Che cos’è il phishing e come va evitato? In caso di adescamento, invece, chi è tenuto a subire il costo dell’attività frodatoria subita? Oramai sono diversi i casi passati al vaglio della giurisprudenza ordinaria e dell’Arbitro Bancario Finanziario, sulla scorta dei quali è stata redatta la presente linea guida.
Nuove Tecnologie, Nuovi Rischi?
Con la digitalizzazione dei servizi bancari (operazioni di pagamento e gestioni di risparmio in primis), il crescente utilizzo degli strumenti di Internet Banking tramite smartphone e altri strumenti mobili, il rischio di frodi digitali anche nei confronti di semplici consumatori si è amplificato notevolmente.
Il Phishing.
Tra questi spicca senz’altro il phishing, termine anglofono definibile come l’attività truffaldina perpetrata tramite tecniche di Ingegneria Sociale (Social Engineering) attraverso cui l’attaccante cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile.
- Come viene realizzato?
Più nel dettaglio, la truffa si sequenzia in plurimi atti di raggiro, raggruppabili nel seguente schema di massima.
Il truffatore (phisher) trasmette all’utente una e-mail – oppure un SMS (in questo caso si è soliti parlare di smishing) – a primo acchito identica a quelle provenienti dal proprio intermediario finanziario, istituto di credito o azienda conosciuta, con la quale “informa” l’utente dell’esistenza di falsi problemi legati alla sicurezza del servizio online, del rapporto bancario o di credito in essere nonché di uno o più strumento di pagamento (coordinate IBAN, Bancomat, Carte di credito), fino anche a proporre all’Utente false modifiche al contratto oppure promozioni e soluzioni per la gestione di pratiche legate al rapporto di credito in essere.
Il secondo step della truffa è rappresentato da un invito all’utente a fornire i propri dati personali, il più delle volte mediante l’apertura di un link con un formulario (creato su interfaccia più o meno simile a quella del reale ente finanziario) da compilare all’interno di una schermata che riproduce fedelmente quella dell’intermediario di appartenenza.
Nella maggior parte dei casi i dati così carpiti servono al phisher per eseguire operazioni di pagamento a suo favore o per svolgere altre attività illecite, servendosi delle credenziali dell’utente a tutto danno (economico e non) di quest’ultimo.
- Quali sono le conseguenze giuridiche?
L’attività di phishing espone il phisher, se individuato, a ovvie conseguenze penali, trattandosi di attività truffaldina. Laddove il truffatore sia individuato, questo risponderà sia in sede penale che civile, dovendo altresì restituire quanto illegittimamente sottratto. Tuttavia, non di rado la pratica esaminata viene realizzata da esperti informatici, che agiscono senza lasciar traccia della propria identità, col serio rischio che le conseguenze economiche della truffa (la perdita dei soldi sul conto) resti in capo all’utente frodato.
Tale soluzione, però, evidentemente stride con le esigenze di tutela del risparmio.
In altri termini, ci si è chiesti se fosse giusto che la perdita patrimoniale subita dal Cliente o dall’Utente rimanesse in capo a quest’ultimo o se, invece, dovesse essere ripartita con l’istituto di credito o, da ultimo, coperta da un qualche fondo di garanzia.
- La normativa di riferimento.
A tali quesiti hanno dato risposta il legislatore europeo e nazionale, con l’adozione del d.lgs. 11/2010, attuativo della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno.
Entrambe le fonti normative introducono il principio per cui, in caso di utilizzo non autorizzato dello strumento di pagamento, il pagatore dovrà essere interamente rimborsato, salvo l’ipotesi in cui si provi la sua frode oppure un suo comportamento negligente.
- La possibile responsabilità dell’istituto di credito.
In sostanza, una volta disconosciuta l’operazione di pagamento mediante un’apposita procedura presso l’istituto di credito d’appartenenza, quest’ultimo è investito di un duplice onere, non adempiendo il quale vedrà addebitarsi la responsabilità per le operazioni di cui il cliente è risultato vittima, nonché il conseguente rimborso.
In merito al suddetto onere della prova, corre in aiuto il primo comma dell’art. 10, il quale stabilisce che, in presenza di un disconoscimento di un’operazione di pagamento «[…] è onere del prestatore di servizi di pagamento (Banca o altro istituto di credito) provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti».
Con la recente specifica introdotta al secondo comma per cui «[…] È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente».
In sintesi, in ipotesi di operazioni disconosciute, la banca, per andare esente da responsabilità, dovrà dimostrare la corretta autenticazione dell’operazione di pagamento, dovendo altresì provare l’eventuale frode, il dolo o la colpa grave dell’utente.
Tale enunciato normativo, che pone in capo all’istituto di credito un onere probatorio rafforzato, è stato specificato in via interpretativa dalla giurisprudenza di legittimità, la quale ha specifico l’obbligo gravante sulle Banche, le quali non possono omettere «la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio (…); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere» (Cass. n. 13777/2007; Cass. n. 806/2016).
Ciò sta a significare che la banca potrebbe essere riconosciuta interamente o parzialmente responsabile delle operazioni disconosciute nel momento in cui si appuri che la frode sia stata possibile anche per l’esistenza di carenze all’interno dei sistemi e degli strumenti di sicurezza sviluppati o forniti dalla Banca.
Responsabilità dell’istituto di credito che si ritiene provata laddove l’intermediario medesimo non riesca a dar prova, nemmeno in via presuntiva, dell’incauto comportamento del cliente, come di di recente ribadito dal Tribunale di Pesaro (7 settembre 2021), che ha riconosciuto la ragione dell’utente proprio perché la Banca non ha dato prova del fatto che l’operazione illegittima di pagamento sul conto del cliente era stata resa possibile da un comportamento incauto di quest’ultimo.
- La possibile responsabilità dell’utente.
Ulteriore problema interpretativo si è posto con riferimento alla valutazione dell’esistenza della colpa grave dell’utilizzatore di servizi di pagamento.
In più occasioni, infatti, il phisher riesce a raggiungere l’obiettivo sfruttando l’ingenuità degli utenti, i quali si fanno attirare dalla genuinità dell’e-mail, del messaggio o, ancora, di una chiamata proveniente da un falso numero di telefono della banca (in quest’ultimo caso si è soliti parlare di vishing).
Si pensi, ad esempio, al comportamento del cliente che fornisca a sconosciuti – per via telefonica – il codice OTP (one time password, il classico codice “usa e getta”), necessario per autenticare determinate operazioni di pagamento.
In questo caso la banca potrà agevolmente dimostrare la corretta autenticazione, registrazione e contabilizzazione dell’operazione, nonché la colpa grave del cliente, anche in via presuntiva, provando la ricezione dello stesso di sms di conferma e notifiche push, dimostranti l’intrusione nel proprio Internet banking di sconosciuti provenienti da browser esterni.
- Ci sono strumenti di risoluzione della questione diversi dal giudizio civile?
Va preliminarmente chiarito che, per la risoluzione di questioni del genere trattato (controversie tra clienti e banche/altri intermediari in materia di operazioni e servizi bancari e finanziari), l’ordinamento nazionale prevede lo strumento, più semplice, rapido ed economico rispetto al giudizio ordinario, dell’arbitrato bancario finanziario (ABF) (https://www.arbitrobancariofinanziario.it/).
Arbitro che tradizionalmente, in tali ipotesi, suole distingue tra phishing meno evoluto (truffe facilmente identificabili dal cliente con ordinaria diligenza) e versioni più sofisticate (illeciti perpetrati con esperti del mondo informatico che non consentono all’utente medio di rendersi conto della truffa in atto).
La valutazione sul tenore del phishing, però, andrà effettuata volta per volta, come di recente ribadito nella decisione n. 17473 del 2021 del Collegio Milanese.
In tale ipotesi, infatti, il Collegio milanese ha individuato un’ipotesi di phishing sofisticato, il Collegio ha individuato la colpa dell’istituto di credito nel «non avere adottato tutti i presidi necessari a impedire che un messaggio truffaldino potesse essere inserito da un soggetto terzo nella chat dei messaggi genuini dell’intermediario medesimo (ovvero deve addossarsi sull’intermediario il rischio d’impresa e le criticità organizzative relativi alla modalità di comunicazione e di pagamento adottata)».
- Come comportarsi di fronte al phishing?
Alla luce di quanto esaminato, è evidente come in capo all’utente gravi un onere di diligenza e attenzione rispetto alle comunicazioni apparentemente relative all’Istituto di credito mentre, in capo a quest’ultimo, incomba l’obbligo di informare adeguatamente la propria clientela.
In virtù di detto onere, l’utente dovrà valutare attentamente la provenienza e il tenore delle comunicazioni che l’intermediario è tenuto ad inviare per mettere in guardia il cliente sui pericoli connessi all’uso di strumenti digitale di home banking.
Da ciò consegue che agire secondo “buon senso” si potrebbe interpretare nel non comunicare mai a sconosciuti i propri dati personali e i codici necessari ad accedere ai vari servizi che la banca offre agli utenti.
Va considerato, inoltre, che le banche o gli intermediari finanziari non richiedono mai informazioni strettamente personali attraverso e-mail, social media, chat o telefonate da numeri non riferibili.
Di qui l’importanza di recarsi sempre in filiale oppure di sottoporre all’attenzione del consulente di fiducia eventuali problemi denunciati mediante questi canali di comunicazione.
Infine, alcune precauzioni utili spaziano dall’installazione di programmi antivirus fino all’utilizzo strumenti prepagati per l’acquisto nei siti e-commerce in quanto più sicuri.
Si segnala che laddove l’utente, nonostante le cautele di cui sopra, resti vittima di phishing, dovrà preservare traccia dello strumento attraverso il quale ha subito l’illecito. Difatti, come di recente chiarito dalla decisione dell’ABF n. 20255 del 21.9.2021, l’utente “incauto” dovrà provare l’esistenza dell’SMS cd. civetta, cioè dell’amo gettato dal truffatore. Anche perché la cancellazione o la non produzione in giudizio dello stesso può essere fonte di rigetto del ricorso, rendendo difficile l’individuazione di una colpa concorrente dell’intermediario (cfr. ABF, decisione n. 20255 del 21 settembre 2021).