Quando la responsabilità del phishing non è riconducibile al cliente del servizio di internet banking

In caso di phishing l'oggetto del contendere, ovvero la restituzione alla vittima degli importi non autorizzati e distratti nella transazione on line, impone di tracciare con la maggior esattezza possibile il confine di responsabilità delle banche nel caso di frodi, perpetrate da terzi ai danni della clientela, nell'ambito della prestazione di servizi di pagamento con conto corrente on line (servizi di internet banking o home banking).

La materia è regolata dal decreto legislativo 11/2010 che, nel dare attuazione alle direttive comunitarie, ha inteso rendere l'ambiente informatico-finanziario improntato a criteri di maggior sicurezza e affidabilità e ciò in ragione vuoi del crescente impiego degli strumenti di pagamento elettronico da parte del pubblico degli utilizzatori, vuoi del parallelo (e prevedibile) espandersi degli attacchi sferrati dalla nuova criminalità nell'eco sistema digitale.

L'obiettivo è stato conseguito, da un lato, imponendo alle banche, nella loro qualità di fornitori di servizi di internet banking, specifici obblighi di precauzione, primo fra tutti l'obbligo di garantire l'inaccessibilità dei dispositivi di autenticazione a soggetti non autorizzati e, dall'altro lato, istituendo un regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio dei clienti dei servizi di internet banking.

Per quanto attiene i pagamenti disposti mediante sistemi di internet banking (o home banking), il sistema tecnologicamente più avanzato di sicurezza per evitare frodi, è costituito dalla messa a disposizione per il correntista di token o OTP (one time password), vale a dire dispositivi in grado di generare password monouso che, aggiungendosi alla password fissa nota solo all'utente (credenziali di accesso) concorrono a formare un sistema di autenticazione a due fattori: sistema come tale di difficilissima, (quasi) impossibile forzatura e dunque ritenuto coerente alle indicazioni della Banca d'Italia, finalizzate a fare in modo che le banche si attrezzino adeguatamente per identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica, individuando un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialità, integrità, disponibilità dei sistemi informativi e dei dati ad essi associati.

Le banche, una volta che il sistema OTP sia stato chiaramente offerto al cliente e questi se ne sia avvalso, ritengono che l'eventuale intrusione fraudolenta di un terzo soggetto debba ricadere nella pur ristretta area di rischio che la legge pone a carico dell'utente. In altre parole, la pressoché totale invulnerabilità del sistema a due fattori, garantita dai sistemi OTP, induce le banche a presumere una colpa grave in capo al cliente, precisamente consistente nel non aver custodito con la dovuta diligenza il dispositivo in questione.

Richiedi assistenza gratuita sugli argomenti trattati nell'articolo

Richiedi assistenza gratuita o ulteriori informazioni su quando la responsabilità del phishing non è riconducibile al cliente del servizio di internet banking.

Commenti e domande dei lettori

Per porre una domanda sul tema trattato nell'articolo e visualizzare il form per l'inserimento, devi prima autenticarti cliccando qui. Potrai anche utilizzare le icone posizionate in basso nel pannello di registrazione, che ti consentiranno l'accesso diretto con un account Facebook, Google+ o Twitter.