Cerca

PHISHING E MAN IN THE BROWSER. Truffe su home banking. Quando ne risponde la banca?

ABSTRACT.

Phishing significa letteralmente “pescare”.

Si tratta di un tentativo di truffa che mira a carpire le informazioni ricercate dal truffatore (phisher), necessarie per compiere operazioni bancarie all’insaputa del titolare del conto.

IL PROBLEMA.

Nonostante sia un fenomeno diffuso da oltre 20 anni, sono ancora molti gli utenti che “abboccano” a questa tipologia di truffe informatiche, che trova campo elettivo proprio nella home banking.

I truffati si accorgono della presenza, sul proprio conto, di operazioni non autorizzate.

Per effetto di queste truffe, si ha dunque la sottrazione di somme di denaro dal proprio conto corrente tramite operazioni poste in essere da terzi soggetti.

Quando ne risponde il cliente? Quali sono le ipotesi in cui ne risponde la banca?

COSA DICE LA LEGGE.

Iniziamo col dire che la materia in esame è regolata dal D.lgs. 11/2010.

La parte che interessa ai nostri fini è in particolare il Capo II, relativo alla “Autorizzazione di operazioni di pagamento”, di cui agli artt. 5-14 del decreto.

Tale normativa istituisce un regime di speciale protezione e speciale favor probatorio nei confronti degli utenti, dal momento che è la banca a dover dimostrare la colpa grave ovvero il comportamento fraudolento dell’utente.

In particolare, l’art. 10 del citato decreto stabilisce che, qualora il cliente neghi di avere autorizzato un’operazione di pagamento, è onere della banca provare che l’operazione di pagamento contestata:

  1. a) sia stata autenticata;
  2. b) sia stata correttamente registrata e contabilizzata;
  3. c) non abbia subito il malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti.

La prova di tali elementi – si aggiunge nel secondo comma dello stesso articolo – non è sufficiente a dimostrare che l’operazione sia stata autorizzata né che vi sia dolo o colpa grave del cliente. Il dolo e la colpa grave di quest’ultimo deve, difatti, essere specificamente provato dalla banca.

L’utente, dunque, rimane responsabile limitatamente alle ipotesi in cui abbia agito fraudolentemente (dolo) o con colpa grave ed in particolare sia stato, dolosamente o colposamente, inadempiente agli obblighi cui è tenuto ai sensi dell’art. 7 del d. lgs. 11/2010.

Tali obblighi consistono:

  1. nell’utilizzo da parte dell’utente dello strumento di pagamento in conformità alle condizioni contenute nell’accordo quadro che regola il servizio (che devono essere obiettive, non discriminatorie e proporzionate), adottando le misure atte a garantire la sicurezza delle credenziali personalizzate;
  2.  nella tempestiva denuncia di furto, smarrimento, appropriazione indebita o altro uso non autorizzato dello strumento di pagamento all’intermediario o ad altro soggetto da questi indicato, non appena ne viene a conoscenza, secondo le modalità stabilite nel contratto quadro.

Orbene, qualora l’intermediario non riesca a dimostrare tale responsabilità in capo al cliente, sarà l’intermediario stesso a rispondere delle perdite subite da quest’ultimo.

Ai sensi dell’art. 11, difatti, la banca ha l’obbligo, in tale eventualità, di riportare il conto “nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo, assicurando che la data valuta dell’accredito non sia successiva a quella dell’addebito dell’importo”.

Ciò nonostante, in caso di motivato sospetto di frode, l’intermediario ha la facoltà di sospendere il rimborso, dandone immediata comunicazione scritta alla Banca d’Italia. Il rimborso, ad ogni modo, non preclude alla Banca la possibilità di dimostrare, anche successivamente, che l’operazione di pagamento era stata autorizzata dall’utente. L’intermediario, in tal caso, avrà diritto di chiedere all’utente la restituzione di quanto rimborsato.

PHISHING CLASSICO E PHISHING DEL TIPO “MAN IN THE BROWSER”.

Le decisioni dell’ABF e la giurisprudenza si sono orientate diversamente a seconda della tipologia di truffa a cui ha abboccato il cliente, ed in particolare a seconda che si sia trattato di phishing classico o phishing del tipo “man in the browser”.

 

PHISHING CLASSICO.

Il phishing classico si articola nelle seguenti fasi:

 

  1. l’utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca).
  2. l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.) oppure un’offerta di denaro.
  3. l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Fake login).
  4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
  5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.

 

Questo è dunque il phishing classico.

In casi come quelli sopra descritti, si attribuisce la responsabilità al cliente e non alla banca. L’aggiramento dei presidi di sicurezza e la circonvenzione del cliente avviene attraverso metodi ormai da tempo noti (e-mail civetta, false comunicazioni di scadenza, invito all’aggiornamento di database ecc.) che il cliente dovrebbe ormai conoscere o che dovrebbe essere in grado di evitare adottando un minimo di diligenza, anche grazie alle campagne di informazione che media e banche hanno attuato da tempo.

Il cliente è vittima di una colpevole credulità, in quanto arriva a comunicare le proprie credenziali al di fuori del circuito operativo dell’internet banking, nonostante tali forme di truffa dovrebbero essere ben note anche a chi non naviga molto su internet.

PHISHING DEL TIPO “MAN IN THE BROWSER”.

Si tratta di una ipotesi molto particolare in cui, nonostante la banca abbia messo a disposizione del cliente dispositivi tecnologicamente avanzati (come la c.d. autenticazione a due fattori) ed il cliente li abbia correttamente utilizzati, si verifica ugualmente la truffa per mezzo di un virus che permette al malfattore di intercettare e manipolare il traffico internet che l’utente crede privato e protetto.

Come si verifica?

Viene efficacemente spiegato dall’ABF.

Il malware si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l’attenzione dell’utenteIl malware resta completamente “in sonno” attivandosi solo nel momento in cui l’utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino (targeted banks). In quel preciso istante il malware “si risveglia” ed entra in azione captando il collegamento dell’utente e propinandogli una pagina-video esattamente identica a quella che l’utente è abituato a riconoscere in sede di accesso regolare al sito del proprio intermediario.

L’unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) “http” e non già “https” (dove la “s” finale sta per secured, protetto). Ignaro dell’intervenuta sostituzione della pagina, l’utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera.

In casi simili, nessuna colpa può essere addebitata al cliente, il quale non ha fatto che operare in un ambiente che pareva essere esattamente identico all’ambiente originale informatico della sua banca, che a chiunque apparirebbe genuino e autentico.

L’unica differenza risiede nel protocollo di trasferimento che sarà “http”, anziché “https”.

In queste ipotesi, non può la banca imputare la colpa al cliente che non abbia attivato il servizio di SMS ALERT, trattandosi di un sistema che non vale a prevenire l’operazione fraudolenta ma implica una comunicazione solo in un momento successivo al compimento della stessa.

Ancora, la banca non può imputare l’evento fraudolento alla probabile presenza del malware nel sistema del cliente. È difatti noto che caratteristica peculiare dei servizi di internet banking consiste proprio nella sua attivabilità da qualsiasi postazione informatica, anche da un internet cafè. Sarebbe impensabile, pertanto, esigere che il cliente possa avere il controllo di ogni postazione informatica da cui accede.

CONCLUSIONI.

È possibile, dunque, concludere che, in ipotesi di phishing, al fine di verificare la sussistenza di una responsabilità della banca o del cliente, sarà necessario valutare le circostanze del caso concreto.

La banca dovrà dimostrare l’esistenza di una serie di elementi di fatto (indizi gravi, precisi e concordanti) che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente/cliente.

Nardò, 5 febbraio 2021

Iscriviti al canale YouTube

Altri articoli della stessa categoria:

LE TUE PRATICHE dove vuoi quando puoi

Cerca