Perizie Phishing. Ci sono due tipi di attacchi informatici:

1. attacchi software che mirano a violare i sistemi di sicurezza digitale basati su protocolli di autenticazione, canali cifrati, payload tcp crittografati, pin, 2FA, Certificati Digitali, biometria, logging eccetera. In questo caso viene preso di mira una componente dell’intero sistema di autenticazione e protezione

2. attacchi tipo sociale (detti social engineering) che aggirano i protocolli ed i servizi di sicurezza digitale facendo leva sul fatto che l’utente medio ha una bassa o nulla conoscenza informatica dei processi lato client e server di un sistema home banking. Sono infatti troppo specialistiche quelle conoscenze ingegneristiche ed informatiche che un utente home banking dovrebbe avere per proteggersi (con la consapevolezza) dagli approcci di social enginerring adottati dai truffatori, ad esempio il Phishing bancario
I truffatori contattano l’utente di un conto corrente (dopo averne raccolto informazioni con varie strategie) e lo invitano ad eseguire operazioni tecniche che (come già detto) una persona di medie conoscenze poco è in grado di capire. Pensiamo alla pletora di termini: SSL, SSL Certificate, Token, PIN, Biometrics fingerprint, notifiche Push, Mobile Code, Authorized device, sms code, cookies, Access code, password, log, eccetera

Le banche, giustamente, pubblicano delle lettere informative e dei decaloghi per aiutare gli utenti a migliorare la propria consapevolezza.

La questione centrale sulla responsabilità utente e della banca può essere anche riassunta nelle seguenti domande:

1. La informativa bancaria unita alla misure tecniche di protezione sono necessarie ma anche sufficienti per prevenire il Phishing, almeno con una soddisfacente percentuale statistica?
2. Le misure tecniche tradizionali (hardware e software, firewall, pin, password, ssl, eccetera) sono specifiche aggiornate e dunque idonee per le truffe di tipo sociale che non violano i sistemi di sicurezza bancari?
3. Quali sono gli adempimenti tecnici e procedurali ovvero le responsabilità del cliente del conto corrente?

QUADRO NORMATIVO

Sul quadro normativo relativo alle operazioni di pagamento non autorizzate. In materia di servizi di pagamento, il d.lgs. 27/01/2010, n. 11, in attuazione della direttiva 2007/64/CE, definisce termini specifici (consumatore, servizi di pagamento, servizio di disposizione di ordine di pagamento, bonifico, autenticazione, ect.), l’ambito di applicazione, ed altre precisazioni relative ai rischi derivanti da attività fraudolente a danno degli utenti. Ad esempio l’articolo 6 dice:

Art. 6
(( (Limiti all’utilizzo degli strumenti di pagamento) )) “…Il contratto quadro puo’ prevedere il diritto del prestatore di servizi di pagamento di bloccare l’utilizzo di uno strumento di pagamento al ricorrere di giustificati motivi connessi con uno o piu’ dei seguenti elementi:
a) la sicurezza dello strumento;
b) il sospetto di un suo utilizzo fraudolento o non autorizzato;“

Come ben sappiamo l’uso fraudolento è quasi sempre un problema legato al social engineering che avviene senza violazione di protocolli e servizi digitali di sicurezza e protezione.
Utile conoscere anche questo articolo

Art. 12 (Responsabilita’ del  pagatore  per  l’utilizzo  non  autorizzato  di strumenti o servizi di pagamento)

1.  Salvo  il  caso  in  cui  abbia  agito  in  modo   fraudolento, l’((utente)) non sopporta alcuna perdita derivante  dall’utilizzo  di uno  strumento  di  pagamento  smarrito,   sottratto   o   utilizzato indebitamente intervenuto dopo la  comunicazione  eseguita  ai  sensi dell’articolo 7, comma 1, lettera b).

  2.  Salvo  il  caso  in  cui  abbia  agito  in  modo   fraudolento, l’((utente))   non   e’   responsabile   delle   perdite    derivanti dall’utilizzo dello strumento  di  pagamento  smarrito,  sottratto  o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all’obbligo di cui all’articolo 8, comma 1,  lettera

La direttiva citata, su cui sono intervenute diverse novelle, è stata successivamente abrogata dalla direttiva 2015/2366/UE, relativa ai servizi di pagamento nel mercato interno, la quale è stata attuata, nel nostro ordinamento, con d.lgs. 15/12/2017, n. 218, che ha apportato modifiche al d.lgs. 11/2010 eliminando alcune parole ma senza variare la sostanza dell’art 6 e 12 appena citati
“ c) dopo il comma 3-ter, e’ inserito il seguente: « 3-quater. Se non diversamente disposto, ai fini della disciplina dei servizi di pagamento, nel presente decreto si applicano le definizioni del decreto legislativo 27 gennaio 2010, n.11 ».

Nel dlg n.218 si precisa quano segue:

«Art. 12 (Principi e criteri direttivi per l’attuazione della direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE). -“…g) in conformita’ a quanto previsto dall’art. 20 della direttiva (UE) 2015/2366, assicurare una chiara e corretta ripartizione di responsabilita’ tra i prestatori di servizi di pagamento di radicamento del conto e i prestatori di servizi di disposizione di ordine di pagamento coinvolti nell’operazione, con l’obiettivo di garantire che ciascun prestatore di servizi di pagamento si assuma la responsabilita’ per la parte dell’operazione sotto il proprio controllo;

Anche questa precisazione non lascia molti spazi interpretativi in merito alle operazioni informatiche ed all’ambito di intervento dei sistemi di protezione bancari. La legge non dice che vanno esclusi dai sistemi di protezione bancari quelle contromisure ideonee a fronteggiare gli attacchi di tipo social engineering come il Phishing.

La direttiva precedente è stata integrata con il regolamento delegato 2018/389/UE del 27 novembre 2017 circa le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione.

Infine il tema della diligenza del banchiere accorto:

Relativamente all’obbligo di diligenza, l’art. 1176, secondo comma, c.c. “nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata”. Nel caso di Phishing è la banca a dover adempiere a tutte le obbligazioni assunte nei confronti dei terzi, con la diligenza particolarmente qualificata dell’accorto banchiere. Queste obbligazioni si traducono nella attivazione di due tipi di protezione:

1. protezione infrastrutturale dei sistemi bancari (home banking)
2. profili di protezione digitali contro i bonifici fraudolenti basate su regole euristico/statistiche che possono intercettare le truffe più comuni di tipo social engineering.

Il Vishing è una classe di truffe social engineering dove il cliente viene contattato telefonicamente per una richiesta di dati personali e della carta di credito Per trarre in inganno l’utente l’identità del chiamante è falsificata.

Per maggiori informazioni o un supporto tecnico legale contattare il Dott. Roberto Rocchetti

rocchetti@alicegroup.com

+39 3929479500