Il Tribunale di Milano ha analizzato la vicenda di due correntisti che nell’arco di sei giorni si sono visti prosciugare i conti correnti a seguito di ripetute operazioni di home banking.
I due sono stati vittime di una tecnica di phishing particolarmente evoluta ed insidiosa.
Accortisi dell’accaduto si sono affrettati a disconoscere le operazioni, a loro non riconducibili e da loro non autorizzate, sporgendo tempestiva denuncia affinchè le autorità preposte indagassero per scoprire gli autori del reato di cui erano rimasti vittime.
Successivamente, non essendo addivenuti ad una composizione bonaria della vertenza con l’istituto bancario, i correntisti citavano in giudizio l’intermediario creditizio con l’accusa di aver omesso l’adozione di idonee misure di protezione del sistema informatico, rendendo, così, gioco facile agli autori della condotta criminosa.
Una volta appurato il raggiro e identificato il phisher, ci si è posti il problema di verificare la responsabilità civile della banca con conseguente obbligo a risarcire il danno patito o, quantomeno, di ripianare la perdita.
Nel caso di specie, il sorgere della responsabilità contrattuale in capo all’intermediario è, in primo luogo, correlato all’assenza di adeguati standard di sicurezza messe a disposizione dei correntisti e che, all’epoca dei fatti, risultavano già generalmente adottati dagli altri operatori, per cui emergeva la violazione dell’obbligo, di fonte negoziale, di adottare, o comunque fornire il proprio cliente, di misure tecniche idonee ad evitare che terzi potessero ottenere fraudolentemente le credenziali di accesso al servizio di home banking.
Infatti, la banca non aveva dotato la clientela del dispositivo comunemente indicato come OTP - One Time Password- in grado di generare password usa e getta.
All’infrazione della clausola contrattuale, che pone a carico del gestore del servizio l’obbligo di garantirne la sicurezza con l’impiego di idonei strumenti di crittografia, si affianca un ulteriore inadempimento, per cui, l’operatore professionale, dopo le prime operazioni sospette, non è stato in grado di attivarsi tempestivamente impedendo la prosecuzione dell’attività illecita e almeno alleviato il danno.
A seguito della vicenda, inoltre, è emersa la differenza tra il phishing meno evoluto, nel quale il cliente applicando la diligenza minima è oggettivamente in grado di riconoscere ed evitare il raggiro, e una versione più sofisticata della stessa tecnica che, invece, non pone l’utente medio nella condizione di prendere alcuna contromisura.
La tecnica di intrusione utilizzata nella fattispecie, definita come “maninthebrowser” è caratterizzata dall’uso di un malware che annidandosi in modo silenzioso nel computer della vittima non crea alcun malfunzionamento o alterazione del sistema.
Detto malware, che rimane quiescente fino al momento in cui l’utente si colleghi ad un sito finanziario compreso fra e quelli che il programma abbia posto nel mirino, non desta alcun sospetto.
Viene così visualizzata una schermata che si presenta graficamente identica a quella regolare del sito dell’istituto bancario, se non fosse per l’unica rilevante differenza, che la pagina sostituita presenta un prefisso di accesso (c.d. protocollo di trasferimento) “http”, anziché “https”.
Alla luce di un tale affinamento della tecnica utilizzata non è possibile riconoscere una colpa grave dell’utente, per tanto, è ravvisabile in capo all’intermediario l’obbligo al rimborso previsto dalla disciplina sui servizi di pagamento.
Di seguito, la sentenza del Tribunale di Milano.
Nessun commento:
Posta un commento