Banca responsabile per phishing se non blocca home banking
Il Tribunale di Ragusa ha recentemente condannato una banca a risarcire un cliente vittima di phishing, stabilendo che l’istituto di credito è responsabile se non blocca tempestivamente il servizio di home banking dopo aver rilevato operazioni sospette sul conto.
Tecniche di Phishing: Come Riconoscerle e Difendersi
Il phishing è una tecnica di truffa online molto diffusa che mira a rubare dati sensibili come credenziali di accesso e informazioni bancarie. I criminali informatici utilizzano diverse modalità per ingannare le vittime, ma ci sono alcuni segnali che permettono di riconoscere i tentativi di phishing:
- Indirizzi email sospetti: spesso i messaggi di phishing provengono da indirizzi email che imitano quelli di aziende legittime ma contengono errori ortografici o domini leggermente diversi. Bisogna sempre controllare con attenzione il mittente prima di aprire un’email sospetta.
- Richieste urgenti: un’altra tattica comune è creare un falso senso di urgenza, ad esempio minacciando la chiusura di un account se non si agisce subito. Le aziende serie non chiedono mai dati sensibili via email con queste modalità.
- Link e allegati pericolosi: le email di phishing di solito contengono link che portano a siti web contraffatti dove viene richiesto di inserire informazioni personali. Anche gli allegati possono contenere malware, quindi non bisogna mai cliccare su link o scaricare file da messaggi sospetti.
- Errori grammaticali e grafici: spesso i messaggi di phishing sono scritti male e contengono errori grammaticali grossolani. Anche la grafica può essere di bassa qualità e diversa da quella ufficiale dell’azienda imitata.
Per difendersi dal phishing, oltre a riconoscere questi segnali, è importante adottare alcune precauzioni:
- Verificare sempre l’identità del mittente prima di aprire un messaggio sospetto
- Non cliccare mai su link o allegati da email non attese
- Digitare manualmente l’indirizzo dei siti invece di cliccare sui link
- Tenere aggiornati i software di sicurezza su tutti i dispositivi
- Abilitare l’autenticazione a due fattori per proteggere gli account
Infine, se si cade vittima di una truffa phishing, bisogna avvisare immediatamente la propria banca e cambiare le password compromesse. Segnalare l’accaduto alle autorità può aiutare a contrastare questi crimini informatici sempre più diffusi.
Responsabilità della Banca: Casi di Giurisprudenza Recenti
Recenti pronunce della giurisprudenza hanno delineato i contorni della responsabilità delle banche in diversi ambiti, dalla concessione abusiva di credito alle truffe di phishing.In tema di concessione abusiva di credito, la Cassazione ha stabilito che la banca deve seguire standard professionali elevati nel valutare il merito creditizio, avvalendosi di metodi, procedure e competenze necessarie. Il confine tra un finanziamento lecito e abusivo dipende dalla ragionevolezza e fattibilità di un piano aziendale.
Un criterio chiave è la capacità del piano di risanare la situazione debitoria dell’impresa e di riequilibrare la sua situazione finanziaria.La sentenza Cassazione 30 giugno 2021, n. 18610 ha chiarito che sarà compito del giudice individuare lo spazio ammissibile per il finanziamento lecito, allorché, pur se concesso in presenza di una situazione di difficoltà economico-finanziaria dell’impresa, sussistevano ragionevoli prospettive di risanamento. Occorre quindi un attento bilanciamento degli interessi in gioco.
Sul fronte delle truffe di phishing, la Cassazione con sentenza n. 3780 del 12 febbraio 2024 ha stabilito che gli istituti di credito devono adottare adeguate misure di sicurezza, in base al principio civilistico di buona fede contrattuale (art. 1176 co. 2 cc). La banca deve esercitare un controllo tecnico, valutando la prevedibilità e l’evitabilità della condotta fraudolenta, ed è esonerata da responsabilità solo se le azioni vanno oltre la propria sfera di controllo.Il rischio di impresa deve dunque ricomprendere anche la possibilità di utilizzo di tecniche come il phishing: la banca sarà esonerata solo se accadono eventi che vadano oltre la diligenza richiesta.
Nel caso specifico, Poste Italiane è stata ritenuta responsabile per non aver adottato misure come l’invio di sms alert per ogni operazione.Infine, il Tribunale di Ragusa con sentenza n. 420 del 7 marzo 2024 ha affermato la responsabilità della banca che, pur a conoscenza dell’illegittima sottrazione di credenziali e password ai danni del cliente, non abbia cautelativamente e immediatamente provveduto al blocco del conto corrente.
In sintesi, la giurisprudenza più recente tende a richiedere alle banche standard elevati di diligenza e l’adozione di adeguate misure di sicurezza, sia nella concessione del credito che nella prevenzione delle frodi online, riconoscendone la responsabilità laddove tali cautele siano omesse. Un approccio che mira a bilanciare la tutela dei clienti con le esigenze del sistema bancario.
Responsabilità banca per phishing
La sentenza del Tribunale di Firenze del 20 maggio 2014 affronta il tema della responsabilità dell’operatore bancario nei confronti del cliente in caso di addebito non autorizzato su conto corrente online, inquadrandola nell’ambito della responsabilità contrattuale derivante dal rapporto di mandato tra banca e correntista (art. 1856 c.c.).
Nel caso di specie, una cliente di Poste Italiane aveva subito un addebito non autorizzato sul proprio conto bancoposta online. Il Tribunale ha riconosciuto la responsabilità di Poste Italiane per non aver fornito idonea prova di aver diligentemente assolto gli obblighi contrattuali, valutando la diligenza richiesta con particolare rigore trattandosi di un operatore professionale.
La pronuncia si discosta da alcuni precedenti che avevano invece inquadrato fattispecie analoghe nell’ambito della responsabilità extracontrattuale, in particolare ex art. 15 d.lgs. 196/2003 sul trattamento dei dati personali, che richiama l’art. 2050 c.c. sulla responsabilità per attività pericolose.
Il Tribunale fiorentino mostra invece di conformarsi, quanto alla natura contrattuale della responsabilità, al d.lgs. 27 gennaio 2010 n. 11 che ha recepito la direttiva 2002/64/CE sui servizi di pagamento nel mercato interno, seppur non applicabile ratione temporis al caso.
La sentenza esamina le varie tecniche di phishing, ossia sottrazione fraudolenta di dati per accedere abusivamente ai conti online, ipotizzate dalla difesa di Poste Italiane per sostenere un inadempimento della cliente nella custodia delle credenziali.
Tuttavia, il giudice ritiene che la convenuta non abbia fornito alcuna prova in tal senso, né considera rilevante che la correntista detenesse i codici in un file sul computer, non potendosi pretendere dal comune utente la conoscenza dei rischi di virus idonei a carpire tali dati.
Secondo la Cassazione, la diligenza professionale ex art. 1176 co. 2 c.c. richiede all’operatore bancario di predisporre misure di sicurezza informatica adeguate allo stato della tecnica per garantire la sicurezza dei servizi di pagamento elettronici.
Nel caso di specie, il Tribunale ha ritenuto che Poste Italiane non abbia fornito tale prova, considerato che gli strumenti offerti non erano al passo con le tecnologie più evolute esistenti all’epoca dei fatti, come dimostrerebbe l’implementazione del sistema di sicurezza effettuata subito dopo.
La sentenza non ha invece affrontato il problema dell’allocazione del rischio dell’addebito non autorizzato tra operatore e cliente quando, pur in presenza di adeguate misure di sicurezza della banca, non sia provata con certezza una negligenza dell’utente (c.d. rischio da ignoto tecnologico).
Tale questione è oggi disciplinata dal d.lgs. 11/2010 che pone tendenzialmente tale rischio a carico dell’intermediario, salvo prova di dolo o colpa grave del cliente nella custodia delle credenziali.In conclusione, la pronuncia si segnala per aver inquadrato la responsabilità dell’operatore bancario per frodi informatiche nell’ambito del rapporto contrattuale, richiedendo allo stesso di provare l’adozione di misure di sicurezza adeguate allo stato della tecnica per andare esente da responsabilità, in linea con il favor per il consumatore espresso dalla normativa sui servizi di pagamento.
Poste Italiane risarcisce cliente vittima di phishing
La Corte di Cassazione, con la sentenza n. 3780 del 12 febbraio 2024, ha stabilito che Poste Italiane deve risarcire un cliente vittima di una truffa di phishing, condannando la banca a pagare 2.900 euro sottratti fraudolentemente dalla carta Postepay Evolution del correntista.
Il cliente aveva ricevuto una mail apparentemente proveniente da Poste Italiane e, cliccando sul link, aveva inserito le credenziali per cambiare la password. Successivamente si era ritrovato un addebito per un’operazione mai compiuta a favore di “Anytime Paris Fra”.
Per la Terza sezione civile della Cassazione, che ha respinto il ricorso della banca, era onere di Poste “provare di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto”.
Non avendo Poste fornito tale prova, il Tribunale di Nola ha correttamente imputato alla banca il “rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente”.
La Cassazione ha confermato che la responsabilità della banca per operazioni effettuate con strumenti elettronici “va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento”.
Il cliente deve solo provare la fonte del proprio diritto, mentre la banca deve provare il fatto estintivo dell’altrui pretesa, non potendo omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio.
In conclusione, la Corte ha stabilito che “essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore”.
Misure di Sicurezza per l’Home Banking
Per garantire la sicurezza dei servizi di home banking, le banche adottano diverse misure tecnologiche e procedurali volte a proteggere i dati dei clienti e prevenire frodi.Innanzitutto, l’accesso all’home banking avviene tramite una connessione sicura con protocollo HTTPS e certificato SSL, che cripta i dati nel trasferimento dal server dell’utente a quello della banca.
Questo sistema impedisce l’intercettazione delle informazioni da parte di malintenzionati.Inoltre, le banche utilizzano sempre più spesso sistemi di autenticazione a più fattori per verificare l’identità dell’utente.
Oltre a username e password, possono essere richiesti codici temporanei inviati via SMS (One Time Password) o generati da app dedicate.
Alcune banche forniscono anche token fisici che generano codici di sicurezza.
È fondamentale che l’utente scelga password robuste e le cambi periodicamente, evitando di usare dati facilmente intuibili. Le password non devono mai essere comunicate a nessuno, nemmeno a sedicenti operatori della banca.
Per aumentare ulteriormente il livello di sicurezza, molti istituti permettono di impostare limiti di spesa e abilitare notifiche via email o SMS per ogni operazione effettuata. In caso di movimenti sospetti, la banca può bloccare temporaneamente l’accesso al conto per effettuare verifiche.
Infine, le banche monitorano costantemente i sistemi alla ricerca di anomalie e potenziali minacce, intervenendo tempestivamente per mitigare i rischi. Investono anche nella formazione dei dipendenti e nell’educazione dei clienti sui temi della sicurezza informatica.
Nonostante questi presidi, è comunque importante che l’utente adotti comportamenti prudenti, come effettuare l’accesso solo da dispositivi e reti affidabili, controllare regolarmente l’estratto conto e segnalare tempestivamente ogni anomalia alla banca.
Phishing e reati penali correlati
Il Tribunale di Milano, con sentenza del 29 ottobre 2008, ha analizzato il fenomeno del phishing e le fattispecie penali ad esso riconducibili, approfondendo importanti questioni interpretative.In particolare, il giudice ha ritenuto il comportamento criminoso del phisher idoneo ad integrare il delitto di truffa ex art. 640 c.p., ricorrendone tutti i presupposti: artifici e raggiri, induzione in errore del cliente della banca e ingiusto profitto con altrui danno. Sono stati ritenuti evidenti gli artifici e raggiri posti in essere tramite email che riproducono colori, marchi e segni distintivi di enti reali per ingannare le vittime.
Il Tribunale ha anche riconosciuto la possibilità del concorso tra il reato di truffa (art. 640 c.p.) e quello di sostituzione di persona (art. 494 c.p.), trattandosi di norme poste a tutela di beni giuridici eterogenei.
Nella prima fase del phishing, l’invio di email che imitano comunicazioni ufficiali di banche per carpire dati personali integra infatti anche il reato di cui all’art. 494 c.p.
La sentenza ha poi esaminato le condotte contestabili al c.d. “financial manager”, il soggetto che riceve le somme sottratte alle vittime sui propri conti per poi trasferirle all’estero, ritenendole alternativamente qualificabili come ricettazione (art. 648 c.p.) o riciclaggio (art. 648-bis c.p.).
In particolare, il prelievo in contanti e il successivo trasferimento via money transfer integrano la condotta di riciclaggio, idonea ad ostacolare l’identificazione della provenienza delittuosa del denaro.Infine, il Tribunale ha desunto la responsabilità penale dei financial manager, sotto il profilo soggettivo, da una serie di elementi fattuali che rendevano evidente la provenienza illecita delle somme: le modalità sospette di “reclutamento”, il contenuto delle proposte di lavoro manifestamente sproporzionato, l’assenza di qualifiche richieste, i compensi eccessivi rispetto all’attività da svolgere.
In conclusione, la sentenza ha il pregio di aver approfondito le prospettive applicative del diritto penale vigente al fenomeno del phishing, scomponendolo analiticamente nelle sue fasi e individuando per ciascuna di esse le fattispecie incriminatrici integrabili, in attesa di una specifica disposizione ad hoc.Topic: Phishing e Riciclaggio: Rapporti e Prospettive
Cybercrime minaccia l’economia italiana
Il cybercrime rappresenta una minaccia sempre più grave per l’economia italiana e mondiale, con danni che ammontano a miliardi di euro ogni giorno.
La crisi pandemica ha ulteriormente aggravato la situazione, spostando molte attività online e aumentando le opportunità per i criminali informatici.
Secondo quanto riportato da Nunzia Ciardi, direttore della Polizia Postale, nei mesi di lockdown in Italia il phishing strutturato su parole chiave legate al Covid è aumentato del 600% rispetto all’anno precedente.
Sono stati registrati 1.600 domini sospetti a tema coronavirus e si è impennata la curva delle estorsioni ad aziende, con 28 grandi imprese vittima di frodi per 25 milioni di euro.
Molti di questi attacchi restano ignoti per la ritrosia delle vittime a denunciare.
A livello globale, il cybercrime costa all’economia mondiale 4,32 miliardi di dollari al giorno, più di 1.500 miliardi di dollari ogni anno. L’applicazione dell’intelligenza artificiale rende ancora più difficile la prevenzione, permettendo ai criminali di dissimulare gli attacchi nelle normali attività di routine.
Anche il sistema sanitario è finito nel mirino durante la pandemia, con 45 gravi tentativi di attacco sventati dalla Polizia Postale e dalle security aziendali.
Il problema è che il mondo del cybercrimine ha risorse pressoché infinite da reinvestire nella ricerca di nuove tecniche di attacco sempre più sofisticate.
Per contrastare questa minaccia servono ingenti investimenti nella cybersecurity e una stretta collaborazione internazionale. Il Regno Unito, ad esempio, ha stanziato 2 miliardi di sterline coinvolgendo tutte le forze di polizia.
Oltre alla prevenzione tecnologica, è fondamentale anche rafforzare gli strumenti investigativi tradizionali per colpire le strutture di riciclaggio dei proventi illeciti.