A fronte dell’inarrestabile innovazione tecnologica del Web e di Internet, anche le tecniche di frode si evolvono considerevolmente aumentando, di conseguenza, i potenziali rischi per fornitori di servizi e utenti. Nel caso dei servizi finanziari e bancari, questi rischi si possono facilmente tradurre in perdite finanziarie dirette a causa di operazioni commesse in maniera non autorizzata o fraudolenta a danno della clientela. Mentre in ambito strettamente tecnologico è spesso difficilissimo dimostrare dove stanno le specifiche responsabilità di un evento di frode, per la legge la questione è chiara e molto ben delineata. Ma dove stanno realmente le responsabilità e come possono i clienti tutelarsi al meglio?

La direttiva PSD e il Codice Privacy

I contenuti del Decreto Legislativo n. 196 del 30 giugno 2003 “Codice in materia di protezione dei dati personali” (cd “Codice Privacy”) e il successivo recepimento (Dlgs 27 gennaio 2010 n. 11) della Direttiva Europea sui Servizi di Pagamento 2007/64/CE (PSD) con decorrenza 1 marzo 2010 hanno messo in un angolo gli istituti bancari e finanziari.

In particolare, l’articolo 31 “Obblighi di sicurezza” del Codice Privacy obbliga i soggetti titolari del trattamento alla custodia e al controllo “anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

L’articolo 15 “Danni cagionati per effetto del trattamento” sancisce che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”, anche in caso di danno non patrimoniale derivante dalla violazione delle modalità di trattamento regolamentate dall’articolo 11.

La direttiva PSD tratta questi temi negli articoli 31, 32, 33 e 34 spingendo molto verso l’incentivazione dei servizi di pagamento e il mantenendo i livelli di tutela dei consumatori, auspicando un aumento della fiducia nell’uso sicuro degli strumenti di pagamento elettronici. La PSD invita a prendere in considerazione il fatto che differenti strumenti di pagamento comportano rischi differenti, promuovendo contestualmente l’emissione di strumenti più sicuri e invitando all’eliminazione parziale o totale della responsabilità del cliente, tranne nei casi in cui egli abbia agito in modo colposo o fraudolento.

L’onere della prova

L’onere della prova è quasi totalmente a carico dell’istituto di credito. Al cliente è chiesto solo di dimostrare di aver adottato misure minime di protezione delle credenziali e del proprio personal computer, di non aver agito in maniera fraudolenta, e di avvisare tempestivamente il fornitore dei servizi di pagamento in caso di operazioni non autorizzate o non correttamente eseguite. L’articolo 56 della direttiva PSD richiede, infatti, che il cliente utilizzi gli strumenti conformemente alle condizioni d’emissione e d’uso dichiarate dal fornitore e notifichi senza indugio a quest’ultimo qualsiasi smarrimento, furto o frode ai propri danni che potrebbero comportare un uso fraudolento o improprio degli strumenti di pagamento.

L’articolo 59 della direttiva PSD recita inoltre che “quando l’utente di un servizio di pagamento nega di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione di pagamento sia stata autorizzata dal pagatore né che questi abbia agito in modo fraudolento o non abbia adempiuto, con negligenza grave o intenzionalmente, a uno o più degli obblighi di cui all’articolo 56”.

Insomma non c’è praticamente scampo per gli istituti di credito che forniscono servizi di online banking alla clientela: quasi sempre sono costretti a risarcire i danni a meno che non riescano a dimostrare inequivocabilmente la negligenza o la fraudolenza del cliente. Che comunque parte sempre in vantaggio e con la legge dalla sua parte.

Dove sta realmente la responsabilità?

Sebbene esista un certo numero di episodi pregressi che dimostrano la scarsa attenzione di alcuni istituti di credito verso la sicurezza dei propri servizi di online banking e di pagamento, non sempre la responsabilità è attribuibile univocamente alla banca. E a volte essa non è attribuibile né alla banca né al cliente.

Ciò è dovuto alla sempre crescente complessità della rete Internet e del Web che ha conseguentemente aumentato il volume delle tecniche a disposizione dei malintenzionati e dei criminali per attuare operazioni fraudolente a danno degli istituti di credito e della loro clientela. Al giorno d’oggi esistono vere e proprie organizzazioni criminali internazionali che sono specializzate nelle frodi bancarie e finanziarie e sono autrici della maggior parte degli episodi fraudolenti.

Non è facile, per gli istituti di credito, difendersi in maniera completamente efficace da una moltitudine così eterogenea, strutturata e diffusa di attacchi informatici. Mentre alcune tecniche di frode possono essere contrastate con una certa efficacia adottando idonee misure di sicurezza, altre non dipendono dai sistemi informatici dell’istituto di credito né dal computer utilizzato dal cliente vittima.

Se l’infezione da malware (trojan horse, keylogger, spyware, ecc.) può essere contrastata da appositi strumenti di protezione come antivirus, antispyware e personal firewall, gli attacchi di phishing possono essere contrastati solo aumentando al massimo il livello di consapevolezza del cliente e sensibilizzandolo su specifici aspetti di sicurezza come la verifica dell’URL o dei certificati digitali SSL, quindi senza alcuna possibilità di intervento diretto dell’istituto di credito.

In particolari casi, poi, come gli attacchi di pharming, la responsabilità può non essere a carico né della banca né del cliente. La peculiarità di questo attacco, infatti, fa sì che esso possa essere agevolmente portato a termine sfruttando carenze di sicurezza dei server DNS di un Internet Service Provider (ISP) che può non essere né quello utilizzato dal cliente per accedere ad Internet, né quello cui la banca si appoggia per fornire i propri servizi di online banking.

In casi specifici come questo, dal punto di vista prettamente tecnico, è sempre molto difficile accertare le precise responsabilità dei soggetti coinvolti. La situazione si complica, poi, quando il cliente accede a servizi di online banking dal posto di lavoro utilizzando un computer della propria azienda.

Le sentenze giudiziarie

Le recenti sentenze giudiziari su casi di controversia fra banca e cliente per operazioni non autorizzate o fraudolente hanno quasi sempre dato ragione a quest’ultimo, riconoscendo d’ufficio la responsabilità dell’istituto di credito senza entrare debitamente nel merito degli aspetti tecnici. Nel dubbio, insomma, si presume sempre che la responsabilità sia a carico della banca, a volte però commettendo gravi errori concettuali.

Lo dimostrano le sentenze del tribunale di Nicosia per un caso di pharming, quella del tribunale di Palermo in un caso di sottrazione di credenziali di accesso e della Corte di Cassazione in un caso di furto d’identità, nonché il provvedimento del Garante Privacy nei confronti di un istituto di credito in un caso di accesso non autorizzato a dati personali. Anche gli articoli citati contengono evidenti errori concettuali e tecnici che personalmente, come professionista di sicurezza delle informazioni, non posso condividere.

Gli istituti di credito sono chiamati dalla legge ad adottare idonee misure di sicurezza in base alle conoscenze acquisite e al progresso tecnico, nonché alla natura dei dati e alle specifiche caratteristiche del trattamento, riducendo al minimo i rischi. In poche parole, sebbene siano a volte penalizzati dalle norme di legge e dalle sentenze giudiziarie, non possono assolutamente abbassare la guardia e devono costantemente tenersi aggiornati con il progresso tecnologico e, di conseguenza, con l’evoluzione delle tecniche di attacco e di frode.

Il cliente è tutelato ma non si fida

Un’inchiesta di Altroconsumo del gennaio 2011, recentemente ripresa in un dossier pubblicato sulla rivista Soldi & Diritti di marzo 2012, conferma che la sicurezza delle transazioni online è una priorità per gli istituti bancari che, oltre a lanciare campagne più o meno efficaci di sensibilizzazione e prevenzione sul phishing, hanno scelto di adottare sistemi sufficientemente efficaci di protezione degli accessi ai servizi online. Fra questi il più diffuso è attualmente costituito dai sistemi di strong authentication basati su dispositivi token (cd “chiavette”) che producono codici usa e getta.

Nonostante l’attenzione degli istituti di credito alle misure di sicurezza e la tutela garantita dalle norme di legge, i consumatori si dimostrano ancora molto diffidenti verso i servizi di online banking: oltre il 74% delle oltre 5.000 persone intervistate da Altroconsumo, infatti, dichiarano apertamente di non fidarsi a gestire le proprie finanze via web per paura delle possibili frodi.

Paura pressoché ingiustificata, perché il 96% di coloro che invece utilizzano servizi online non hanno mai subito frodi negli ultimi 5 anni e, all’interno dell’esiguo 4% vittima di frode, meno dell’1% non è stato rimborsato. In aggiunta, solo il 7% degli utenti online ha dichiarato di aver avuto problemi nell’utilizzo dei servizi online per problemi di incongruenza delle condizioni, transazioni non autorizzate o erroneamente registrate. In definitiva le frodi sono rare e quasi sempre senza conseguenze.

Questa sostanziale sicurezza dei servizi di online banking si aggiunge agli innegabili vantaggi sperimentati dagli utenti web: transazioni più veloci ed economiche, minori costi di gestione (spesso i servizi sono gratuiti) e possibilità di operare in qualsiasi momento. Chi ha provato ad utilizzare servizi online si dichiara assolutamente contento della scelta.

Un piccolo neo è costituito dal malcostume di alcune banche di chiedere ai clienti di sostenere un costo per l’adozione delle misure di sicurezza, in particolare per il rilascio dei dispositivi token. Sebbene le maggiori banche ne concedano l’uso a titolo gratuito, altre hanno scelto di addossare i costi alla clientela arrivando a chiedere anche 15 euro per ciascun dispositivo. Ciò assume i contorni di una tassa sulla sicurezza che non è corretto far pagare al cliente, perché le misure di sicurezza dovrebbero essere interamente a carico della banca.

Misure di tutela personale

Il cliente dei servizi di online banking può comunque prevenire l’occorrenza di frodi e accessi non autorizzati adottando alcune misure di sicurezza a livello personale, ovvero:

• Non accedere mai ai servizi di online banking da computer pubblici o condivisi, né utilizzando collegamenti Internet sconosciuti, per esempio mediante hotspot WiFi e accessi di Internet Café, treni, aeroporti e alberghi.
• Mantenere il proprio computer costantemente aggiornato con le patch rilasciate dal produttore del sistema operativo, in particolare quelle di livello critico per la sicurezza.
• Installare nel computer un prodotto antivirus e un prodotto antispyware da mantenere sempre residenti e attivi nel sistema, nonché costantemente aggiornati. Se possibile adottare un firewall (sul router di accesso ad Internet, per esempio) o un prodotto di personal firewall sul sistema operativo.
• Non rispondere mai a messaggi di posta elettronica o strani messaggi popup in cui è richiesto l’inserimento delle proprie credenziali di accesso, anche se riportano colori ed elementi distintivi del proprio istituto di credito. Le banche non chiederanno mai i vostri codici di accesso.
• Insospettirsi sempre se viene richiesto più volte consecutivamente l’inserimento delle credenziali di accesso nonostante si sia certi di averle inserite correttamente.
• Accedere ai servizi di online banking digitando manualmente l’indirizzo URL (es. www.propriabanca.it) nella barra degli indirizzi del proprio browser, senza ricorrere all’utilizzo di pulsanti o dell’elenco dei preferiti del proprio browser.
• Dopo aver aperto la pagina di accesso ai servizi, prima di inserire le credenziali, accertarsi che sia attiva una sessione di navigazione protetta da SSL contrassegnata dal prefisso https:// al posto del normale prefisso http://, verificando anche la correttezza del certificato digitale cliccando sul simbolo della connessione protetta (solitamente un lucchetto o una chiave).
• Disconnettersi sempre non appena completate le operazioni (funzioni “logout”, “esci” o “uscita”), assicurandosi che la sessione sia effettivamente chiusa.
• Attivare tutti gli strumenti di notifica in tempo reale che la maggior parte degli istituti offre al giorno d’oggi (purtroppo spesso a pagamento) come la notifica via SMS o a mezzo posta elettronica in caso di accesso ai servizi o a fronte di operazioni di pagamento online.

Situazioni sospette, strane o poco chiare devono essere tempestivamente notificate al proprio istituto di credito e segnalate immediatamente alla Polizia Postale e delle Comunicazioni. In caso di furto o smarrimento delle credenziali di accesso o del dispositivo token richiedere immediatamente il blocco dei codici chiamando il numero verde della propria banca, inviando successivamente una copia della denuncia.

E se la banca non vuole concedere il rimborso?

L’unico caso in cui un istituto di credito può rifiutare il rimborso è costituito dalla comprovata colpa del cliente che ha agito in maniera fraudolenta o non ha adottato le misure idonee a garantire la sicurezza dei dispositivi di accesso (codici, token, ecc.). Circostanze che la banca dovrà comunque provare in maniera inequivocabile.

Se il cliente ha comunque adottato tutte le misure richieste per legge, passati 30 giorni dal reclamo senza risposta o in caso di rifiuto o risposta insoddisfacente da parte della banca, egli può interpellare l’Arbitro Bancario e Finanziario (ABF) inoltrando apposito ricorso.

Ettore Guarnaccia