La “variante” spoofing penalizza l’incauto cliente



3 min read

Nota a ABF, Collegio di Bologna, 21 settembre 2021, n. 20481.

di Maria Fontana Vita della Corte

 

 

 

 

La vicenda posta all’attenzione del collegio arbitrale offre l’occasione per ribadire, sulla scorta dei principi interpretativi elaborati dal Collegio di Coordinamento con la decisione n. 22745/2019, come la mera regolarità formale di un’operazione economica eseguita con strumenti di pagamento elettronici – rivelatasi poi non autorizzata – sia insufficiente a ritenere pienamente assolto l’onere probatorio incombente sull’intermediario.

Anche nelle ipotesi di truffa realizzata mediante il cd. “spoofing”, come quella esaminata dal Collegio di Bologna, non basta dimostrare che le operazioni disconosciute siano state eseguite secondo le prescrizioni normative dettate in materia di Strong Customer Authentication (SCA); occorre prestare adeguata attenzione anche alle concrete modalità esecutive dell’operazione disconosciuta da cui trarre, in via presuntiva, la prova della colpa grave dell’utente per aver omesso di adottare le cautele opportune nella custodia dei dispositivi ovvero dei relativi codice di accesso.

Nel caso esaminato, a parere del collegio giudicante, l’intermediario ha certamente fornito la prova della correttezza delle transazioni economiche mediante un sistema di autenticazione forte a due fattori (richiesto dagli artt. 10 e 12 co. 2 bis del d.lgs. 11/2010), tant’è che produce a sostegno di tale fatto un file excel contenente l’estratto delle registrazioni elettroniche effettuate a seguito dell’inserimento dei codici (dinamici) OTS e OTP in occasione delle operazioni truffaldine.

Al contempo, dall’analisi delle circostanze di fatto riferite dallo stesso ricorrente, l’Arbitro ravvisa profili di colpa grave dell’utente che ha ammesso di aver fornito al sedicente operatore il codice ricevuto sulla propria utenza telefonica, dopo aver cliccato sul link contenuto nell’SMS proveniente da un numero telefonico (in apparenza) riconducibile a quello ufficiale dell’intermediario convenuto.

L’incauto comportamento dell’utente è stato ravvisato altresì nell’assenza di compromissione della sua linea telefonica: tale circostanza fattuale lascia presumere che costui abbia effettivamente ricevuto in precedenza, così come asserito dalla difesa dell’Istituto di credito, quei messaggi che, previo inserimento delle credenziali, hanno permesso l’enrollment di un nuovo device (variando le domande di sicurezza), agevolandolo i malfattori nel compimento dell’atto frodatorio in suo danno.

Sulla base di tali motivazioni, il ricorso viene rigettato.

Ma la decisione in epigrafe si segnala, in particolare, per aver spogliato il fenomeno dello spoofing delle vesti di variante particolarmente insidiosa del phishing; il collegio bolognese, infatti, in evidente rotta di collisione con l’orientamento assunto da altri collegi arbitrali[1], riconduce anche in tal caso la realizzazione dell’operazione fraudolenta allo schema tipico della truffa on-line realizzata a seguito della ricezione di messaggi, chiamate o mail, oramai di notoria conoscenza e come tale meramente imputabile alla collaborazione del cliente credulone.

In altri termini, la truffa perpetrata mediante “la manipolazione dei dati relativi al mittente di un messaggio per far sì che esso appaia provenire da un soggetto differente, rimpiazzando il numero originario con un testo alfanumerico” (cd. spoofing), non deve essere più considerata di tale sofisticazione da spiazzare l’utente ed esonerarlo da responsabilità per il furto subito che, in assenza di altre anomalie, resta imputabile soltanto all’incauta custodia dei codici di accesso da parte sua.

Fatta eccezione quindi per le diverse ipotesi di intrusione – tramite malware – nel sito internet originale dell’intermediario nel momento in cui il cliente vi accede per compiere un’operazione (il riferimento è chiaramente alle ipotesi man in the middle o man in the browser), per l’Arbitro bolognese ciascun cliente di servizi elettronici di pagamento che opera con home banking è in grado di poter individuare i tentativi di truffa che si svolgono secondo gli schemi tipici delle frodi online (persino quando i messaggi ingannevoli provengono da numeri in apparenza riconducibili all’intermediario, come nel caso di specie) e come tali può certamente evitarli usando un minimo di prudenza.

 

Qui la decisione.


[1] Tra le più recenti, cfr. ABF, Collegio di Torino, decisioni nn. 20475/2020, 6054/2021, 14165/2021.

Iscriviti al nostro canale Telegram 👇

Ricerca avanzata


  • Categorie

  • Autori

  • Seleziona il periodo

Copy link
Powered by Social Snap