L’utilizzo dell’home banking richiede particolare cautela e attenzione nella gestione dei sistemi di accesso e di autenticazione. Come abbiamo avuto modo di rilevare nel contributo “La scelta e la conservazione della password” il Garante per la privacy svolge una intensa attività di sensibilizzazione all’uso consapevole e responsabile delle credenziali di autenticazione pubblicando anche un utilissimo vademecum.
Le regole, in realtà, sono poche e chiare e riguardano sia la creazione, che la conservazione e l’utilizzo delle password.
Tuttavia, per quanto si possa essere cauti ed accorti, può accadere che in un momento di distrazione, si subiscano delle frodi informatiche particolarmente subdole come quella attuata mediante lo spoofing, il phishing, lo smishing e il vishing, tecniche di social engineering con le quali si fa credere alla vittima che la fonte di determinate informazioni e richieste sia attendibile, quando invece non lo è.
Questi sistemi sono impiegati soprattutto per estorcere autorizzazioni di operazioni bancarie (bonifici, pagamenti) agli utenti dell’home banking che, confidando nella genuinità di sms, e mail e telefonate ricevute da sedicenti operatori del proprio istituto di credito oppure dell’intermediario di cui quest’ultimo si avvale, cadono inconsapevolmente nella trappola e subiscono la sottrazione di somme di denaro spesso anche di un certo rilievo.
La frode che negli ultimi tempi è più diffusa, è attuata con le seguenti modalità:
- l’utente dell’home banking riceve un SMS (detto “civetta”) apparentemente proveniente dalla banca che, salvo il caso in cui presenti evidenti errori grammaticali, si inserisce in una preesistente conversazione contenente messaggi legittimi. Nell’sms si chiede di seguire un link per evitare il blocco della propria utenza e si precisa che, proprio in quei giorni, è in atto l’aggiornamento della piattaforma digitale della banca o altro simile messaggio.
- L’sms reca un link che, nelle forme più sofisticate di frode, ha il prefisso https:// seguito dalla denominazione della banca. In altri termini, il link sembra che effettivamente riporti al sito della Banca
- L’utente, dopo poco, riceve una telefonata da un numero di cellulare, da parte di un soggetto che si qualifica come funzionario della banca e gli chiede di “controllare l’accesso al portale dato che si stava aggiornando la nuova piattaforma di internet banking” o qualcosa di simile.
- L’utente effettua l’operazione senza comunicare all’interlocutore i codici di accesso, e termina la telefonata senza avere sospetti sulla provenienza dei contatti che nella forma replicano quelli già avuti in passato con la Banca.
- Tuttavia, successivamente, l’utente apprende dell’addebito di una o più operazioni di bonifico o pagamento che non ha mai inteso autorizzare.
- L’utente disconosce l’operazione, blocca il conto e presenta reclamo all’istituto di credito, che, però, puntualmente, non lo accoglie affermando che l’operazione risulta correttamente autorizzata.
A seguito di una mancata risposta al reclamo oppure di una risposta insoddisfacente, all’utente conviene rivolgersi all’Arbitro Bancario e Finanziario (ABF), un organismo creato per garantire un sistema, alternativo alla giustizia civile, per la risoluzione delle controversie che possono sorgere tra i clienti e le banche e gli altri intermediari in materia di operazioni e servizi bancari e finanziari.
L’accesso all’Arbitro avviene comodamente in via telematica seguendo le chiare istruzioni che si trovano al seguente link https://www.arbitrobancariofinanziario.it/presentare-ricorso/index.html
Il fenomeno non è affatto isolato come, peraltro, è possibile dedurre dal notevole quantitativo di decisioni adottate dall’ABF relativamente ad operazioni non autorizzate on line, spoofing, phishing, smishing e vishing (finora solo per il 2022 si tratta di 251 decisioni), senza contare coloro che purtroppo, non avendo dimestichezza con gli strumenti informatici e gli smartphone, non sono riusciti a conservare le prove della frode subita.
Infatti, sia l’utente, per ottenere il rimborso, sia la banca, per non essere condannata a pagarlo, devono fornire le prove di circostanze ben precise.
La normativa che regola i servizi di home bancking è costituita dal d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, e di adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
Da tale disciplina discende che l’utente che voglia contestare l’operazione di addebito negando di averla consapevolmente autorizzata e far valere la responsabilità della banca, deve conservare l’sms civetta e ricostruire con precisione tutti i passaggi seguiti per l’intrusione nella sua area personale da parte del truffatore. Sulla banca o sul suo intermediario grava l’onere di provare l’avvenuta autenticazione dell’accesso all’area riservata e dell’operazione, la sua corretta registrazione e contabilizzazione, nonché il mancato verificarsi di malfunzionamenti delle procedure necessarie per la sua esecuzione o di altri inconvenienti. Deve, cioè, dimostrare di aver predisposto un c.d. “sistema di autenticazione forte” (in inglese strong customer authentication o SCA) adeguandosi a quanto stabilito dalla normativa in precedenza citata. La definizione di autenticazione forte si rinviene nell’art. 1, d.lgs. n. 11/2010, ove si prevede che per autenticazione forte del cliente si intende: «un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente) che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri (…)».Sul punto, è intervenuta l’EBA con le “Opinion” del 21 giugno 2019, nelle quali sono stati passati in rassegna alcuni dei più comuni sistemi di autenticazione predisposti dagli intermediari per valutare se possano o meno annoverarsi tra i presidi di autenticazione forte, annoverando una lista di requisiti tecnici, compliant o non compliant con la SCA, ovvero: 1) elementi di “Inherence: something the user is”, 2) elementi di “Possession: something only the user possesses”; 3) elementi di “Knowledge: something only the user knows”.
Tale prova non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, essendo onere del prestatore di servizi di pagamento fornire anche la prova della frode, del dolo o della colpa grave dell’utente. Come più volte affermato dai Collegi territoriali e dal Collegio di Coordinamento dell’ABF, tale prova può essere fornita indicando una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa dedursi la colpa grave dell’utente che, per esempio, sussiste quando l’sms civetta è chiaramente non autentico per la presenza di errori di grammatica o di link a siti non collegabili alla banca o all’intermediario, oppure quando l’operatore non si esprime come quelli che normalmente contattano l’utente.
Nel caso di mancato assolvimento dell’onere probatorio, l’intermediario è obbligato a riaccreditarne l’importo sul conto del cliente, ai sensi dell’art. 11 del medesimo d.lgs. n. 11/2010.
Sul tema, si rileva che i collegi territoriali dell’ABF, solo negli ultimi tre mesi, hanno accolto diversi ricorsi (si vedano ABF Palermo decisione n.12660 del 29.9.2022 e n. 13282 del 14 ottobre 2022; ABF Bologna decisioni n.13271 e 13282 del 14.10.2022, n.12975 e 12946 del 7.10.2022; ABF Milano decisione n.13065 del 10.10.2022; n.12999 del 7.10.2022, nn. 12732 e 12731 del 3.10.2022; ABF Napoli decisione n. 12888 del 6.10.2022; ABF Roma, decisione n. 12005 del 1.9.2022; n.13282 del 14 .10.2022)
In ogni caso, vista l’ampiezza del fenomeno, è senz’altro necessario ed urgente che gli Istituti di credito e gli intermediari di cui si avvalgono, prestino una maggiore attenzione ai rischi ICT e di sicurezza, come auspicato dal 40° aggiornamento Banca d’Italia alle Disposizioni di vigilanza per le banche, con il quale viene data attuazione alle Linee guida EBA sulla gestione dei rischi relativi alle tecnologie dell’informazione (Rischi ICT) e di sicurezza.
Il Rischio ICT e di sicurezza comprende i rischi di sicurezza derivanti da processi interni non adeguati o errati o da eventi esterni, compresi gli attacchi informatici, o una sicurezza fisica inadeguata. Le banche sono tenute ad adottare le misure previste dai citati documenti entro il 30 giugno 2023, con l’obbligo di comunicare alla Banca d’Italia, entro il primo settembre 2023, una relazione che riporti gli interventi adottati.