CYBER TRUFFE, BANCHE E INDUSTRIE IN PERICOLO

CYBER TRUFFE, BANCHE E INDUSTRIE IN PERICOLO

29 maggio 2018

Nel 2017 è stato attestato un rilevante aumento dei reati informatici, soprattutto nel settore bancario.

Per contrastare tale fenomeno sono necessarie delle accurate e costanti azioni di prevenzione.

Fondamentale per l’azione di contrasto alle frodi informatiche, è il ruolo dell’Eu-Of2Cen, European Union Online Fraud Cyber Centre Expert Network.

Si tratta di una piattaforma che raccoglie tutte le segnalazioni provenienti da banche e forze dell’ordine su transazioni sospette che avvengono in rete. Tramite tale sistema le forze di polizia di vari paesi, con l’aiuto di altre istituzioni, si coordinano e interagiscono tra loro per combattere la lotta alla criminalità finanziaria.

Sono migliaia i casi di cyber truffe emersi negli ultimi tempi, tra i più comuni la Ceo Fraud e le frodi Bec (Business e-mail compromise).

In cosa consistono? Avvengono tramite l‘utilizzo di un’e-mail apparentemente appartenente a dirigenti e amministratori delegati per trarre in inganno dipendenti o semplici cittadini inducendoli a depositare rilevanti importi monetari su conti correnti (spesso esteri), o a rilasciare i dati di accesso della propria home banking.

Comunicazioni create a regola d’arte per far credere al dipendente o cittadino che l‘ordine di spostamento del denaro o la richiesta dei dati personali provenga da un soggetto al vertice dell’azienda o struttura bancaria.

Sarebbe opportuno accedere alla propria home banking digitando manualmente l’indirizzo del sito sulla schermata del proprio pc e, prima di procedere per gli spostamenti di rilevanti somme di denaro, accertarsi personalmente, anche tramite una semplice chiamata, sull’identità della persona che ne richiede la transazione.

Le frodi riscontrate a seguito dei reati informatici illeciti si attestano intorno ai 960 mila euro a danno di banche e industrie italiane, ma lo stesso accade in altri paesi d’Europa.

Dove finisce il denaro sottratto a seguito di queste truffe?

Le organizzazioni criminali intestano carte postepay su cui far arrivare il denaro sporco a prestanomi assoldati nelle cd. mense dei poveri. Gente disposta per modiche cifre a prestarsi come complice per il compimento dell’attività criminale.

Al contrario di quello che si potrebbe pensare, tra le prime mete Europee di destinazione del denaro che viene frodato in Italia si trovano: Germania, Regno Unito e Slovacchia.

Risulta necessaria una maggior attenzione non solo da parte degli istituti bancari ma anche degli stessi utenti del web che spesso, incoscienti dei pericoli del mondo digitale, rilasciano dati e informazioni personali.


Chi è tenuto a rispondere della truffa operata tramite internet?

Da una recente pronuncia (sentenza n.277/2016, Giudice di pace di Campobasso) è emerso il filone giurisprudenziale orientato alla tutela del correntista fruitore del servizio di home banking e vittima della sottrazione fraudolenta di denaro

La truffa posta in essere nel caso di specie consisteva nell’invio di messaggi di posta elettronica volti a indurre in errore l’utente rinviandolo ad un sito-truffa al fine di sottrargli importi di denaro.

 Ai correntisti era stato addebitato un importo di circa 4.000 euro. Gli stessi si erano rivolti alla propria banca per ottenere la ripetizione delle somme sottratte. L’istituto bancario si è rifiutato agendo in giudizio.

A parere del giudice di pace adito si tratta di un caso di responsabilità contrattuale,

(rapporto di conto corrente tra gli attori e banca): l’istituto bancario doveva adottare tutte le misure idonee al fine di garantire la sicurezza del servizio erogato. Per il servizio di home banking, è necessaria la garanzia di un adeguato standard di sicurezza nell’effettuazione dei pagamenti.

 

La Banca può considerarsi priva di responsabilità?

 

Solo in un caso la Banca può ritenersi priva di responsabilità: qualora dimostri di aver adottato tutte le misure atte a impedire il verificarsi di operazioni e comportamenti fraudolenti e volte a tutelare la clientela.

Al contrario, l’istituto bancario, resta esente dal risarcimento al correntista qualora provi che il fatto si sia verificato a seguito di una condotta negligente o imprudente del cliente (come nel caso in cui il correntista apra ed inserisca i propri dati di accesso all’home banking in e-mail finite in spam).

La custodia dei dati da parte degli istituti bancari, deve avvenire in modo da ridurre al minimo i rischi ad essa connessi. Esistono varie sistemi come quello di doppia autenticazione e di conferma dell’operazione con apposito pin inviato tramite sms al titolare del conto o ancora quello dell’One Time Password (OTP). Quest’ultimo consiste nell’impiego di una parola chiave usa e getta, che rende le transazioni più sicure.

 Il giudice di pace di Campobasso, avendo ritenuto assenti le idonee misure richieste per far si che la banca non incorra in responsabilità, ha riconosciuto agli attori il diritto alla restituzione della somma di denaro loro sottratta.

La banca convenuta può essere ritenuta responsabile per non essersi adeguata agli standard di sicurezza dei sistemi informativi come l’adozione del sistema di autenticazione basato su OTP.

 

Man in the browser

 

Per Man in the browser s’intende quella fattispecie dove gli hackers si intrufolano nei pc o sistemi informatici delle vittime per rubare gli accessi dei conti correnti online e sottrarre importi di denaro o dati e informazioni personali.

Una recente sentenza dell’Arbitro Bancario Finanziario, l'organismo per la risoluzione stragiudiziale delle controversie tra banca e clientela, ha chiarito le responsabilità della banca e del correntista in casi come questo. In assenza di colpa grave del titolare del conto la responsabilità cadrà in capo alla banca che sarà tenuta al risarcimento del denaro sottratto al correntista. La colpa grave di manifesta nei casi in cui il correntista non agisca con diligenza (diligenza media).

 

Cosa fare?

 

Se si è vittima di un'operazione di phishing l’utente deve avvertire la Banca presso la quale detiene il conto e presentare denuncia penale all'autorità giudiziaria (per i reati di truffa, frode informatica e accesso abusivo ad un sistema informatico).

 

Il risarcimento dei danni da phishing

 

La condotta del phishing ha rilievo penale ed è fonte di risarcimenti e rimborsi.

Come confermato dalla Corte di Cassazione, II sezione panale, in tali casi vi è concorso di reato. Il primo consiste nell’accesso abusivo ad un sistema informatico e telematico

Il secondo consiste nella frode informatica (prelievi di denaro da conti correnti altrui tramite raggiri). La conseguenza è che il soggetto offeso deve essere risarcito del danno patrimoniale.

 

Chi sono i responsabili di tale truffa?


I soggetti che stanno dietro all’operazione di sottrazione di importi di denaro da conti correnti rischiano di andare incontro a condanne penali per accesso abusivo a un sistema informatico e truffa. Ma non solo, i soggetti sottoposti a sanzioni sono anche coloro che si prestano quale prestanome per riceve sul proprio conto bancario le somme sottratte alle vittime. Se tali soggetti agiscono consapevolmente risponderanno a titolo di concorso di reato, altrimenti saranno imputati per ricettazione o riciclaggio.

 

La Banca è tenuta a risarcire i propri clienti delle somme sottratte a seguito dall’attività di phishing?

 

Un contributo significativo in materia è stato offerto dalle decisioni dell’Arbitro Bancario Finanziario. È necessario fare una distinzione tra phishing meno evoluto dove il cliente operando con un minimo di diligenza (diligenza media) avrebbe potuto evitare l’aggiramento dei sistemi di sicurezza. In tal caso non potrà chiedere alla banca il risarcimento.

Mentre per le tipologie di phishing più sofisticato, è la stessa banca che si deve adoperare per adottare tutte le misure idonee a prevenire il reato informatico adottando puntuali sistemi di sicurezza. L’assenza di tali misure comporta la responsabilità della banca al risarcimento del correntista per l’importo delle somme sottratte tramite l’attività di phishing.