Truffe informatiche: il phishing
Negli ultimi tempi i tentativi di frode informatica si sono moltiplicati, certamente anche a causa del sensibile aumento di persone che, stando in casa a causa dell’emergenza sanitaria da Covid-19, utilizzano i servizi di home banking ed effettuano transazioni online. In queste settimane molti clienti ci hanno segnalato di essere stati vittima di tentativi di “phishing”, ricevendo sulla propria casella di posta elettronica delle e-mail aventi lo scopo di indurli a condividere informazioni personali.
In questo articolo spiegheremo brevemente che cos’è il phishing e qual è la tutela prevista dal nostro ordinamento per le vittime di frode informatica.
Cos'è il phishing?
Il “phishing” (dall’inglese “to fish”: pescare) è una truffa informatica molto diffusa che viene realizzata attraverso l’invio di un’e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, nella quale si invita il destinatario a fornire dati riservati quali numero della carta di credito, password di accesso ai servizi di home banking, motivando generalmente la richiesta con ragioni di ordine tecnico. Solitamente nel messaggio dell’e-mail, per rassicurare falsamente l'utente, viene inserito un collegamento (link) che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito in modo identico a quello originale.
Come spiegato dalla Polizia Postale sul proprio sito istituzionale, con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf. Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari.
Come difendersi?
La nostra principale e migliore arma di difesa, quindi, in questi casi, è quella di prestare la massima attenzione a qualsiasi e-mail o pec sospetta che ci arrivi e ricordare che né gli istituti bancari, né le Poste Italiane richiedono ai propri clienti di comunicare telematicamente o telefonicamente i propri dati di accesso ai servizi home banking.
Nel caso, comunque, abbiate il fondato sospetto di essere vittime di tentativi di phishing, sarà opportuno segnalare l’accaduto al vostro istituto di credito ed alla polizia postale, procedendo anche a modificare la password dei vostri servizi di home banking con una certa frequenza.
Cosa prevede l’ordinamento nel caso in cui un cliente sia vittima della truffa informatica denominata “phishing”?
A livello generale la materia è disciplinata dalla direttiva sui servizi di pagamento e dal D.Lgs. attuativo nr. 11 del 2010 che prevedono un'apposita regolamentazione in merito alla responsabilità per i danni prodotti da operazioni fraudolente non autorizzate dall’utilizzatore dei servizi di pagamento.
Quindi sull’intermediario, quale l’istituto di credito o le Poste Italiane, che offre servizi di pagamento, grava l’obbligo di custodia del patrimonio dei propri clienti, che si deve estrinsecare attraverso l’adozione di misure di protezione idonee ad evitare l’accesso fraudolento a terzi ovvero a neutralizzarne gli effetti. L’intermediario, infatti, è tenuto a comportarsi secondo il modello del bonus argentarius, che deve trovare applicazione non solo in riferimento ai contratti bancari in senso stretto, ma anche nel compimento di ogni altro atto od operazione posta in essere dalla banca nello svolgimento della propria attività.
Nel nostro ordinamento giuridico, il creditore che agisce per il risarcimento del danno nell’ambito di un rapporto contrattuale deve provare la fonte negoziale o legale del suo diritto, limitandosi ad allegare la circostanza dell’inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo della pretesa altrui, costituito, tra le altre, dall’impossibilità di adempiere la prestazione per causa a lui non imputabile.
Dall’applicazione di tale principio ne deriva che spetta alla banca fornire la prova del corretto finanziamento del proprio sistema bancario e, quindi, la riconducibilità dell’operazione al correntista che l’abbia disconosciuta. È evidente, invero, che la corretta operatività dei servizi telematici, tra i quali i servizi di home banking, rientra a pieno titolo nel rischio d’impresa. Come chiarito dalla giurisprudenza, anche in caso di bonifici illecitamente effettuati su conti correnti online, per mezzo di condotte fraudolente volte a carpire codici di protezione e a sottrarre somme di denaro (c.d. phishing), spetta alla Banca fornire la prova del corretto funzionamento del proprio sistema.
Va precisato, tuttavia, che la responsabilità dell’intermediario sarà esclusa laddove dimostri che il consumatore ha agito con dolo (ad esempio realizzando o partecipando all’attività criminosa) o con colpa grave, violando uno degli obblighi previsti dall’art. 7 del D.lgs. 11/2010, che a carico del cliente, prevede proprio il dovere di utilizzare lo strumento di pagamento in conformità con quanto stabilito dalla legge e dal contratto.
Ma cosa si deve intendere per colpa grave?
Facendo un esempio, secondo l’organismo di Arbitrato Bancario e Finanziario (A.B.F.) si deve intendere come gravemente colposa la condotta del correntista che comunichi a terzi le proprie credenziali (codici segreti) dopo aver ricevuto un’e-mail redatta con errori marchiani e lessico inadeguato. Un cliente avveduto, agendo con la dovuta prudenza, dovrebbe riconoscere ed evitare il pericolo, soprattutto laddove l’intento fraudolento risulti palese, anche in virtù della ben nota diffusione del fenomeno “phishing” e delle sue insidie.
Ad ogni modo, capita spesso che le banche siano restie a riconoscere al proprio correntista il diritto al risarcimento per danni da frode informatica, addebitando aprioristicamente allo stesso una condotta di scarsa cautela e dunque di “colpa grave” nella gestione dei dispositivi di sicurezza che consentono l’utilizzo corretto dello strumento di pagamento, ritenendo, dal conto loro, il phishing sempre evitabile.
Non è sempre così, poiché andrà verificato concretamente ogni singolo caso di frode, tenendo sempre ben a mente che è sulla banca, e non sul cliente vittima di truffa informatica, che grava l’onere di dimostrare la sussistenza del dolo o della colpa grave a carico del consumatore.
Per ogni informazione e dubbio siamo a vostra disposizione.
Articolo del:
