Law

Truffe online e patrimonio virtuale: la cassaforte è nel telefono

Con la crescita imponente della digitalizzazione dei pagamenti, la nostra nuova cassaforte è online.
Con l’imminente scomparsa delle transazioni in contanti, tutti i redditi da lavoro aziendali e i risparmi privati sono ormai anch’essi online.
La cassaforte è diventata virtuale: non cambiano i numeri o le combinazioni, ma l’accesso non è più solo fisico e legato alla violazione del domicilio o di un’abitazione con tutti i pericoli connessi; ai malfattori non è più necessario entrare nelle case per fare bottino, rischiando di trovare il proprietario in casa e dovendo combattere de visu con i codici di una cassaforte in acciaio. Anche le telecamere, private o delle banche, non serviranno più: il criminale sarà anonimo, si troverà in una qualsiasi parte del mondo e avrà solo necessità di un accesso a un server per entrare nelle casseforti di istituti finanziari, banche e cittadini.
Il truffatore non avrà più bisogno di un travestimento reale, bensì di un outfit virtuale: si travestirà da gestore dei risparmi del malcapitato, utilizzando la stessa mail – pishing – e lo stesso numero di telefono – smashing e voce-vishing – per accompagnarlo con la menzogna dell’essere incaricato dall’istituto finanziario di riferimento per farsi fornire le chiavi di accesso alle casseforti online. Ottenuta la combinazione dei codici per l’autenticazione entrerà nel suo piccolo o grande tesoretto e lo svaligerà con pochi click.

Con il pishing chiederà tramite mail i dati dell’utente fornendo come riconoscimento la stessa pagina web del suo istituto o ente finanziario. Con lo smishing, ancora più insidioso, utilizzerà lo stesso numero della sua banca. Lo stesso numero con cui da mesi o anni la banca fornisce al malcapitato comunicazioni standard sull’utilizzo dell’home banking o altra app.
Di solito rimanda inserendo un link che riporta esattamente al sito della banca, identico in parole e design. Ecco che ci sentiamo sicuri! E recepiamo quel messaggio nel nostro interesse come la richiesta di riattivare il servizio per un blocco momentaneo che necessita dei codici di accesso. Il gioco è fatto.
Con il wishing i truffatori usano quello stesso numero di telefono della banca e contattano l’utente, di solito come responsabili di sicurezza dell’home banking o app finanziaria. La loro voce persuade ad aiutarli a mantenere la sicurezza dell’account. Ovviamente chiedono i codici di accesso per poter in un secondo momento provvedere a emettere transazioni su conti correnti esteri creati ad hoc, prosciugando il conto online.

La responsabilità della truffa e le nuove sfide del 2021

Le tecniche si sono talmente affinate che nella quantità di informazioni che recepiamo ogni giorno dai canali di comunicazione la soglia di attenzione si abbassa e molti affidano le proprie pecore al lupo. È naturale chiedersi se l’inganno del truffatore determinato dall’uso di strumenti persuasivi sia diretta responsabilità di chi offre il servizio.
Per intenderci, con l’acquisto di una cassaforte certificata dal venditore come inattaccabile, se l’acquirente scopre che è stata forzata con un semplice arnese – utile per forzare al limite una portiera di un auto – chi è responsabile della sicurezza dei suoi beni?
Sia la giurisprudenza che gli istituti di controllo dei flussi finanziari stanno incentrando sempre più la loro attenzione sulle responsabilità da deficit di sicurezza dei portali online delle banche e di tutti gli enti finanziari, anche statali. Il furto dei dati è il banco di prova su cui enti finanziari pubblici e privati dovranno sempre più difendersi dalle minacce di hacker delinquenti alla conquista dei piccoli e grandi patrimoni privati e pubblici. La sfida degli anni ‘20 passa da qui. Se all’innalzarsi degli strumenti di acquisizione fraudolenta dei dati non ci sarà un altrettanto sofisticato sistema di protezione finanziaria, le cause di risarcimento ai cittadini per furto e truffe online si moltiplicheranno.
Al momento non sembra che le autorità finanziarie pubbliche e private possano garantire la massima sicurezza nel viaggio online delle vecchie banconote cartacee. Chi oggi è vittima di truffa online attraverso l’intermediazione finanziaria potrà, se nelle condizioni, richiedere il risarcimento per intero al proprio gestore pubblico o privato dei risparmi e dei propri redditi o investimenti.

Truffe online e home banking tra la diligenza del buon padre di famiglia e quella dell’accorto banchiere

Per la polizia postale vi è un vertiginoso aumento di denunce da parte dei cittadini per addebiti causati da pishing, vishing e smishing. Bisogna diffidare da e-mail, sms o telefonate che concederebbero vincite di presunti concorsi, offerte di lavoro e regali, e ancora di più di chi contatta per chiedere conto di problemi verificatisi con il proprio conto corrente o di effettuare l’aggiornamento delle password di accesso in scadenza.
Dietro queste richieste di invito si può anche richiedere di discollegarsi al mobile banking per sbloccare il conto o regolarizzare la propria situazione bancaria.
Ma se ciò accade e il truffatore travestito da operatore del gestore economico sembra affidabile, ci si ritrova il conto azzerato. Di chi è la responsabilità?

Per la cassazione

L’eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento. Ecco la diligenza bancaria richiesta. Tale diligenza deve prevedere ed evitare con propri strumenti il collegamento di operazioni illecite di terzo alla volontà di utilizzo del correntista.
Quale è il limite alla diligenza bancaria del CD bancario accorto?
La banca non risponde del danno patito dal cliente solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (Corte di cassazione con l’ordinanza 12 aprile 2018, n. 9158.).

Ciò vuol dire che se il cliente abbia fornito i propri codici di accesso senza aver fatto alcuna verifica sulla competenza e identità del richiedente i codici stessi, il cliente sarebbe unico responsabile di tale leggerezza. Sostanzialmente la diligenza bancaria e la sua responsabilità si frena laddove l’utente non abbia utilizzato la cosiddetta diligenza del buon padre di famiglia. Concetto giuridico generico che tuttavia va messo a confronto con le nuove sofisticate tecniche dei cyber truffatori finanziari. Se questi da un lato affinano sempre più le tecniche persuasive e illustrative della loro credibilità di essere diretta espressione di istituti finanziari su cui il cittadino ha il proprio denaro, non sempre si può dire per gli istituti finanziari stessi. Pertanto, laddove l’istituto finanziario non abbia in dotazione per il cliente un home banking online garantito dall’autenticazione forte detta “SCA strong costumer autentication” la banca dovrà sempre risarcire il cliente.
Non basta più la semplice autenticazione ma la doppia. Solo l’uso dell’OTP one time password non è una forma di sicurezza che toglie alla banca le sue responsabilità di garante. Ad oggi è necessaria la doppia autenticazione forte prevista a livello europeo.
Il primo requisito è spesso il nome utente e password dell’home banking o della app, mentre il secondo dovrebbe coincidere con i dati biometrici, come ad esempio l’impronta digitale per far partire il pagamento. La sola OTP – considerato il grado di persuasione raggiunto dai truffatori non è un secondo passaggio di sicurezza dirimente. Di questo avviso anche l’ABF – Arbitrato Bancario Finanziario che in tali casi è davvero dalla parte del cittadino.
Per cui può ben dirsi che in assenza di una doppia autenticazione, anche se comunichiamo i dati del nostro home banking al truffatore la banca dovrà sempre risarcire.
Ogni truffa subita – valutata caso per caso à può essere fonte di legittimo risarcimento da parte dell’istituto bancario, ma resta certo l’amarezza che i primi responsabili possano godersi il frutto dei loro raggiri. Anche in tal senso le investigazioni finanziarie e gli strumenti di intercettazione dei flussi finanziari provenienti dalle truffe online dovranno velocemente migliorare, al pari della grande crescita del mondo economico digitale

Avv. Gianluca Iaione
Opera LTB