Il contenzioso in caso di phishing ed il sistema One Time Password per l’accesso ai servizi di internet banking

Quando la responsabilità del phishing non è riconducibile al cliente del servizio di internet banking

In caso di phishing l'oggetto del contendere, ovvero la restituzione alla vittima degli importi non autorizzati e distratti nella transazione on line, impone di tracciare con la maggior esattezza possibile il confine di responsabilità delle banche nel caso di frodi, perpetrate da terzi ai danni della clientela, nell'ambito della prestazione di servizi di pagamento con conto corrente on line (servizi di internet banking o home banking).

La materia è regolata dal decreto legislativo 11/2010 che, nel dare attuazione alle direttive comunitarie, ha inteso rendere l'ambiente informatico-finanziario improntato a criteri di maggior sicurezza e affidabilità e ciò in ragione vuoi del crescente impiego degli strumenti di pagamento elettronico da parte del pubblico degli utilizzatori, vuoi del parallelo (e prevedibile) espandersi degli attacchi sferrati dalla nuova criminalità nell'eco sistema digitale.

L'obiettivo è stato conseguito, da un lato, imponendo alle banche, nella loro qualità di fornitori di servizi di internet banking, specifici obblighi di precauzione, primo fra tutti l'obbligo di garantire l'inaccessibilità dei dispositivi di autenticazione a soggetti non autorizzati e, dall'altro lato, istituendo un regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio dei clienti dei servizi di internet banking.

Per quanto attiene i pagamenti disposti mediante sistemi di internet banking (o home banking), il sistema tecnologicamente più avanzato di sicurezza per evitare frodi, è costituito dalla messa a disposizione per il correntista di token o OTP (one time password), vale a dire dispositivi in grado di generare password monouso che, aggiungendosi alla password fissa nota solo all'utente (credenziali di accesso) concorrono a formare un sistema di autenticazione a due fattori: sistema come tale di difficilissima, (quasi) impossibile forzatura e dunque ritenuto coerente alle indicazioni della Banca d’Italia, finalizzate a fare in modo che le banche si attrezzino adeguatamente per identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica, individuando un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialità, integrità, disponibilità dei sistemi informativi e dei dati ad essi associati.

Le banche, una volta che il sistema OTP sia stato chiaramente offerto al cliente e questi se ne sia avvalso, ritengono che l’eventuale intrusione fraudolenta di un terzo soggetto debba ricadere nella pur ristretta area di rischio che la legge pone a carico dell’utente. In altre parole, la pressoché totale invulnerabilità del sistema a due fattori, garantita dai sistemi OTP, induce le banche a presumere una colpa grave in capo al cliente, precisamente consistente nel non aver custodito con la dovuta diligenza il dispositivo in questione.

Le responsabilità del cliente dei servizi di internet banking in caso di phishing

In base al decreto legislativo già citato, dunque, la responsabilità dell'utilizzatore di un servizio di internet banking resta circoscritta ai casi di comportamento fraudolento del medesimo ovvero al suo doloso o gravemente colposo inadempimento agli obblighi che la normativa pone a suo carico. Obblighi che, poi, si limitano all'utilizzazione del dispositivo di generazione delle password (OTP) e delle credenziali di accesso in conformità ai patti contenuti nell'accordo quadro che regola il servizio (mai conservare insieme OTP e credenziali di accesso) e alla tempestiva denuncia di furto, smarrimento, distruzione del dispositivo, nel disconoscimento immediato delle transazioni non autorizzate.

Servizi di internet banking - c'è phishing e phishing

Ora, la responsabilità del cliente è pacifica nel caso delle fattispecie più comuni di phishing, laddove l’aggiramento dei presidi di sicurezza e la circonvenzione del cliente ha luogo attraverso metodi ormai noti (email civetta, false comunicazioni di scadenza, invito all'aggiornamento di database e così via) che il cliente, con un minimo di diligenza, sarebbe oggettivamente in grado di evitare, anche grazie alle campagne di informazione che i media, e le stesse banche, hanno da tempo ormai attuato.

Più complesso è, invece stabilire i confini di responsabilità fra banca e cliente di servizi di internet banking quando il phishing assume connotazioni tecnologicamente più sofisticate e subdole, come nel caso esaminato in questo articolo.

In relazione ad episodi di phishing simili a quelli descritti nell'articolo appena linkato, il Collegio di coordinamento dell'Arbitro bancario Finanziario, con la decisione numero 3498/12, ha assunto una posizione molto netta. Si tratta di una fattispecie molto problematica dal momento che si realizza in un contesto dove la banca abbia messo a disposizione del cliente dispositivi tecnologicamente avanzati quali l'OTP, il cliente se ne sia avvalso e nondimeno una fraudolenta intrusione ad opera di terzi sia avvenuta o comunque sia stata denunciata.

Servizi di internet banking - quando il phishing è della tipologia Man in the browser (MITB)

L'Arbitro, ha osservato che in quel caso, l'unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) "http" e non già "https" (dove la "s" finale sta per secured, protetto).

Ha ritenuto, pertanto, non ragionevolmente ravvisabile, in siffatto contesto, alcun elemento tale da poter riqualificare siccome colposa, e tanto meno siccome gravemente colposa la condotta dell'utilizzatore del servizio di internet banking.

Infatti, per quanto non possa negarsi che il cliente sia caduto nella trappola ed abbia materialmente permesso l'esecuzione dell'operazione fraudolenta cooperandovi involontariamente, esiste una profonda differenza strutturale fra i metodi tradizionali di phishing e il fenomeno del "man in the browser" (MITB) descritto qui.

Nel primo caso, il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo del servizio di internet banking e tanto più colpevole si rivela quell'atto di ingenuità quanto più si consideri che tali forme di "accalappiamento" possono dirsi ormai note al pur non espertissimo navigatore di Internet.

Perchè nel caso di phishing MITB la responsabilità delle perdite deve essere posta in capo alla banca fornitrice dei servizi di internet banking

Nel caso di phishing attuato, invece, con la metodologia MITB, il subdolo meccanismo di aggressione ha luogo attraverso un sofisticato metodo di intrusione caratterizzato da un effetto sorpresa capace di spiazzare l'utente. Ciò grazie alla perfetta inserzione nell'ambiente informatico originale e nella correlata simulazione di un messaggio che a chiunque non potrebbe apparire che genuino, posto che l'unica "differenza" consta nell'acronimo del protocollo di trasferimento, individuato come un normale "http" e non già come un "https" protetto.

Ma va da sé che una simile variazione, che compare solo nella stringa di intestazione della schermata insieme ad almeno cinquanta o sessanta ulteriori caratteri, barre e altri segni di punteggiatura informatica, sfugge normalmente all'attenzione di chiunque si accosti ad una pagina della rete e più che mai sfugge a chi si accosti alla pagina di un sito di internet banking per compiere un'operazione, dunque in un momento in cui l'attenzione dell'utente è concentrata sul contenuto della schermata e non certo sugli incomprensibili codici che la circondano e che fanno
parte del normale apparato di contorno anche delle innocue consultazioni in rete.

Neppure può scorgersi colpa alcuna nel cliente il quale non attiva il servizio di SMS alert, pur offerto dalla banca, che potrebbe consentire di individuare l'operazione fraudolenta in tempo utile a bloccarla. Non si può non rimarcare come siffatto servizio non costituisca che una tutela ex post, che come tale non vale ad esonerare la banca dall'implementazione di presidi di protezione avanzati, atti a prevenire il compimento stesso dell'operazione fraudolenta.

Così come non può non mettersi in evidenza che la reale efficienza di un servizio di SMS alert dipende da tutta una serie di variabili che in parte sfuggono al controllo dell'utente dei servizi di internet banking (funzionalità della linea telefonica) e in parte presupporrebbero una condotta talora obiettivamente inesigibile, ossia la costante e ininterrotta sorveglianza del proprio cellulare (si pensi al solo caso in cui l'utente, per libera scelta o per necessità, abbia il telefono spento nel momento in cui perviene il messaggio e non lo riaccenda se non in un momento successivo nel quale la segnalata operazione irregolare non potrebbe comunque più essere impedita).

La banca, infine, non può eccepire la sua estraneità a questa tipologia sofisticata di phishing (MITB) imputando l'evento, da un punto di vista strettamente tecnico, alla probabile presenza del malware nel sistema del cliente. Tale obiezione non persuade per almeno due
ordini di motivi.

Innanzitutto, una delle caratteristiche proprie (pubblicizzate) del servizio di internet banking è la sua attivabilità da qualsivoglia postazione informatica, anche diversa da quella di proprietà dell'utente (un Internet café, il computer messo a disposizione da un hotel o prestato da un amico o collega e così via). Poiché non può escludersi la presenza del virus in tali diverse macchine e del pari non può affermarsi alcuna grave negligenza dell'utente né nell'essersene avvalso né nel non aver posto in essere l'obiettivamente inesigibile cautela di operarne una preventiva disinfestazione.

In secondo luogo, la legge prevede un preciso obbligo, da parte delle banche che offrono il servizio di internet banking, di un costante ed effettivo monitoraggio dell'efficienza del sistema di sicurezza che, come tale, non può non tenere in debita considerazione l'evoluzione dei metodi di aggressione e la costante ricerca di soluzioni protese ad ovviarne o arginarne le offensive.

Concludendo, la promozione e, spesso, l'imposizione, dei servizi di internet banking comporta obiettivamente un sensibile beneficio economico per le stesse banche, consentendo loro significativi ed evidenti risparmi rispetto ad una tradizionale operatività di sportello.

Un tale beneficio deve contemplare anche le perdite conseguenti al rischio portato dall'impiego dei dispositivi tecnologici da cui quello stesso beneficio deriva (con i soli estremi limiti, beninteso, della frode del dolo o della colpa grave ascrivibile all'utilizzatore del servizio di internet banking).

20 Settembre 2014 · Simonetta Folliero


Commenti e domande

Per porre una domanda sul tema trattato nell'articolo (o commentarlo) utilizza il form che trovi più in basso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Se il post è stato interessante, condividilo con il tuo account Facebook

condividi su FB

    

Seguici su Facebook

seguici accedendo alla pagina Facebook di indebitati.it

Seguici iscrivendoti alla newsletter

iscriviti alla newsletter del sito indebitati.it




Fai in modo che lo staff possa continuare ad offrire consulenze gratuite. Dona!