Con sempre maggiore frequenza negli ultimi anni – soppiantando il precedente diffusissimo phishing –si stanno verificando a danno dei correntisti:
- attacchi di tipo vishing (acronimo di voice phishing) consistenti in una truffa con tanto di finto operatore che chiama al telefono le possibili vittime dell’attacco, mediante un sistema vocale automatizzato (utilizzando ad esempio un sistema VoIP), spacciandolo per il call center della banca o di un istituto di credito;
- e attacchi di tipo smishing, artifizio con cui l’attaccante utilizza un messaggio di testo – apparentemente proveniente dal numero dell’Istituto bancario – al fine di indurre i vari destinatari a cliccare su un link e inviare al cyber criminale informazioni private o relative ai propri codici di accesso all’internet banking.
Ma spessissimo vengono sottoposti casi nei quali si sono verificate chiamate in diretta, con operatori in carne e ossa: la telefonata – effettuata direttamente dal falso operatore della Banca dal numero “ufficiale” dell’Istituto – prevede infatti la comunicazione all’ignaro correntista di un qualche problema sul conto bancario o sulla carta di credito, con l’invito a contattare telefonicamente un terzo numero per risolverlo, con la finalità anche in questo di carpire i codici di accesso al banking e quindi deviare il denaro ivi presente, attraverso ricariche di carte prepagate o effettuazione di bonifici.
Indice degli argomenti
La truffa del man in the browser
È opportuno, però, focalizzare l’attenzione su un fenomeno che sta prendendo sempre più piede, il cosiddetto “man in the browser” (MITB), relativamente al quale lo scrivente ha avuto modo di occuparsi a tutela di propri clienti caduti in questo nuovo stratagemma di frode telematica.
Il MITB, che ha a che fare con i servizi di pagamento predisposti dagli Istituti bancari, è una sottospecie del più ampio e noto fenomeno del “Man in the middle”, ossia una minaccia informatica che permette al cyber criminale di intercettare e manipolare il traffico internet che l’utente crede privato e protetto.
A differenza delle fattispecie di truffe “classiche” (phishing), dove l’aggiramento dei presidi informatici di sicurezza e la circonvenzione del cliente avvengono attraverso metodi ormai più che noti (p.e., email o SMS civetta; false comunicazioni via telefono) che il cliente, mediamente diligente, è oggettivamente in grado di schivare, nel MITB l’appropriazione indebita dei codici di sicurezza personali dell’utente avviene attraverso un meccanismo più subdolo, in grado di sorprendere la buona fede anche di un pur normalmente attento fruitore del servizio.
Nel phishing (e i suoi “derivati” smishing e vishing), infatti, l’utente è vittima di una “colpevole credulità”, in quanto comunica le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario, abboccando a forme di truffa ormai note anche ai non esperti della materia, non tenendo conto anche delle abbondanti campagne preventive adottate dagli istituti bancari in tema di cyber crimine: spesso, infatti, le email truffaldine appaiono redatte usando un linguaggio maccheronico o comunque con evidenti errori nel lessico o addirittura nel logo della banca.
Nel MITB, invece, il subdolo congegno di infezione si attua attraverso “un sofisticato metodo di intrusione” caratterizzato da un effetto sorpresa capace di spiazzare l’utilizzatore.
Pertanto, l’esclusione di qualsivoglia tipo di colpa anche lieve è usualmente comprovata dalla denuncia di frode tempestiva da parte del cliente, sia alle autorità locali, che alla Banca (secondo le modalità stabilite nel contratto quadro per il disconoscimento dell’operazione).
Definizione giuridica del man in the browser
A livello giuridico, la più significativa definizione del MITB è stata fornita dal Collegio di Coordinamento dell’ABF in data 26/10/2012, con la Decisione n. 34983.
Nello specifico, il fenomeno viene descritto come l’interposizione che questo genere di malware è in grado di operare fra il sistema centrale dell’intermediario (banca) e quello del singolo cliente.
Testualmente si legge nella decisione: «Nella sua massima espressione di efficienza aggressiva, il programma malevolo, una volta annidatosi in un certo numero di computer, genera quella che in gergo suole definirsi una botnet, ossia per l’appunto una rete di macchine egualmente infettate dallo stesso virus.
Il malware – riconducibile alla più ampia categoria dei cc.dd. trojan (“cavalli di Troia”) e dotato di sofisticate capacità di elusione dei migliori antivirus – si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l’attenzione dell’utente.
Il malware resta completamente “in sonno” attivandosi solo nel momento in cui l’utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino (targeted banks).
In quel preciso istante il malware “si risveglia” ed entra in azione captando il collegamento dell’utente e propinandogli una pagina-video esattamente identica a quella che l’utente è abituato a riconoscere in sede di accesso regolare al sito del proprio intermediario.
L’unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) “http” e non già “https” (dove la “s” finale sta per secured, protetto). Ignaro dell’intervenuta sostituzione della pagina, l’utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera.»
Come funziona il man in the browser
Nello specifico, il criminal hacker si mette letteralmente “nel mezzo” tra due entità: il client (l’utente) e un server o un router, riuscendo non solo a intercettare i messaggi inviati e ricevuti, ma anche a modificarli.
Successivamente, il malware attiva una finestra a modulo, che pare sempre di provenienza dal sito della banca in cui l’utente crede di operare, ove è richiesta una conferma di sicurezza con l’invito a compilare i campi del modulo con le proprie credenziali ed il codice OTP (one time password) generato dal token: procedura che gli intermediari talvolta attivano per ulteriori verifiche di sicurezza, soprattutto quando l’accesso ai servizi di home banking avvenga da un indirizzo IP diverso da quello abituale e riconosciuto dal sistema informatico bancario, il che rafforza nel cliente il convincimento della piena regolarità della situazione.
L’utente compila così i campi del modulo fittizio predisposto dal malware, il quale ha così modo di attuare la captatio di tutti i codici di autenticazione e di utilizzarli in tempo reale; nel mentre, l’utente viene ulteriormente ingannato da un messaggio di attesa che, pochi minuti dopo, si conclude con la comunicazione dell’impossibilità di procedere all’operazione e ritentare più tardi.
A questo punto il criminal hacker ha libero accesso al servizio online del cliente (ancora) ignaro della truffa e conseguente potere di disporre operazioni di pagamento urgenti a terzi soggetti complici, i quali, a loro volta, adotteranno altre strategie per nascondere i capitali indebitamente sottratti.
Man in the browser: un caso reale
In un caso recentemente affrontato dallo scrivente studio legale, si era verificata un’illecita e fraudolenta intromissione da parte di terzi volta a modificare dall’interno le coordinate bancarie dei destinatari abituali dei bonifici effettuati dagli ignari clienti, con una grave perdita patrimoniale per il correntista.
Si contestava, quindi, l’esistenza di una vera “falla” nel sistema di home banking della Banca convenuta in giudizio, che aveva consentito a soggetti terzi di modificare il destinatario dei bonifici effettuati dalla Società attrice, pur trattandosi di bonifici usuali, effettuati con cadenza mensile.
Nel corso del procedimento si sottolineava come fosse necessario evidenziare che l’assetto delle disposizioni normative e regolamentari in tema di servizi di pagamento (quale l’effettuazione dei bonifici), individua due categorie di clientela nei cui confronti le cautele e le garanzie si configurano a differente livello.
Infatti, la tassatività delle garanzie offerte ai consumatori può essere in parte derogata qualora “l’utilizzatore dei servizi di pagamento non è un consumatore” ovvero sia, appunto, una “microimpresa” o una impresa (cfr. art. 2, comma 4°, lett. b) e c) D.lgs. 27.1.2010 n. 11).
Qualora, pertanto, l’utilizzatore non sia un consumatore, la facoltà di deroga, per le imprese, inerisce garanzie fra le quali quella – nel caso di contestazione dell’utilizzatore circa l’autorizzazione all’esecuzione di una prestazione di pagamento – relativa all’onere dell’intermediario di provare che la medesima sia stata correttamente autorizzata e quindi eseguita (art. 10) e l’esclusione di responsabilità dell’utilizzatore in caso di operazioni fraudolente, fatta salva la franchigia limitata a 150 euro, in assenza di dolo o colpa grave dell’utilizzatore.
Quello che veniva evidenziato era come tale dovesse essere “espressa” e ciò, si badi, non solo nell’ovvio caso in cui la controparte contrattuale sia rappresentata da un consumatore (per la quale la deroga espressa non opera in alcun modo) o da una ma soprattutto anche quando la controparte dell’intermediario sia costituita da un “non consumatore” cioè un’impresa (per la quale le possibilità di deroga alla disciplina normativa sono ben più ampie).
L’istituto bancario, al fine di rendere tale deroga effettivamente opponibile al cliente, dovrà aver cura di esplicitare, nel testo contrattuale, che di deroga effettiva si tratti.
Nel caso di specie sottoposto allo scrivente legale, nessuna deroga al PSD2 (che approfondiremo più avanti) era stata infatti stata contrattualmente prevista. Dalla lettura del contratto sottoscritto dalle parti, nessuna deroga era rinvenibile, e nemmeno in forma tacita (in alcun punto di esso comparivano riferimenti alla legislazione di cui sopra ed alla espressa deroga).
Nel caso de quo trovava quindi applicazione la normativa e il regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori, in quanto l’onere di dimostrare la colpa grave ovvero il comportamento fraudolento dell’utente rimane in capo al prestatore di servizi: la prova dev’essere fornita mediante “indizi chiari, precisi e concordanti”, idonei a comprovare che l’utente non abbia custodito il mezzo di pagamento con la dovuta diligenza, ovvero la prova dev’essere fornita dall’intermediario mediante una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente.
La responsabilità dell’utente restava, quindi, circoscritta ai casi di comportamento fraudolento del medesimo ovvero al suo doloso o gravemente colposo inadempimento. E invece, la prova che l’operazione sia stata autenticata, correttamente registrata e contabilizzata e che non vi sia stata una défaillance del servizio, non esauriva l’onere probatorio posto a carico dell’intermediario, dovendo quest’ultimo dimostrare che non vi siano stati “altri inconvenienti”.
Recentemente già l’ABF (collegio di Roma e Milano) aveva statuito come la captazione dei codici ad opera di terzi non autorizzati ben possa avvenire in presenza di una pur diligente condotta da parte dell’utente: nonostante la diligenza del bonus nummarius ed il sistema di autenticazione a due fattori, in assenza della provata colpa grave in capo al cliente, l’intermediario è tenuto al risarcimento del danno per l’uso illecito dello strumento dallo stesso fornito.
Truffe telematiche: la responsabilità della banca
Nei casi appena descritti, la “teoria del rischio” comporta una responsabilità oggettiva della Banca per quanto accaduto al correntista, non avendo la stessa evitato – sui propri sistemi – l’agire fraudolento di terzi ignoti.
Nel nostro ordinamento, l’utilizzo dei servizi bancari trova un’ampia e completa tutela, in quanto esso pone a carico del professionista bancario, dotato di risorse e conoscenze molto più approfondite del cliente, il rischio di utilizzo improprio del servizio di pagamento da parte di soggetti terzi.
Come da giurisprudenza consolidata, infatti, l’istituto bancario è tenuto nei confronti del correntista a tenere una diligenza qualificata, secondo il modello dell’operatore professionale qual è l’accorto banchiere che, avendo messo a disposizione del cliente (anche evidentemente per un proprio interesse) il servizio online, ha accettato il rischio d’impresa inerente al collegamento telematico messo in atto da un intruso, dovendo porre in essere appropriate misure destinate a verificare la riconducibilità delle operazioni alla reale volontà del cliente (con la sola possibilità per essa di essere ammessa a provare il comportamento negligente del correntista che ha reso, nel caso, possibile l’intrusione).
A detta dei Giudici, rientra nell’area del rischio di impresa del prestatore di servizi di pagamento la possibilità di utilizzazione dei codici di accesso al sistema da parte di terzi ed il conseguente obbligo di restituire quanto fraudolentemente sottratto all’utilizzatore per non aver il professionista bancario prevenuto un simile evento tramite la predisposizione di misure di sicurezza per assicurare la riconducibilità dell’operazione alla volontà del titolare, “blindando” in modo efficace ogni accesso al sistema.
La responsabilità dell’istituto di credito può essere esclusa solo nel caso in cui quest’ultimo dimostri di aver adottato tutti i meccanismi necessari alla tutela del cliente e di aver messo in atto ogni misura idonea a scongiurare il verificarsi di condotte fraudolente.
In parole povere, l’unico onere per il correntista è quello di dimostrare la fonte del proprio diritto – il contratto di conto corrente – e che le proprie credenziali di accesso ai servizi di “internet banking” non sono state utilizzate dallo stesso illegittimamente.
La Direttiva PSD2 e l’autenticazione forte
In merito, è bene ricordare che il 14 settembre 2019 è entrata in vigore a livello europeo la nuova disciplina in tema di “autenticazione forte” (relativa alle credenziali di accesso online) quale risultante dal combinato disposto dell’art.98.4 comma 2 della direttiva (UE) 2015/2366 (c.d.PSD2) e dall’art.38.2 del regolamento delegato (UE) n.2018/389. La PSD2 in Italia è entrata in vigore il 13 gennaio 2018.
Ai fini della comprensione del concetto di autenticazione forte è di fondamentale importanza il documento denominato “Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2”, emanato dall’European Banking Authority il 21 giugno 2019, che contiene le stringenti norme tecniche sottese al concetto di autenticazione forte.
La prima e semplice norma che viene sancita è l’ insufficienza del solo codice di sicurezza (PIN) ad integrare il concetto di autenticazione forte, dovendo essere previsti due o più elementi classificati nelle categorie della conoscenza, del possesso e dell’inerenza da parte del cliente.
Pertanto l’utilizzo esclusivo di credenziali statiche (PIN),non è più considerato un valido elemento di “conoscenza” a partire dal 14 settembre 2019, data di applicazione del regolamento sulla SCA, essendo quantomeno necessario, al fine di una valutazione circa la sussistenza del “livello di sicurezza rafforzato”, l’invio del cosiddetto codice monouso(OTP).
Recentemente il nostro studio legale ha ottenuto fra le altre una decisione positiva da parte dell’ABF con la quale l’arbitro sottolineava la necessità del doppio elemento per aversi un’autenticazione forte che rispondesse a sufficienti standard di sicurezza da parte dell’Istituto bancario.
Pertanto, primo elemento è spesso il nome utente e password dell’home banking o dell’app, mentre il secondo può essere il codice OTP ma anche i dati biometrici come l’impronta digitale. In assenza di questo doppio passaggio, statuiva l’ABF, viene a mancare “un sistema adeguatamente protetto di autenticazione”, con conseguente “colpa grave” della Banca).
