Il fenomeno del "man in the browser" è un tipo di truffa consolidato, ma che colpisce ancora molti consumatori a cui vengono sottratte somme di denaro dai propri conti correnti o carte prepagate, senza che siano previste delle difese adeguate per contrastare questi ladri digitali.
In molti casi, come nella vicenda oggetto del recente provvedimento adottato dall'Arbitro Bancario Finanziario - Collegio di Torino, la responsabilità ricade sull'intermediario bancario che non ha predisposto adeguate difese per tutelare il proprio cliente.
- In cosa consiste il "man in the browser"
Usualmente, con "man in the browser" (MITB) viene identificata una specifica tipologia di truffa informatica che rientra nella famiglia del “Man in the middle”, cioè quell'insieme delle minacce informatiche ove il cyberattacco si sviluppa nella ricerca di intercettare e manipolare (truccare) il traffico internet in determinati siti web che si ritengono protetti, come ad esempio l'home banking.
Nel caso di di man in the browser, il truffatore tecnologico (hacker) si inserisce nel dialogo tra l'utente e il server, intercettando e modificando i vari messaggi, al fine di sottrarre somme di denaro.
Molto spesso, come nella vicenda oggetto del provvedimento in commento, la truffa viene accompagnata dal c.d. voice phishing (vishing), ossia il tentativo di sottrarre dati sensibili del cliente attraverso una telefonata, spacciandosi per un dipendente/consulente della banca.
L'ABF ha chiarito il fenomeno con la decisione n. 3498 del 2012, ove viene chiarito il fenomeno: "Nella sua massima espressione di efficienza aggressiva, il programma malevolo, una volta annidatosi in un certo numero di computer, genera quella che in gergo suole definirsi una botnet, ossia per l’appunto una rete di macchine egualmente infettate dallo stesso virus. Il malware – riconducibile alla più ampia categoria dei cc.dd. trojan (“cavalli di Troia”) e dotato di sofisticate capacità di elusione dei migliori antivirus – si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l’attenzione dell’utente. Il malware resta completamente “in sonno” attivandosi solo nel momento in cui l’utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino (targeted banks). In quel preciso istante il malware “si risveglia” ed entra in azione captando il collegamento dell’utente e propinandogli una pagina-video esattamente identica a quella che l’utente è abituato a riconoscere in sede di accesso regolare al sito del proprio intermediario. L’unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) “http” e non già “https” (dove la “s” finale sta per secured, protetto). Ignaro dell’intervenuta sostituzione della pagina, l’utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera.".
Superate le barriere, il truffatore può far compilare un codice OTP al cliente, sistema di sicurezza previsto da molte banche, ed entrare liberamente nel conto corrente on line del malcapitato consumatore, il quale si vedrà sottratti i denari in men che non si dica.
Quale può essere la responsabilità dell'intermediario bancario nel caso in cui il cliente abbia subito una truffa, magari comunicando il codice pin?
I punti fondamentali della responsabilità del professionista vengono trattati con la decisione oggetto del nostro intervento domenicale.
- Man in the browser - la responsabilità della banca e quella del cliente
Il Collegio torinese di ABF espone le norme che regolano questa materia: "il d.lgs. n. 11/2010 di recepimento della direttiva 2007/64/CE in materia di servizi di pagamento (meglio nota come PSD) ha ripartito gli obblighi del prestatore e dell’utilizzatore di tali servizi, da un lato, imponendo all’utilizzatore gli obblighi di utilizzare lo strumento di pagamento in conformità con il contratto stipulato con il prestatore (art. 7),di comunicare senza indugio al prestatore le operazioni di pagamento non autorizzate di cui sia venuto a conoscenza (art. 9) e di adottare accorgimenti idonei a garantire la sicurezza e la riservatezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento stesso (art. 12) e, dall’altro lato, imponendo al prestatore, tra gli altri, l’obbligo di adottare presidi di sicurezza atti ad “assicurare che i dispositivi personalizzati che consentono l’utilizzo di uno strumento di pagamento non siano accessibili a soggetti diversi dall’utilizzatore legittimato ad usare lo strumento medesimo, fatti salvi gli obblighi posti in capo a quest’ultimo” (così l’art. 8, comma 1, lett. a), del citato d.lgs. n. 11/2010).".
Quindi, riassumendo:
Il cliente deve:
a- usare lo strumento di pagamento in conformità del contratto;
b.- comunicare immediatamente le operazioni sospette (anche con presentazione di denuncia operata dell'immediatezza) disconoscendole;
c.- cercare di navigare in rete in sicurezza e riservatezza;
la banca deve:
a.- predisporre tutti i sistemi di sicurezza più idonei volti ad evitare questo tipo di truffe
Ma cosa succede se il cliente nega di aver eseguito quell'operazione, disconoscendola? la medesima decisione è chiara sul punto: "qualora l’utilizzatore neghi di aver autorizzato un’operazione di pagamento, grava sull’intermediario provare che l’operazione stessa è stata autenticata, correttamente registrata, contabilizzata, e che durante la sua esecuzione non si siano verificati malfunzionamenti delle procedure necessarie per la sua esecuzione o di altri inconvenienti (art. 10).".
L'onere della prova di aver tutelato il cliente spetta all'intermediario, con l'unico limite che le operazioni in contestazioni siano state colposamente realizzate dal consumatore con il fine deliberato di sottrarre i soldi alla banca.
Nel caso di specie, la banca non ha offerto sufficiente prova di aver predisposto le tutele migliori volte ad evitare che il cliente cadesse nella trappola telematica, con conseguente condanna dell'intermediario a risarcire l'intero danno sofferto dal cliente.
Collegio di Torino - pronuncia del 15 marzo 2023
Man in the browser - Postepay condannata a risarcire by Consumatore Informato on Scribd
Nessun commento:
Posta un commento