal Reg. UE 679/2016 per la protezione dei dati personali e per la sicurezza informatica.
Nel caso sottoposto all’attenzione della Corte, la sicurezza dei servizi online era garantita da sistemi informati certificati da enti appositi, secondo rigorosi standard internazionali, non essendo nemmeno il personale in grado di conoscere i codici di accesso dell’utente. Solo il cliente, dunque, poteva aver fornito ai truffatori informatici le proprie credenziali di accesso, in violazione di tutte le regole di prudenza e accortezza che ci si potrebbe aspettare dall’utente medio, anche non esperto di sistemi di sicurezza informatica. Con riferimento all’onere probatorio, la Corte di Cassazione ha deciso che l’intermediario non era tenuto a provare che l’addebito fosse stato approvato dai correntisti, in quanto dalle «caratteristiche di sicurezza proprie del sistema informatico (dell’intermediario) per l’esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione».
Non solo, ma la Banca in questione (come peraltro ormai fanno tutte le banche) aveva messo in guardia i clienti, attraverso comunicazioni istituzionali e sul proprio sito internet volte a mettere in guardia su possibili truffe ed avvertendo che mai, sotto alcuna circostanza, il personale della banca avrebbe chiesto loro i codici di accesso e che pertanto, in caso di una richiesta di questo tipo, i clienti avrebbero dovuto diffidare e non darle corso. I clienti sono avvertiti dalla banca di essere i soli e diretti responsabili della custodia dei propri identificativi, tanto che se li perdono, nessuno all’interno dell’Istituto può recuperarli e la procedura prevede una nuova attivazione. Per queste ragioni l’acquisizione fraudolenta delle credenziali non basta ad escludere la condotta colposa dei danneggiati.
Dopo questa sentenza, la lotta al fenomeno del phishing dovrebbe diventare ancora più serrata, perché chiunque ne rimanga vittima e venga colpito finanziariamente, dovrà ritenersi unico responsabile se non ha adottato un comportamento attento e diligente.
Vediamo quindi brevemente che cos’è il phishing e quali sono i modi più semplici, ma più efficaci per contrastarlo.

2. Il phishing


Come dice la parola stessa, il phishing non è altro che una pesca a strascico: una serie di e-mail pericolose, contenenti allegati malevoli o link infetti vengono immesse nella rete, inviate al maggior numero di utenti possibile, in attesa che qualcuno, appunto, abbocchi all’amo. Lo scopo può essere diversificato: una e-mail di phishing può voler farci cliccare su un link, carpire con l’inganno le nostre credenziali al conto corrente, farci scaricare un malware, farci cedere una password.
Vediamo dunque qualche piccola accortezza per imparare a riconoscere e difenderci da un tentativo di phishing.

3. Attenzione al mittente


La prima e banale difesa da una e-mail sospetta è verificare da dove arrivi. Qualsiasi email proveniente da agenziadelleentrate@gmail.com o inps@libero.it o banca@yahoo.com è evidentemente una truffa e deve essere cestinata senza esitazione, ma se non andiamo a cliccare sul mittente, potremmo vedere soltanto il nome “Agenzia delle Entrate” oppure “INPS” oppure il nome della nostra banca ed essere indotti, nella fretta del lavoro quotidiano, ad aprirla. Di solito aprire soltanto una e-mail non provoca ancora conseguenze, perché è poi necessario scaricare o cliccare qualcosa al suo interno perché si verifichi materialmente il danno, ma in ogni caso, meglio non rischiare. Alcune volte i mittenti delle e-mail pericolose, che si nascondono quasi sempre dietro siti istituzionali, sono quasi identici a quelli delle email vere: una banca che si chiama, ad esempio “Istituto Bancario” e non semplicemente “Banca”, oppure due vocali invertite nel nome, che spesso non vengono percepite dall’occhio umano. Una delle leve su cui il phishing spinge è la fretta, l’urgenza con cui quotidianamente lavoriamo, ed il gran numero di e-mail scambiate nel mondo: circa 227 miliardi ogni giorno.


Potrebbero interessarti anche:

4. Attenzione al contenuto


Un ulteriore occhio di riguardo deve essere prestato al contenuto. E-mail sgrammaticate, con marchiani errori di ortografia e sintassi, ma anche semplicemente scritte con uno stile bizantino e poco consono all’asettico linguaggio da ufficio a cui siamo abituati, rappresentano un segnale di allarme. Dal momento che tutte (o quasi) le nostre attività sono tracciate online, è facile che succeda, ad esempio, che pochi minuti dopo aver effettuato un acquisto online, ci arrivi una e-mail che ci informa sulla nostra spedizione, invitandoci a monitorarla cliccando su un certo link. Facciamo molta attenzione: seguiamo solo le istruzioni ufficiali del corriere del sito su cui abbiamo effettuato l’acquisto, diffidando di tutte le altre “esche”.

5. Attenzione agli allegati


Allegati con estensioni strane o Excel con macro da attivare sono, senza eccezioni, segnali elevatissimi di allarme. Anche quando si chiamano “Fattura”, soprattutto se dopo fatture c’è l’estensione .exe che scatenerebbe immediatamente “l’inferno” sul nostro pc. Per dirne una, ormai le fatture alla PA vengono emesse solo elettronicamente; quindi, è semplice collegarsi alla propria area e scaricare la fattura dallo SDI: se quella era la copia di cortesia di una fattura presente sul sistema, saremo grati a chi ce l’ha mandata. Nel molto più probabile caso contrario, cestiniamo senza se e senza ma.

6. Che cosa ci chiedono?


Una sola regola aurea vige in rete, tra persone per bene: nessuno, per nessuna ragione al mondo, ci chiederà mai le nostre password e i nostri codici di accesso. Quindi questo vuol dire che se ci arriva una e-mail allarmista che ci informa che il nostro conto corrente è compromesso e dobbiamo fornire la nostra la password, per verificare che sia ancora sicura, non crediamoci, si tratta di un tentativo di phishing. Nel dubbio, prima di precipitarci a fare quello che ci chiedono, alziamo il telefono e verifichiamo direttamente con la banca, non con i contatti che sono contenuti nella e-mail, ma con il numero con cui parliamo di solito. Meglio ancora sarebbe recarsi di persona presso l’Istituto, senza temere che il tempo perso per le verifiche ci faccia “perdere” denaro. Ricordiamoci che l’unica e sola regola è che le credenziali personali non si trasmettono mai, a nessuno e per nessuna ragione al mondo.

7. Non crediamo all’urgenza


Pagamenti da effettuare “immediatamente”, azioni da compiere subito, qualsiasi cosa ci venga richiesta con urgenza dovrebbe farci alzare la soglia dell’attenzione. In particolare, se una sedicente Agenzia delle Entrate ci chiede soldi per fermare un’ingiunzione di pagamento, un fermo amministrativo sull’auto, un pignoramento sullo stipendio, prima di precipitarci a pagare non si sa cosa a non si sa chi, riflettiamo. In questo caso la burocrazia ci viene in aiuto, perché nel nostro Paese quasi niente è mai veloce, ed anche quando deve prendere denaro, lo Stato ci concede la possibilità di verificare ed eventualmente opporci. Se vengono chiesti dei pagamenti ufficiali, dunque, avremo sempre la possibilità di verificare a quale titolo sono dovuti, se per caso non abbiamo già effettuato il pagamento ed eventualmente che cosa possiamo fare per contestarlo: qualsiasi azione ci venga richiesta di fare con urgenza, puzza di truffa.

8. Nessuno regala niente


Infine, questa sembra una banalità, ma purtroppo non lo è, così come i criminali sfruttano la fretta, il fatto che siamo sempre di corsa, che spesso le e-mail vengano consultate da mobile, quindi in movimento, quindi mentre stiamo facendo altro, un’altra chiave di entrata potrebbe essere un momento di debolezza psicologica. A tutti noi piacerebbe vincere oggetti di valore o somme di denaro, ma purtroppo sono veramente scarse le probabilità che ciò accada. Diffidiamo di qualsiasi comunicazione che ci annuncia che abbiamo appena vinto la vacanza della nostra vita, basta un semplice click sul link qui sotto: quasi sicuramente quel link manderebbe in vacanza qualcun altro, con i nostri soldi.

Volume consigliato


Lo spazio fluido, tipico del web, richiede un’attenzione particolare: quest’opera nasce proprio dall’esigenza di fornire nozioni e azioni di riferimento, che possano guidare l’operatore nel costruire la propria linea difensiva, alla luce delle nuove figure criminose, quali l’hate speech, il sexting, il revenge porn, il cyber terrorismo e il cyberlaundering.

FORMATO CARTACEO

La responsabilità nei nuovi reati informatici

L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica.Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo l’attenzione sulle modalità di ricerca della prova e aiutando il professionista nell’individuazione degli elementi che costituiscono la responsabilità penale dell’autore del reato.Lo spazio fluido, tipico del web, richiede un’attenzione particolare: quest’opera nasce proprio dall’esigenza di fornire nozioni e azioni di riferimento, che possano guidare l’operatore nel costruire la propria linea difensiva, alla luce delle nuove figure criminose, quali l’hate speech, il sexting, il revenge porn, il cyber terrorismo e il cyberlaundering.A completamento della trattazione, nella seconda parte, il volume affronta le diverse metodologie investigative, nonché le tecniche forensi di acquisizione e conservazione della prova informatica.In tal modo, il testo si pone quale valido strumento per il professionista che debba fornire la prova della consumazione di reati informatici.Flaviano PelusoAvvocato in Roma. È Professore a contratto di scienze giuridiche medico-legali, presso la facoltà di Medicina dell’Università La Sapienza, di abilità informatiche presso le facoltà di Economia, Psicologia e Lettere dell’Università La Sapienza, nonché d’informatica ed elaborazione dati e di idoneità informatica presso l’Università della Tuscia. È autore di libri, articoli e note a sentenza nonché curatore di libri in materia di diritto dell’informatica e di informatica forense.Cecilia CavaceppiGiudice del Tribunale di Latina applicata attualmente al Tribunale di Napoli. È dottore di ricerca in diritto amministrativo presso la Luiss Guido Carli.Francesco Saverio CavaceppiAvvocato del Foro di Roma, Professore a contratto di informatica ed elaborazione dati presso l’Università della Tuscia e docente di informatica giuridica presso la Scuola di Specializzazione per le Professioni Legali “Migliorini” dell’Università di Perugia.Daniela CavallaroAvvocato del Foro di Velletri e Data Protection Officer presso l’Agenzia di Stampa Nazionale; ha conseguito il master in Diritto dell’informatica presso l’Università degli Studi di Roma La Sapienza, ha conseguito i certificati di European Privacy Expert, Valutatore Privacy (UNI 11697:2017) e Auditor ISDP 10003.Raissa ColettiConsulente in Institutional & Corporate Communication. Ha conseguito il master in Human Resource management & Digital Skills.Alfonso ContaldoProfessore a contratto di diritto dell’informazione e della comunicazione digitale nell’Accademia delle Belle Arti di Roma, dottore di ricerca in informatica giuridica presso l’Università degli Studi di Roma La Sapienza. È autore di monografie, articoli, note e contributi in collettanei in materia di diritto dell’informazione e dell’informatica e di informatica giudiziaria.Alessandra CorteseAssistente Giudiziario presso la Procura Generale della Repubblica di Venezia, è laureata in giurisprudenza presso l’Università di Messina, ha conseguito il master di 2° livello in Diritto dell’informatica presso l’Università La Sapienza, è abilitata all’esercizio della professione forense, è socia ANORC, è iscritta nel registro dei Professionisti della Privacy. È autrice di alcuni articoli di diritto dell’informatica.

Alfonso Contaldo, Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alessandra Cortese | Maggioli Editore 2020

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento