Un messaggio SMS – inviato da un numero identico a quello della banca – avvisa della necessità di aggiornare i dati per garantire l’operatività del conto corrente o della carta di credito, o della necessità di un aggiornamento del profilo utente per essere in regola con le nuove normative.
Poi una chiamata – sempre da un numero identico a quello della banca – avvisa della necessità di accedere al profilo cliccando sul link inserito nel messaggio o nella email.
Gli utenti che lo hanno fatto, sono spesso andati incontro a brutte sorprese.
Indice degli argomenti
Attacco phishing da manuale
Non è chiaro come i truffatori abbiano ottenuto i contatti degli utenti di Intesa San Paolo, ma in questi giorni aprire link provenienti dalla banca non è una buona idea.
È infatti in corso una serie di truffe seriali che ha preso di mira gli utenti di Intesa san Paolo e che sta interessando persone in tutta Italia.
Phishing, smishing, vishing e SIM swap: le distinzioni
Il phishing è nato come strumento di reperimento di credenziali bancarie o di carte di credito attraverso email con il logo contraffatto – normalmente – di un istituto di credito, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di home banking ecc.), motivando la richiesta con ragioni tecniche.
Dal password fishing si è passati al voice fishing (da cui vishing): la richiesta di dati bancari o credenziali di carte di credito arriva con chiamate da call center che fingono di tutelare la vittima da tentativi di frode.
Un famoso caso della fine 2019 vedeva i dati degli utenti reperiti, in prima battuta, direttamente dagli Istituti bancari: i truffatori si fingevano agenti delle Forze dell’Ordine, chiedendo nomi e dati di clienti, millantando il sequestro di numerose carte di credito in operazioni di polizia.
Lo smishing, infine, è un’operazione analoga per mezzo di SMS, da Short message fishing.
La SIM swap fraud, invece, è una truffa che si manifesta con un apparente problema della linea telefonica che cessa di funzionare, causato dalla duplicazione della SIM, all’insaputa della vittima, utilizzata per ricevere i codici autorizzativi dalla propria banca.
Che reati commette chi fa phishing
La questione si “gioca” tra due reati, ossia la truffa “classica”, reato previsto dall’art. 640 Codice penale, eventualmente aggravata, e la frode informatica, prevista dall’art. 640 ter Codice penale.
Entrambe le fattispecie richiedono che vi sia un danno economico per la vittima, di solito consistente nel prelievo di somme di denaro dal conto corrente o dalla carta d credito.
Mentre il delitto di truffa prevede l’induzione in errore della vittima con artifizi e raggiri, la frode informatica richiede solo l’alterazione del funzionamento di un sistema informatico o telematico o l’intervento senza diritto ed in qualsiasi modo su dati, informazioni o programmi contenuti in un sistema informatico o telematico.
Per questa ragione dottrina e giurisprudenza sono concordi nel ritenere che il phishing effettuato con malware o altri programmi autoinstallanti, debba essere ricondotto al delitto di frode informatica.
Le ipotesi di phishing in cui la vittima fornisce i propri dati accedendo al link inviato a mezzo email, invece, sono considerate truffe ai sensi dell’articolo 640 Codice penale.
In quest’ultima ipotesi, infatti, la vittima è indotta in errore da email con loghi contraffatti e con richieste verosimili.
Va detto che gli ultimi arresti giurisprudenziali affermano la responsabilità penale per frode informatica (640 ter) anche per il phishing effettuato con email con dati forniti direttamente (così la sentenza n. 21987 della Cassazione, Sezione Seconda penale, del 14 gennaio 2019).
Altra questione rilevante è comprendere se vi siano altre ipotesi di reato astrattamente configurabili.
Oltre alla frode informatica, gli autori del phishing sono stati condannati anche per il reato di cui all’art. 615 ter Codice penale (Accesso abusivo a un sistema informatico o telematico), aprendo alla possibilità di concorso tra il reato di cui all’art. 640 ter Codice penale (frode informatica) e quello di cui all’art. 615 quater Codice penale (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici).
A seconda delle ipotesi, quindi, la Cassazione ha ritenuto che il phishing – in tutte le sue varianti – integri o la frode informatica e l’accesso abusivo, o la frode informatica e la detenzione o diffusione di codici o password.
La tutela civile contro il phishing
La materia risulta regolata dal decreto legislativo 27 gennaio 2010, n. 11, modificato a seguito dell’entrata in vigore del decreto legislativo 15 dicembre 2017, n. 218, di recepimento della direttiva (UE) 2015/2366 (PSD2), relativa ai servizi di pagamento nel mercato interno, nonché di adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015, relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
Tale normativa prevede all’art. 10 in capo al prestatore di servizi di pagamento l’onere di provare che l’operazione di pagamento, disconosciuta dall’utente, sia stata autenticata, correttamente registrata e contabilizzata e che non abbia subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
L’articolo 12, pone a carico del prestatore di servizi di pagamento le perdite derivanti dall’utilizzo dello strumento smarrito, sottratto o utilizzato indebitamente, intervenuto dopo la comunicazione di smarrimento o furto prevista dall’articolo 7, comma 1, lett. b), del citato decreto legislativo.
Lo stesso articolo 12, al comma terzo, nel prevedere la franchigia di € 50,00 entro la quale l’utente del servizio può essere tenuto a sopportare la perdita prima della comunicazione prima citata, fa salva l’ipotesi in cui “… abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’articolo 7, con dolo o colpa grave” (in particolare, l’articolo 7, comma 2, dello stesso decreto legislativo prescrive che “… l’utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”) (ABF, Collegio di Milano, Decisione 6717/20).
Ne consegue che è l’intermediario a dover provare, oltre all’insussistenza di malfunzionamenti, l’autenticazione, la corretta registrazione e contabilizzazione delle operazioni disconosciute. L’intermediario inoltre è tenuto a provare tutti i fatti idonei ad integrare la colpa grave o il dolo dell’utente. Solo in tal caso la banca non sarà chiamata a rispondere della perdita patrimoniale subita dall’utente a causa dell’operazione disconosciuta.
L’orientamento dell’Arbitro Bancario e Finanziario risulta consolidato in caso di phishing, vishing e smishing in quanto la collaborazione della vittima nel comunicare i propri dati personali al truffatore abboccando dunque al suo invito sarebbe chiaro indice di colpa grave ed escluderebbe la responsabilità della banca.
Infatti, l’Arbitro ritiene che in tali ipotesi il tipo di truffa fosse noto anche per l’informativa fornita dagli stessi istituti di credito in materia, non venendo per altro utilizzati elementi di sofisticazione particolari.
Diversa, invece, è la valutazione dell’Arbitro nel caso in cui se la truffa presenti caratteri di maggiore complessità, come ad esempio nel caso in cui il messaggio truffaldino apparentemente provenga dall’intermediario (cosiddetto SMS spoofing) venendo visualizzato nella chat ove già altri messaggi dell’istituto bancario erano stati ricevuti, facendo legittimamente credere della paternità del messaggio.
Nel diverso caso di SIM swap fraud l’Arbitro ha ribadito come, “nel caso di disconoscimento di un’operazione di pagamento l’intermediario sia tenuto a provare, in primo luogo, di avere adottato un sistema di autenticazione forte per l ’utilizzo dello strumento di pagamento e che l’operazione contestata sia stata correttamente autenticata, registrata e contabilizzata. Fornita questa prova, l’intermediario è poi tenuto a dimostrare il dolo o la colpa grave del cliente”. L’Arbitro ha quindi rilevato che l’operazione contestata, avvenuta a causa del blocco e della sostituzione della SIM, non era collegabile ad alcuna condotta gravemente colpevole o dolosa del cliente con conseguente condanna della banca a risarcire le somme fraudolentemente distratte dal conto.
La Corte di Cassazione, Sezione III, con ordinanza del 26 maggio 2020, n. 9721, ha ribadito come l’onere di dimostrare che l’operazione non autorizzata è stata effettuata in assenza di anomalie grava sulla banca. Ovviamente il disconoscimento dell’operazione da parte del cliente deve essere tempestivo, così come previsto dal decreto legislativo 11/10.
In altri termini, è necessario cercare di bloccare le operazioni il prima possibile e sporgere querela nel più breve tempo possibile.
Conclusioni
Le frodi informatiche bancarie a mezzo telefono sono, purtroppo, in costante aumento.
Al di là della tutela penale, necessaria, più che altro, per consentire alle vittime di farsi valere nei confronti degli istituti di credito, è la tutela avanti all’Arbitro bancario e finanziario a offrire la migliore tutela, ossia il rimborso della somma sottratta.
Va però detto che il cliente dell’istituto non deve essere in “colpa grave”; in altri termini, non deve commettere imprudenze grossolane.
Certo è che, col tempo e la maggior informazione, anche cadere in truffe “evolute”, ossia provenienti da numeri di telefono identici a quelli della banca, potrebbero essere considerate ipotesi di colpa grave, data l’enorme diffusione del fenomeno e data l’ormai notorietà di questi tentativi.
