Phishing e frodi informatiche: brevi linee guida

Hai mai ricevuto e-mail o sms, apparentemente riconducibili ad un ente o istituto di credito che ti hanno suscitato qualche sospetto? Ti è capitato di digitare le tue credenziali bancarie e scoprire poi che dal tuo conto erano stati disposti bonifici non autorizzati? 

In questo articolo andremo a vedere come comportarsi in simili situazioni.

Cos’è il phishing

Lo sviluppo tecnologico ha certamente migliorato le nostre vite rendendo il compimento di determinate azioni e operazioni molto più semplice: si pensi all’e-commerce, alle piattaforme streaming, alla possibilità di prenotare on line una visita medica, l’esecuzione di operazioni di pagamento dematerializzate.

Se da un lato, quindi, si rileva quanto la tecnologia abbia avuto un risvolto positivo nelle nostre vite, dall’altro lato, di pari passo, sono aumentati i rischi cui siamo sottoposti. Le informazioni che riguardano le nostre vite, i nostri dati sensibili, sono infatti suscettibili di essere attaccati attraverso nuove forme di tecnologia.

Una delle forme più comuni di attacco informatico dirette alla sottrazione di dati personali è il cosiddetto phishing

Si tratta di un particolare tipo di truffa realizzata sulla rete Internet e perpetrata principalmente attraverso l’invio di messaggi di posta elettronica ingannevoli, solo apparentemente provenienti da istituti finanziari o da siti web che richiedono l’accesso previa registrazione.

Tale operazione ha diverse declinazioni, può infatti essere realizzata in differenti modi: 

       Deceptive phishing: l’hacker invia una email – spesso  vengono inviate ad un numero elevato di sconosciuti – la quale riproduce visivamente un sito riferibile ad un istituto di credito e induce il destinatario a cliccare su un link che, a sua volta, conduce in una nuova pagina apparentemente riconducibile all’anzidetto istituto. Giunto sulla nuova pagina, tramite un pretesto, si richiede alla vittima di inserire i codici bancari;

      Smishing: in questo caso l’approccio fraudolento avviene attraverso l’invio di SMS i quali, adottando tecniche di social engineering, persuadono il destinatario a collegarsi ad un link o, in alternativa, a chiamare un numero per compiere una determinata operazione per la quale il presupposto è la comunicazione di codici segreti di cui è a conoscenza soltanto la vittima;

      Vishing: differentemente dal deceptive phishing e dallo smishing,  questa modalità si concretizza in una chiamata attraverso la quale un sistema vocale automatizzato, ingenerando nella vittima un senso di urgenza, riesce ad ottenere informazioni e codici con i quali completare l’operazione fraudolenta.

      Man in the middle  l’hacker si inserisce nel flusso di comunicazione dell’utente con il sito ufficiale; egli è uno spettatore terzo ed invisibile il quale, essendo parte nascosta della conversazione, riesce a carpire le informazioni necessarie e utili per il compimento del suo piano criminale.

Il phishing, in ogni sua declinazione, permette quindi all’hacker di raggirare la vittima così da farsi comunicare dati bancari ad esempio le chiavi di accesso dell’home banking ossia di quel servizio bancario che permette al consumatore di effettuare transazioni e altre operazioni dal sito o dall’app dell’istituto di credito.

Quali norme si applicano ai rapporti tra prestatore di servizi ed utilizzatore

La dematerializzazione della moneta ha contribuito quindi alla nascita di strumenti di pagamento surrogati della moneta stessa (i più comuni ed utilizzati sono carte di credito e debito, bonifici, e-payments) i quali insieme costituiscono l’offerta di servizi  che la banca propone ai clienti. L’ormai ruolo marginale ricoperto dalla banconota si pone quindi come concausa della nascita e proliferazione di queste nuove tecniche di frode.

La disciplina riguardante i servizi di pagamento è dettata dal D.lgs. 11/2010 il quale ha subito una importante riforma da parte del D.lgs. 218/2017. 

Quest’ultimo provvedimento recepisce la direttiva UE/2015/2366 cd. PSD2 (Payment Services Directive 2) rinvigorendo non soltanto i presidi di sicurezza dei sistemi di pagamento elettronico ma rafforzando altresì la tutela riconosciuta agli utilizzatori di tali sistemi. Alla normativa appena citata si affiancano inoltre le linee guida dell’ EBA ( European Banking Authority) in materia di autenticazione forte del cliente le quali conducono ad individuare gli standard tecnici minimi di sicurezza afferenti alle operazioni di pagamento.

L’art. 10bis del D.lgs. 11/2010 – introdotto dal D.lgs. 218/2017 – sancisce che venga applicata un’autenticazione forte quando l’utilizzatore acceda al suo conto on-line, disponga un’operazione di pagamento elettronico oppure ponga in essere un’operazione tramite un canale a distanza che possa comportare un rischio di frode.

Cosa si intende per autorizzazione forte

Questo sistema di difesa si fonda su due o più fattori che vengono richiesti nel momento in cui l’utilizzatore voglia accedere ai servizi di pagamento (es. home banking) o voglia disporre un’operazione. 

I fattori che vanno a comporre il sistema di autenticazione è necessario rispondano a tre caratteristiche:

conoscenza, ad esempio una password, un pin;

possesso, un dispositivo che solo l’utente possiede ad esempio uno smartphone;

inerenza, parametri biometrici. Si pensi ad esempio alla lettura delle impronte digitali o alla scansione facciale.

Obblighi a carico dell’utilizzatore e del prestatore di servizi

Stipulato un contratto con l’istituto di credito, il cliente, o meglio l’utilizzatore dello strumento di pagamento, è sottoposto a determinati obblighi di cui all’art. 7 del D.lgs. 11/2010.

Il cliente, abilitato all’utilizzo dello strumento di pagamento, è tenuto ad usufruirne nel rispetto ed in conformità con quanto espressamente previsto dal contratto il quale ne regola appunto l’emissione e l’uso: Tizio, ad esempio, dovrà custodire con cura il pin della carta di credito e dovrà custodirlo separatamente da questa; non deve comunicare a terzi soggetti l’OTP (One Time Password) ricevuto dal sistema dell’istituto di credito  per autorizzare un’operazione.

Laddove lo strumento di pagamento fosse oggetto di smarrimento, furto, appropriazione indebita o uso non autorizzato, il cliente è tenuto a comunicare senza indugio l’accaduto, sempre in conformità con quanto regolato dal contratto, al prestatore del servizio o ad altro soggetto dallo stesso indicato.

In ogni caso, l’utilizzazione di tali dispositivi deve essere realizzata ponendo in essere misure idonee a garantirne la sicurezza.

Per quanto concerne invece gli obblighi cui è sottoposto il prestatore di servizi, essi sono contenuti all’art. 8 del medesimo decreto legislativo. 

Il prestatore, emesso lo strumento di pagamento, deve garantire che i dispositivi che permettono l’utilizzo di tali strumenti non siano accessibili a persone diverse dall’utilizzatore; non deve inviare strumenti che non siano stati richiesti dall’utilizzatore salvo quello già emesso debba essere sostituito; deve assicurare la presenza di strumenti adeguati perché l’utilizzatore possa comunicare agevolmente uno dei fatti enunciati sopra ( furto, smarrimento ecc) ed è tenuto ad impedire l’utilizzazione dello strumento in seguito alla comunicazione.

Cosa fare in caso di operazioni non autorizzate

Pensiamo al caso in cui, venendo ingannati dal phisher che crediamo essere un operatore della banca di cui siamo clienti, a seguito della comunicazione dei nostri codici, venga effettuato un trasferimento di denaro dal nostro conto: in questo caso siamo in presenza di un’operazione non autorizzata.

L’art. 9 del D.lgs. 11/2010 dispone che l’utilizzatore può ottenere la rettifica di un’operazione di pagamento non autorizzata o inesatta comunicando senza indugio quanto avvenuto al prestatore di servizi; in ogni caso, la comunicazione deve essere effettuata entro il termine di 13 mesi dal momento in cui è avvenuto l’addebito, ossia quando l’utilizzatore abbia pagato, o l’accredito, nel caso in cui invece l’utilizzatore abbia ricevuto il pagamento.  Ciò detto, laddove si vedesse addebitata sul nostro conto una somma che non è stata oggetto di alcuna operazione da noi disposta, è nostro onere informare l’istituto di credito della circostanza.

Onere della prova in caso di disconoscimento dell’operazione

Effettuato il disconoscimento dell’operazione, il prestatore di servizi deve procedere ad effettuare il rimborso. Tuttavia, nel caso ci sia un sospetto di frode, può sospendere il rimborso dandone tempestiva comunicazione al cliente. Resta comunque l’onere per il prestatore di provare che l’operazione in oggetto sia stata correttamente autenticata, registrata e contabilizzata  e che non siano intervenuti malfunzionamenti o guasti tecnici. Come si può rilevare da quanto appena detto, opera un’inversione dell’onere della prova: spetta al prestatore del servizio dimostrare che il meccanismo informatico abbia funzionato e i passaggi che scandiscono l’esecuzione dell’operazione siano stati correttamente posti in essere.

L’aver utilizzato uno strumento di pagamento registrato non è infatti ex se sufficiente a dimostrare che l’utilizzatore abbia autorizzato l’operazione o che questi abbia agito fraudolentemente, con dolo o con colpa grave; alla prova della corretta autenticazione, registrazione e contabilizzazione, il prestatore infatti, affinché possa essere esonerato da responsabilità, deve altresì fornire la prova della frode, del dolo o della colpa grave dell’utilizzatore ex art. 10, comma 2 , D.lgs. 11/2010. 

Tale norma, quindi,  accentua e potenzia maggiormente la tutela del cliente utilizzatore il quale si trova in una situazione più svantaggiata rispetto a quella del prestatore il quale, richiamando una decisione dell’Arbitro Bancario Finanziario, dovrà fornire almeno la prova che la condotta dell’utilizzatore non abbia osservato il grado minimo di diligenza che viene generalmente osservato.

Si segnala inoltre che, in determinati casi, individuati dal D. M. 112/2007, l’intermediario può intervenire per bloccare la carta, di cui la vittima è titolare, o per verificare l’autenticità delle operazioni: l’art. 8 del decreto citato dispone che si configura il rischio di frode qualora:

  • vengano effettuate sette  o  più richieste di autorizzazione nelle 24 ore per una stessa carta di pagamento;
  • vengano effettuate una o più richieste di autorizzazione che nelle 24 ore esauriscano il plafond (importo limite della carta); 
  • vengano effettuate due o più richieste di autorizzazione, provenienti da Stati diversi, effettuate con la medesima carta nell’arco di  60 minuti.

Vittima di phishing: come comportarsi

 Dopo aver definito cosa sia il phishing e quali sono gli obblighi per il prestatore di servizi, è bene aprire una parentesi su quali sono le armi che un soggetto ha a sua disposizione, per far valere i propri diritti di “persona lesa”.

Una volta individuata l’anomalia, anche grazie all’aiuto di uno specialista, la soluzione migliore sarebbe quella di cercare di ottenere il rimborso mediante un reclamo da presentare all’intermediario.

Qualora l’intermediario rifiuti il rimborso, o decida di corrispondere solo un rimborso parziale, si potrà sottoporre il caso ad un giudice o all’Arbitro Bancario Finanziario che accerterà la responsabilità della banca o dell’intermediario finanziario in questione, stabilendo anche la sussistenza di un eventuale ulteriore danno non patrimoniale che l’intermediario sarà tenuto a risarcire al cliente

4

Articoli correlati

La revoca del fido…

In questo articolo parliamo di una situazione molto comune per i piccoli imprenditori: la revoca del fido bancario. Che cos'è il fido bancario Il contratto di apertura di credito (art.…
Leggi di più

Cosa prevede il D.P.C.M…

Ufficialmente emanato il nuovo D.P.C.M.  del 3 novembre 2020 che istituisce, tra le altre cose, la zona ROSSA in Calabria, Lombardia, Piemonte e Valle d'Aosta. Cosa prevede il D.P.C.M per…
Leggi di più

La separazione giudiziale: guida…

L’istituto della separazione giudiziale è alternativo a quello della separazione consensuale e trova la propria fonte all’articolo 151 del codice civile e all’articolo 706 e seguenti del codice di procedura civile. Si tratta di un…
Leggi di più