Nota a ABF, Collegio di Roma, 27 giugno 2022, n. 9866.
A cura dell’Avv. Biagio Campagna 
Il MITB è una sottospecie del più ampio fenomeno del “Man in the middle”, ossia una minaccia informatica che permette al cybercriminale di intercettare e manipolare il traffico internet che l’utente crede privato e protetto. Nello specifico, l’hacker si mette letteralmente “nel mezzo” tra due entità: il cliente (l’utente), ed un server o un router, riuscendo non solo ad intercettare i messaggi inviati e ricevuti, ma anche a modificarli.
A livello giuridico, la più significativa definizione del MITB è stata fornita dal Collegio di Coordinamento dell’ABF in data 26/10/2012, con la Decisione n. 34983. Nello specifico, il fenomeno viene descritto come l’interposizione che questo genere di malware è in grado di operare fra il sistema centrale dell’intermediario (banca) e quello del singolo cliente. Come testualmente si legge nella decisione: «Nella sua massima espressione di efficienza aggressiva, il programma malevolo, una volta annidatosi in un certo numero di computer, genera quella che in gergo suole definirsi una botnet, ossia per l’appunto una rete di macchine egualmente infettate dallo stesso virus. Il malware – riconducibile alla più ampia categoria dei cc.dd. trojan (“cavalli di Troia”) e dotato di sofisticate capacità di elusione dei migliori antivirus – si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l’attenzione dell’utente. Il malware resta completamente “in sonno” attivandosi solo nel momento in cui l’utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino (targeted banks). In quel preciso istante il malware “si risveglia” ed entra in azione captando il collegamento dell’utente e propinandogli una pagina-video esattamente identica a quella che l’utente è abituato a riconoscere in sede di accesso regolare al sito del proprio intermediario. L’unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) “http” e non già “https” (dove la “s” finale sta per secured, protetto). Ignaro dell’intervenuta sostituzione della pagina, l’utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera.»
Successivamente, il malware attiva una finestra a modulo, che pare sempre di provenienza dal sito della banca in cui l’utente crede di operare, ove è richiesta una conferma di sicurezza con l’invito a compilare i campi del modulo con le proprie credenziali ed il codice OTP (one time password) generato dal token: procedura che gli intermediari talvolta attivano per ulteriori verifiche di sicurezza, soprattutto quando l’accesso ai servizi di home banking avvenga da un indirizzo IP diverso da quello abituale e riconosciuto dal sistema informatico bancario; il che rafforza nel cliente il convincimento della piena regolarità della situazione.
L’utente compila così i campi del modulo fittizio predisposto dal malware, il quale ha così modo di attuare la captatio di tutti i codici di autenticazione e di utilizzarli in tempo reale; nel mentre, l’utente viene ulteriormente ingannato da un messaggio di attesa che, pochi minuti dopo, si conclude con la comunicazione dell’impossibilità di procedere all’operazione e ritentare più tardi. A questo punto, l’hacker ha libero accesso al servizio online del cliente (ancora) ignaro della truffa e conseguente potere di disporre operazioni di pagamento urgenti a terzi soggetti complici, i quali, a loro volta, adotteranno altre strategie per nascondere i capitali indebitamente sottratti.
Il Collegio ABF di Roma, – decisione n. 9866 del 27 giugno 2022 – nel valutare il comportamento dell’intermediario alla luce del principio della diligenza professionale desumibile dall’art. 1176, comma 2, c.c., preliminarmente afferma che va osservato che con particolare riferimento all’attività bancaria e finanziaria, anche tenuto conto dei rilevanti interessi, sia individuali sia generali, a essa sottesi, il principio generale della responsabilità professionale ha tra l’altro trovato una particolare specificazione con riguardo all’utilizzazione di servizi e strumenti con funzione di pagamento che si avvalgono di mezzi elettronici.
Ciò alla luce della disciplina del d. lgs 27 gennaio 2010, n. 11, attuativo della direttiva 2007/64/Ce relativa ai servizi di pagamento nel mercato interno, la quale prevede una serie di obblighi e oneri, anche sotto il profilo della ripartizione della prova in caso di operazioni non autorizzate, a carico tanto dell’intermediario, quanto dell’utilizzatore dei servizi di pagamento. È stato pertanto riconosciuto il principio secondo il quale la possibilità di comportamenti fraudolenti nell’effettuazione di operazioni di pagamento attraverso strumenti di pagamento, purché non riconducibile a frode, dolo o colpa grave dell’utente, va ricondotta all’area di rischio professionale dei prestatori dei servizi di pagamento[1].
Nel caso trattato dal collegio romano, l’art. 10 del d. lgs n. 11/2010 dispone che “qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (comma 1). Con la precisazione che “quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento (…) non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7”, compreso tra l’altro quello di “utilizzare lo strumento di pagamento in conformità con i termini” contrattuali “che ne regolano l’emissione e l’uso” (art. 7, comma 1 lett. a), essendo in ogni caso “onere del prestatore di servizi di pagamento (…) fornire la prova della frode, del dolo o della colpa grave dell’utente” (comma 2).
Il Collegio ABF di Roma, rileva che queste norme applicate al caso di specie implicano che alla ricorrente non può essere imputata una colpa grave per il solo fatto che l’operazione fraudolenta sia stata comunque realizzata nonostante il regolare accesso al servizio di home banking. Conseguentemente, non è neppure consentito far risalire la sua colpa grave a una mancata protezione adeguata dei sistemi informatici impiegati per collegarsi via web alla banca.
Posto che, nel caso di specie l’operazione di pagamento sembra essere stata autenticata, correttamente registrata e contabilizzata, il Collegio rileva che va verificato se l’intermediario ha altresì provato che l’operazione contestata “non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
L’art. 10, comma 2, d. lgs n. 11/2010 prevede che è onere dell’intermediario “fornire la prova della frode, del dolo o della colpa grave dell’utente”, senza che ciò possa essere presunto dal mero fatto dell’utilizzo “di uno strumento di pagamento registrato dal prestatore di servizi di pagamento”.
Nel caso in esame il Collegio romano ha rilevato che la truffa sia stata realizzata attraverso l’impiego di software malevoli inseriti nel computer della ricorrente in grado di sovrascrivere i dati inseriti nella pagina web dell’home banking dell’intermediario (fattispecie del c.d. man in the browser o man in the middle).
Infatti, dalla produzione documentale non emergono indici di anomalie o tentativi falliti nel compimento dell’operazione contestata. Inoltre, la circostanza che l’operazione disconosciuta risulti essere stata disposta dall’indirizzo IP solitamente utilizzato da parte ricorrente può essere considerato un indice della sussistenza di una frode rientrante nella fattispecie in questione (v. Collegio di Roma, decisione n. 24271/2019).
Ancora, secondo l’orientamento del Collegio[2] questo tipo di frode ricorre in genere qualora l’ordine riepilogativo del pagamento e la distinta di bonifico siano riconducibili alla stessa operazione in ragione del medesimo codice identificativo.
Nel caso in essere è vero che il documento riepilogativo della disposizione di pagamento prodotto dalla ricorrente non contiene alcun codice identificativo che ne possa permettere il confronto con quello contenuto nella distinta di bonifico.
Tuttavia, a favore dell’ipotesi che si tratti della stessa operazione depongono sia il fatto che l’orario della disposizione di pagamento (11:17:51) indicato nella distinta contenente l’IBAN “corretto” coincida con quanto risultante dai log prodotti dall’intermediario; sia quello che la distinta riportante l’IBAN corretto riporti altresì la dicitura “stato distinta: acquisita da banca”.
Il Collegio quindi, ha sancito che l’intermediario va dunque considerato giuridicamente responsabile delle conseguenze dannose subìte dalla ricorrente per i fatti controversi e va riconosciuto il diritto di quest’ultima a vedersi rimborsata la somma sottratta in seguito all’attacco del malware.
Infine è bene precisare ed inquadrare la differenza di casistica tra il classico phishing e il MITB.
Il MITB, infatti, viene sovente descritto come un software particolarmente insidioso che, a differenza di altre altre fattispecie “classiche” (phishing), dove l’aggiramento dei presidi informatici di sicurezza e la circonvenzione del cliente avvengono attraverso metodi ormai più che noti che il cliente, mediamente diligente, è oggettivamente in grado di schivare, diversamente, nel MITB l’appropriazione indebita dei codici di sicurezza personali dell’utente avviene attraverso un meccanismo più subdolo, in grado di sorprendere la buona fede anche di un pur normalmente attento fruitore del servizio.
In questi casi, stando alla decisione “madre” del collegio di Coordinamento dell’ABF n. 3498/2012 per quanto sia innegabile che l’utente, cadendo nella trappola informatica, collabori indirettamente all’esecuzione della frode, il MITB è una fattispecie da tenere ben distinta dai casi di phishing.
Nel phishing, infatti, l’utente è vittima di una “colpevole credulità”, in quanto comunica le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario, abboccando a forme di truffa ormai note anche ai non esperti della materia, non tenendo conto anche delle abbondanti campagne preventive adottate dagli istituti bancari in tema di cybercrimes.
Spesso, infatti, le e-mail truffaldine appaiono redatte usando un linguaggio maccheronico o comunque con evidenti errori nel lessico o addirittura nel logo della banca.
Nel MITB, invece, il subdolo congegno di infezione si attua attraverso “un sofisticato metodo di intrusione caratterizzato da un effetto sorpresa capace di spiazzare l’utilizzatore, grazie alla perfetta inserzione nell’ambiente informatico originale e nella correlata simulazione di un messaggio che a chiunque non potrebbe apparire che genuino, posto che l’unica differenza consta nell’acronimo del protocollo di trasferimento, individuato come un normale http e non già come un https protetto”.
Va da sé che una simile variazione, che compare solo nella stringa di intestazione della video – schermata, mischiata ad almeno cinquanta o sessanta ulteriori caratteri, barre e altri segni di punteggiatura informatica, sfugge normalmente all’attenzione di chiunque si accosti ad una pagina della rete e più che mai sfugge a chi si accosti alla pagina di un sito bancario per compiere un’operazione.
_______________________________________
[1] V. i principi espressi in Cass. n. 2950/2017; v. anche Cass. 5 luglio 2019, n. 18045; v. ABF, Collegio di Coordinamento, n. 3498/2012.
[2] Cfr. ABF, Collegio di Roma, n. 622/2020.
Nota a ABF, Collegio di Roma, 27 giugno 2022, n. 9866.
A cura dell’Avv. Biagio Campagna
Il MITB è una sottospecie del più ampio fenomeno del “Man in the middle”, ossia una minaccia informatica che permette al cybercriminale di intercettare e manipolare il traffico internet che l’utente crede privato e protetto. Nello specifico, l’hacker si mette letteralmente “nel mezzo” tra due entità: il cliente (l’utente), ed un server o un router, riuscendo non solo ad intercettare i messaggi inviati e ricevuti, ma anche a modificarli.
A livello giuridico, la più significativa definizione del MITB è stata fornita dal Collegio di Coordinamento dell’ABF in data 26/10/2012, con la Decisione n. 34983. Nello specifico, il fenomeno viene descritto come l’interposizione che questo genere di malware è in grado di operare fra il sistema centrale dell’intermediario (banca) e quello del singolo cliente. Come testualmente si legge nella decisione: «Nella sua massima espressione di efficienza aggressiva, il programma malevolo, una volta annidatosi in un certo numero di computer, genera quella che in gergo suole definirsi una botnet, ossia per l’appunto una rete di macchine egualmente infettate dallo stesso virus. Il malware – riconducibile alla più ampia categoria dei cc.dd. trojan (“cavalli di Troia”) e dotato di sofisticate capacità di elusione dei migliori antivirus – si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema tali da attrarre l’attenzione dell’utente. Il malware resta completamente “in sonno” attivandosi solo nel momento in cui l’utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino (targeted banks). In quel preciso istante il malware “si risveglia” ed entra in azione captando il collegamento dell’utente e propinandogli una pagina-video esattamente identica a quella che l’utente è abituato a riconoscere in sede di accesso regolare al sito del proprio intermediario. L’unica differenza, obiettivamente impercettibile ad un pur scrupoloso utente, è la stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso (c.d. protocollo di trasferimento ipertestuale, Hyper Text Transfer Protocol) “http” e non già “https” (dove la “s” finale sta per secured, protetto). Ignaro dell’intervenuta sostituzione della pagina, l’utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera.»
Successivamente, il malware attiva una finestra a modulo, che pare sempre di provenienza dal sito della banca in cui l’utente crede di operare, ove è richiesta una conferma di sicurezza con l’invito a compilare i campi del modulo con le proprie credenziali ed il codice OTP (one time password) generato dal token: procedura che gli intermediari talvolta attivano per ulteriori verifiche di sicurezza, soprattutto quando l’accesso ai servizi di home banking avvenga da un indirizzo IP diverso da quello abituale e riconosciuto dal sistema informatico bancario; il che rafforza nel cliente il convincimento della piena regolarità della situazione.
L’utente compila così i campi del modulo fittizio predisposto dal malware, il quale ha così modo di attuare la captatio di tutti i codici di autenticazione e di utilizzarli in tempo reale; nel mentre, l’utente viene ulteriormente ingannato da un messaggio di attesa che, pochi minuti dopo, si conclude con la comunicazione dell’impossibilità di procedere all’operazione e ritentare più tardi. A questo punto, l’hacker ha libero accesso al servizio online del cliente (ancora) ignaro della truffa e conseguente potere di disporre operazioni di pagamento urgenti a terzi soggetti complici, i quali, a loro volta, adotteranno altre strategie per nascondere i capitali indebitamente sottratti.
Il Collegio ABF di Roma, – decisione n. 9866 del 27 giugno 2022 – nel valutare il comportamento dell’intermediario alla luce del principio della diligenza professionale desumibile dall’art. 1176, comma 2, c.c., preliminarmente afferma che va osservato che con particolare riferimento all’attività bancaria e finanziaria, anche tenuto conto dei rilevanti interessi, sia individuali sia generali, a essa sottesi, il principio generale della responsabilità professionale ha tra l’altro trovato una particolare specificazione con riguardo all’utilizzazione di servizi e strumenti con funzione di pagamento che si avvalgono di mezzi elettronici.
Ciò alla luce della disciplina del d. lgs 27 gennaio 2010, n. 11, attuativo della direttiva 2007/64/Ce relativa ai servizi di pagamento nel mercato interno, la quale prevede una serie di obblighi e oneri, anche sotto il profilo della ripartizione della prova in caso di operazioni non autorizzate, a carico tanto dell’intermediario, quanto dell’utilizzatore dei servizi di pagamento. È stato pertanto riconosciuto il principio secondo il quale la possibilità di comportamenti fraudolenti nell’effettuazione di operazioni di pagamento attraverso strumenti di pagamento, purché non riconducibile a frode, dolo o colpa grave dell’utente, va ricondotta all’area di rischio professionale dei prestatori dei servizi di pagamento[1].
Nel caso trattato dal collegio romano, l’art. 10 del d. lgs n. 11/2010 dispone che “qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (comma 1). Con la precisazione che “quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento (…) non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7”, compreso tra l’altro quello di “utilizzare lo strumento di pagamento in conformità con i termini” contrattuali “che ne regolano l’emissione e l’uso” (art. 7, comma 1 lett. a), essendo in ogni caso “onere del prestatore di servizi di pagamento (…) fornire la prova della frode, del dolo o della colpa grave dell’utente” (comma 2).
Il Collegio ABF di Roma, rileva che queste norme applicate al caso di specie implicano che alla ricorrente non può essere imputata una colpa grave per il solo fatto che l’operazione fraudolenta sia stata comunque realizzata nonostante il regolare accesso al servizio di home banking. Conseguentemente, non è neppure consentito far risalire la sua colpa grave a una mancata protezione adeguata dei sistemi informatici impiegati per collegarsi via web alla banca.
Posto che, nel caso di specie l’operazione di pagamento sembra essere stata autenticata, correttamente registrata e contabilizzata, il Collegio rileva che va verificato se l’intermediario ha altresì provato che l’operazione contestata “non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
L’art. 10, comma 2, d. lgs n. 11/2010 prevede che è onere dell’intermediario “fornire la prova della frode, del dolo o della colpa grave dell’utente”, senza che ciò possa essere presunto dal mero fatto dell’utilizzo “di uno strumento di pagamento registrato dal prestatore di servizi di pagamento”.
Nel caso in esame il Collegio romano ha rilevato che la truffa sia stata realizzata attraverso l’impiego di software malevoli inseriti nel computer della ricorrente in grado di sovrascrivere i dati inseriti nella pagina web dell’home banking dell’intermediario (fattispecie del c.d. man in the browser o man in the middle).
Infatti, dalla produzione documentale non emergono indici di anomalie o tentativi falliti nel compimento dell’operazione contestata. Inoltre, la circostanza che l’operazione disconosciuta risulti essere stata disposta dall’indirizzo IP solitamente utilizzato da parte ricorrente può essere considerato un indice della sussistenza di una frode rientrante nella fattispecie in questione (v. Collegio di Roma, decisione n. 24271/2019).
Ancora, secondo l’orientamento del Collegio[2] questo tipo di frode ricorre in genere qualora l’ordine riepilogativo del pagamento e la distinta di bonifico siano riconducibili alla stessa operazione in ragione del medesimo codice identificativo.
Nel caso in essere è vero che il documento riepilogativo della disposizione di pagamento prodotto dalla ricorrente non contiene alcun codice identificativo che ne possa permettere il confronto con quello contenuto nella distinta di bonifico.
Tuttavia, a favore dell’ipotesi che si tratti della stessa operazione depongono sia il fatto che l’orario della disposizione di pagamento (11:17:51) indicato nella distinta contenente l’IBAN “corretto” coincida con quanto risultante dai log prodotti dall’intermediario; sia quello che la distinta riportante l’IBAN corretto riporti altresì la dicitura “stato distinta: acquisita da banca”.
Il Collegio quindi, ha sancito che l’intermediario va dunque considerato giuridicamente responsabile delle conseguenze dannose subìte dalla ricorrente per i fatti controversi e va riconosciuto il diritto di quest’ultima a vedersi rimborsata la somma sottratta in seguito all’attacco del malware.
Infine è bene precisare ed inquadrare la differenza di casistica tra il classico phishing e il MITB.
Il MITB, infatti, viene sovente descritto come un software particolarmente insidioso che, a differenza di altre altre fattispecie “classiche” (phishing), dove l’aggiramento dei presidi informatici di sicurezza e la circonvenzione del cliente avvengono attraverso metodi ormai più che noti che il cliente, mediamente diligente, è oggettivamente in grado di schivare, diversamente, nel MITB l’appropriazione indebita dei codici di sicurezza personali dell’utente avviene attraverso un meccanismo più subdolo, in grado di sorprendere la buona fede anche di un pur normalmente attento fruitore del servizio.
In questi casi, stando alla decisione “madre” del collegio di Coordinamento dell’ABF n. 3498/2012 per quanto sia innegabile che l’utente, cadendo nella trappola informatica, collabori indirettamente all’esecuzione della frode, il MITB è una fattispecie da tenere ben distinta dai casi di phishing.
Nel phishing, infatti, l’utente è vittima di una “colpevole credulità”, in quanto comunica le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario, abboccando a forme di truffa ormai note anche ai non esperti della materia, non tenendo conto anche delle abbondanti campagne preventive adottate dagli istituti bancari in tema di cybercrimes.
Spesso, infatti, le e-mail truffaldine appaiono redatte usando un linguaggio maccheronico o comunque con evidenti errori nel lessico o addirittura nel logo della banca.
Nel MITB, invece, il subdolo congegno di infezione si attua attraverso “un sofisticato metodo di intrusione caratterizzato da un effetto sorpresa capace di spiazzare l’utilizzatore, grazie alla perfetta inserzione nell’ambiente informatico originale e nella correlata simulazione di un messaggio che a chiunque non potrebbe apparire che genuino, posto che l’unica differenza consta nell’acronimo del protocollo di trasferimento, individuato come un normale http e non già come un https protetto”.
Va da sé che una simile variazione, che compare solo nella stringa di intestazione della video – schermata, mischiata ad almeno cinquanta o sessanta ulteriori caratteri, barre e altri segni di punteggiatura informatica, sfugge normalmente all’attenzione di chiunque si accosti ad una pagina della rete e più che mai sfugge a chi si accosti alla pagina di un sito bancario per compiere un’operazione.
_______________________________________
[1] V. i principi espressi in Cass. n. 2950/2017; v. anche Cass. 5 luglio 2019, n. 18045; v. ABF, Collegio di Coordinamento, n. 3498/2012.
[2] Cfr. ABF, Collegio di Roma, n. 622/2020.
Seguici sui social:
✉Iscriviti alla nostra newsletter settimanale✉
Master executive di II livello in “Banking, Financial and Insurance Law“
Iscrizioni aperte sino al 30 settembre 2022.
Condividi articolo:
Info sull'autore