Volume consigliato
La responsabilità nei nuovi reati informatici
L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica.Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo l’attenzione sulle modalità di ricerca della prova e aiutando il professionista nell’individuazione degli elementi che costituiscono la responsabilità penale dell’autore del reato.Lo spazio fluido, tipico del web, richiede un’attenzione particolare: quest’opera nasce proprio dall’esigenza di fornire nozioni e azioni di riferimento, che possano guidare l’operatore nel costruire la propria linea difensiva, alla luce delle nuove figure criminose, quali l’hate speech, il sexting, il revenge porn, il cyber terrorismo e il cyberlaundering.A completamento della trattazione, nella seconda parte, il volume affronta le diverse metodologie investigative, nonché le tecniche forensi di acquisizione e conservazione della prova informatica.In tal modo, il testo si pone quale valido strumento per il professionista che debba fornire la prova della consumazione di reati informatici.Flaviano PelusoAvvocato in Roma. È Professore a contratto di scienze giuridiche medico-legali, presso la facoltà di Medicina dell’Università La Sapienza, di abilità informatiche presso le facoltà di Economia, Psicologia e Lettere dell’Università La Sapienza, nonché d’informatica ed elaborazione dati e di idoneità informatica presso l’Università della Tuscia. È autore di libri, articoli e note a sentenza nonché curatore di libri in materia di diritto dell’informatica e di informatica forense.Cecilia CavaceppiGiudice del Tribunale di Latina applicata attualmente al Tribunale di Napoli. È dottore di ricerca in diritto amministrativo presso la Luiss Guido Carli.Francesco Saverio CavaceppiAvvocato del Foro di Roma, Professore a contratto di informatica ed elaborazione dati presso l’Università della Tuscia e docente di informatica giuridica presso la Scuola di Specializzazione per le Professioni Legali “Migliorini” dell’Università di Perugia.Daniela CavallaroAvvocato del Foro di Velletri e Data Protection Officer presso l’Agenzia di Stampa Nazionale; ha conseguito il master in Diritto dell’informatica presso l’Università degli Studi di Roma La Sapienza, ha conseguito i certificati di European Privacy Expert, Valutatore Privacy (UNI 11697:2017) e Auditor ISDP 10003.Raissa ColettiConsulente in Institutional & Corporate Communication. Ha conseguito il master in Human Resource management & Digital Skills.Alfonso ContaldoProfessore a contratto di diritto dell’informazione e della comunicazione digitale nell’Accademia delle Belle Arti di Roma, dottore di ricerca in informatica giuridica presso l’Università degli Studi di Roma La Sapienza. È autore di monografie, articoli, note e contributi in collettanei in materia di diritto dell’informazione e dell’informatica e di informatica giudiziaria.Alessandra CorteseAssistente Giudiziario presso la Procura Generale della Repubblica di Venezia, è laureata in giurisprudenza presso l’Università di Messina, ha conseguito il master di 2° livello in Diritto dell’informatica presso l’Università La Sapienza, è abilitata all’esercizio della professione forense, è socia ANORC, è iscritta nel registro dei Professionisti della Privacy. È autrice di alcuni articoli di diritto dell’informatica.
Alfonso Contaldo, Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alessandra Cortese | 2020 Maggioli Editore
28.00 € 22.40 €
Cos’è il Fishing?
Uno dei sistemi più comuni e insidiosi di intromissioni indebite nei sistemi dei prestatori dei servizi di pagamento è il c.d. Fishing: dall’inglese to fish, pescare, in italiano potremmo dire “far abboccare”. Questo tipo di truffa consiste nell’invio di e-mail o sms, apparentemente provenienti da Istituti di credito o società di e-commerce, che invitano la vittima a collegarsi a pagine internet – del tutto simili a siti istituzionali o aziendali – dalle quali verranno carpiti i loro dati riservati: credenziali per l’accesso a conti on-line, carte di credito e sistemi di pagamento tramite piattaforme e-commerce. Solitamente nel messaggio esca è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega, utilizzando il suddetto link, è stato artatamente allestito identico a quello originale, tramite un malware specifico. Attraverso tale meccanismo, denominato “man in the browser”, che realizza l’interposizione fra il sistema centrale della banca e il software di navigazione del singolo utente (browser), viene propinata all’ignaro utente una pagina video esattamente identica a quella che il medesimo è abituato a riconoscere in sede di accesso regolare al sito della propria banca o della propria area riservata della piattaforma e-commerce. L’utente, una volta introdotto in un’ambiente identico in tutto e per tutto al sito istituzionale del proprio home banking ove lo stesso è solito operare (stessa grafica e medesimi colori aziendali), digiterà le proprie credenziali di accesso così consentendo la sottrazione di denaro da parte dei criminali informatici.
Cosa fare in caso di Fishing a proprio danno?
Una volta accortisi di aver dato le credenziali a quella che si credeva essere la propria banca e subito l’ammanco sul conto, bisogna provvedere a:
- Disconoscere l’operazione, recandosi immediatamente presso la banca, chiedendo nel contempo il rimborso della somma sottratta.
- Denunciare l’accaduto all’autorità di pubblica sicurezza più vicina (Polizia di Stato o Carabinieri).
La banca provvederà a rimborsare la somma sul conto corrente, avviando nel contempo un’istruttoria interna al fine di verificare se v’è stata colpa grave da parte del cliente. Nel caso in cui tale accertamento fosse a quest’ultimo sfavorevole, la banca provvederà ad addebitare nuovamente e definitivamente la somma precedentemente restituita. Ma attenzione: è la banca che dovrà dimostrare la colpa grave del cliente, provare in altri termini che non v’è stata truffa ai danni di quest’ultimo, ma soltanto imprudenza non scusabile o addirittura dolo da pare del cliente medesimo.
L’inversione dell’onere della prova a carico della banca.
La legge [1]prevede, infatti, che il disconoscimento dell’operazione fraudolenta da parte del cliente, determini l’inversione dell’onere probatorio: sarà l’istituto di credito, nella sua qualità di prestatore di servizi di pagamento, a dover dimostrare la riconducibilità dell’operazione contestata al proprio correntista, fornendo prova dei fatti idonei ad integrare la colpa grave del medesimo. La Cassazione in proposito ha statuito [2]che la responsabilità dell’intermediario in tali casi sia da ricondursi “nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente”. Ne consegue che la banca, cui è richiesta una diligenza di natura tecnica, (quella dell’accorto banchiere) è tenuta a fornire la prova della riconducibilità dell’operazione al cliente. Tale prova non può in alcun modo limitarsi a provare che l’operazione sia stata autorizzata tramite l’autenticazione a due fattori con metodo OTP, ben potendo avvenire la cattura dei codici da parte di terzi non autorizzati in presenza di un comportamento diligente del cliente.
La One Time Password, infatti, pur essendo notevolmente più sicura della password statica, in quanto richiede una tecnologia supplementare per poter essere utilizzata (un dispositivo fisico con la calcolatrice OTP incorporata, o un numero di cellulare specifico), non può di per sé escludere la cattura dei codici da parte del truffatore informatico, anche in presenza di un autenticazione a due fattori con metodo OTP.
L’efficienza dei sistemi di sicurezza delle banche come argine alle aggressioni informatiche.
Da quanto in precedenza affermato costituisce preciso obbligo dell’intermediario il “costante ed effettivo monitoraggio dell’efficienza del sistema di sicurezza che, come tale, non può non tenere in debita considerazione l’evoluzione dei metodi di aggressione e la costante ricerca di soluzioni protese ad ovviarne o arginarne le offensive”.[3]
A tal proposito il Collegio di coordinamento dell’Arbitro Bancario Finanziario, in una sua recente decisione[4], ha escluso, la colpa grave dell’utente (financo la colpa lieve), traendo tale convincimento “dalla più che tempestiva attivazione della ricorrente che, accortasi qualche ora più tardi dell’intervenuta operazione non autorizzata, ha provveduto ad informare telefonicamente la banca per il blocco del bonifico, ha sporto il giorno successivo denuncia all’autorità di P.S. contestualmente formalizzando il reclamo di disconoscimento”.
Ad ulteriore conferma delle responsabilità di natura “tecnica” degli Istituti di Credito, la Banca d’Italia nel 2011 ha emanato un provvedimento [5]col quale impegna le banche ad aderire “a piattaforme tecniche che consentano ai propri clienti di effettuare pagamenti in rete in condizioni di elevata sicurezza”. I medesimi Istituti di credito saranno chiamati a gestire – ed eventualmente a rispondere – dei rischi associati alle tecnologie utilizzate, tra i quali: malfunzionamenti nei sistemi e nei processi informatizzati interni; difetti delle procedure software e dei sistemi operativi; guasti dei componenti hardware; limitata capacita dei sistemi di elaborazione e trasmissione; vulnerabilità delle reti di telecomunicazione; debolezza del sistema dei controlli e delle misure di sicurezza; sabotaggi; attacchi da parte di soggetti esterni, tentativi di frode.”
Conclusione
Il cliente, dovrà usare ogni accortezza possibile nel custodire le proprie credenziali di accesso ai sistemi di pagamento al fine di andare esente da responsabilità la quale, comunque, sarà limitata al dolo o alla colpa grave. Al contrario gli istituti di credito, ai quali è richiesta la diligenza “tecnica” dell’accorto banchiere, dovranno adottare tutte le soluzioni tecniche più idonee ad evitare i rischi di intrusione illegale connessi all’utilizzo delle proprie piattaforme informatiche da parte degli utenti.
Volume consigliato
La responsabilità nei nuovi reati informatici
L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica.Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo l’attenzione sulle modalità di ricerca della prova e aiutando il professionista nell’individuazione degli elementi che costituiscono la responsabilità penale dell’autore del reato.Lo spazio fluido, tipico del web, richiede un’attenzione particolare: quest’opera nasce proprio dall’esigenza di fornire nozioni e azioni di riferimento, che possano guidare l’operatore nel costruire la propria linea difensiva, alla luce delle nuove figure criminose, quali l’hate speech, il sexting, il revenge porn, il cyber terrorismo e il cyberlaundering.A completamento della trattazione, nella seconda parte, il volume affronta le diverse metodologie investigative, nonché le tecniche forensi di acquisizione e conservazione della prova informatica.In tal modo, il testo si pone quale valido strumento per il professionista che debba fornire la prova della consumazione di reati informatici.Flaviano PelusoAvvocato in Roma. È Professore a contratto di scienze giuridiche medico-legali, presso la facoltà di Medicina dell’Università La Sapienza, di abilità informatiche presso le facoltà di Economia, Psicologia e Lettere dell’Università La Sapienza, nonché d’informatica ed elaborazione dati e di idoneità informatica presso l’Università della Tuscia. È autore di libri, articoli e note a sentenza nonché curatore di libri in materia di diritto dell’informatica e di informatica forense.Cecilia CavaceppiGiudice del Tribunale di Latina applicata attualmente al Tribunale di Napoli. È dottore di ricerca in diritto amministrativo presso la Luiss Guido Carli.Francesco Saverio CavaceppiAvvocato del Foro di Roma, Professore a contratto di informatica ed elaborazione dati presso l’Università della Tuscia e docente di informatica giuridica presso la Scuola di Specializzazione per le Professioni Legali “Migliorini” dell’Università di Perugia.Daniela CavallaroAvvocato del Foro di Velletri e Data Protection Officer presso l’Agenzia di Stampa Nazionale; ha conseguito il master in Diritto dell’informatica presso l’Università degli Studi di Roma La Sapienza, ha conseguito i certificati di European Privacy Expert, Valutatore Privacy (UNI 11697:2017) e Auditor ISDP 10003.Raissa ColettiConsulente in Institutional & Corporate Communication. Ha conseguito il master in Human Resource management & Digital Skills.Alfonso ContaldoProfessore a contratto di diritto dell’informazione e della comunicazione digitale nell’Accademia delle Belle Arti di Roma, dottore di ricerca in informatica giuridica presso l’Università degli Studi di Roma La Sapienza. È autore di monografie, articoli, note e contributi in collettanei in materia di diritto dell’informazione e dell’informatica e di informatica giudiziaria.Alessandra CorteseAssistente Giudiziario presso la Procura Generale della Repubblica di Venezia, è laureata in giurisprudenza presso l’Università di Messina, ha conseguito il master di 2° livello in Diritto dell’informatica presso l’Università La Sapienza, è abilitata all’esercizio della professione forense, è socia ANORC, è iscritta nel registro dei Professionisti della Privacy. È autrice di alcuni articoli di diritto dell’informatica.
Alfonso Contaldo, Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alessandra Cortese | 2020 Maggioli Editore
28.00 € 22.40 €
Note
[1] Il D.lgs 11/2010, attuativo della direttiva n. 2007/64/CE, all’art. 10 in caso di disconoscimento di un’operazione di pagamento, pone a carico della banca i seguenti oneri probatori:
- L’intermediario deve provare “che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
- A seguito dell’eventuale prova di cui sopra, l’apparente autenticazione non è necessariamente sufficiente a dimostrane la riconducibilità all’utilizzatore che la disconosca;
- “E’ onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.”
[2] Cass. Civ. Sez. VI- 1 Ordinanza n. 9158 del 12.04.2018 la responsabilità dell’intermediario sia da ricondursi “nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità dell’utilizzo dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.
[3] Collegio di Roma A.B.F. decc. Nn. 2264/2012, 2660/2012, 1910/2012
[4] Collegio di coordinamento dell’Arbitro Bancario Finanziario, decisione n. 3498 del 26 ottobre 2012
[5] Provvedimento attuativo della Banca d’Italia 5.7.2011 in tema di sicurezza al punto 3.1 testualmente prescrive: “Avuto riguardo agli obiettivi di regolare funzionamento del sistema dei pagamenti nonchè di tutela della fiducia degli utilizzatori nel ricorso ai servizi compresi nell’ambito di applicazione del Decreto, i prestatori di servizi di pagamento assicurano che le soluzioni tecniche adottate per l’esercizio dell’attività siano presidiate gestendo i rischi associati alle tecnologie utilizzate”.
Scrivi un commento
Accedi per poter inserire un commento