Perchè nel caso di phishing MITB la responsabilità delle perdite deve essere posta in capo alla banca fornitrice dei servizi di internet banking

Nel caso di phishing attuato, invece, con la metodologia MITB, il subdolo meccanismo di aggressione ha luogo attraverso un sofisticato metodo di intrusione caratterizzato da un effetto sorpresa capace di spiazzare l'utente. Ciò grazie alla perfetta inserzione nell'ambiente informatico originale e nella correlata simulazione di un messaggio che a chiunque non potrebbe apparire che genuino, posto che l'unica "differenza" consta nell'acronimo del protocollo di trasferimento, individuato come un normale "http" e non già come un "https" protetto.

Ma va da sé che una simile variazione, che compare solo nella stringa di intestazione della schermata insieme ad almeno cinquanta o sessanta ulteriori caratteri, barre e altri segni di punteggiatura informatica, sfugge normalmente all'attenzione di chiunque si accosti ad una pagina della rete e più che mai sfugge a chi si accosti alla pagina di un sito di internet banking per compiere un'operazione, dunque in un momento in cui l'attenzione dell'utente è concentrata sul contenuto della schermata e non certo sugli incomprensibili codici che la circondano e che fanno
parte del normale apparato di contorno anche delle innocue consultazioni in rete.

Neppure può scorgersi colpa alcuna nel cliente il quale non attiva il servizio di SMS alert, pur offerto dalla banca, che potrebbe consentire di individuare l'operazione fraudolenta in tempo utile a bloccarla. Non si può non rimarcare come siffatto servizio non costituisca che una tutela ex post, che come tale non vale ad esonerare la banca dall'implementazione di presidi di protezione avanzati, atti a prevenire il compimento stesso dell'operazione fraudolenta.

Così come non può non mettersi in evidenza che la reale efficienza di un servizio di SMS alert dipende da tutta una serie di variabili che in parte sfuggono al controllo dell'utente dei servizi di internet banking (funzionalità della linea telefonica) e in parte presupporrebbero una condotta talora obiettivamente inesigibile, ossia la costante e ininterrotta sorveglianza del proprio cellulare (si pensi al solo caso in cui l'utente, per libera scelta o per necessità, abbia il telefono spento nel momento in cui perviene il messaggio e non lo riaccenda se non in un momento successivo nel quale la segnalata operazione irregolare non potrebbe comunque più essere impedita).

La banca, infine, non può eccepire la sua estraneità a questa tipologia sofisticata di phishing (MITB) imputando l'evento, da un punto di vista strettamente tecnico, alla probabile presenza del malware nel sistema del cliente. Tale obiezione non persuade per almeno due
ordini di motivi.

Innanzitutto, una delle caratteristiche proprie (pubblicizzate) del servizio di internet banking è la sua attivabilità da qualsivoglia postazione informatica, anche diversa da quella di proprietà dell'utente (un Internet café, il computer messo a disposizione da un hotel o prestato da un amico o collega e così via). Poiché non può escludersi la presenza del virus in tali diverse macchine e del pari non può affermarsi alcuna grave negligenza dell'utente né nell'essersene avvalso né nel non aver posto in essere l'obiettivamente inesigibile cautela di operarne una preventiva disinfestazione.

In secondo luogo, la legge prevede un preciso obbligo, da parte delle banche che offrono il servizio di internet banking, di un costante ed effettivo monitoraggio dell'efficienza del sistema di sicurezza che, come tale, non può non tenere in debita considerazione l'evoluzione dei metodi di aggressione e la costante ricerca di soluzioni protese ad ovviarne o arginarne le offensive.

Concludendo, la promozione e, spesso, l'imposizione, dei servizi di internet banking comporta obiettivamente un sensibile beneficio economico per le stesse banche, consentendo loro significativi ed evidenti risparmi rispetto ad una tradizionale operatività di sportello.

Un tale beneficio deve contemplare anche le perdite conseguenti al rischio portato dall'impiego dei dispositivi tecnologici da cui quello stesso beneficio deriva (con i soli estremi limiti, beninteso, della frode del dolo o della colpa grave ascrivibile all'utilizzatore del servizio di internet banking).

20 settembre 2014 · Simonetta Folliero

Richiedi assistenza gratuita sugli argomenti trattati nell'articolo

Richiedi assistenza gratuita o ulteriori informazioni su perchè nel caso di phishing mitb la responsabilità delle perdite deve essere posta in capo alla banca fornitrice dei servizi di internet banking.

Commenti e domande dei lettori

Per porre una domanda sul tema trattato nell'articolo e visualizzare il form per l'inserimento, devi prima autenticarti cliccando qui. Potrai anche utilizzare le icone posizionate in basso nel pannello di registrazione, che ti consentiranno l'accesso diretto con un account Facebook, Google+ o Twitter.