M. P. Contessa – Le frodi bancarie nell’era digitale: vishing, phishing e le nuove sfide per la sicurezza finanziaria.

 1) Introduzione

Negli ultimi anni, l’avanzamento della tecnologia e la crescente diffusione delle operazioni bancarie online hanno dato vita a nuove forme di frode: tra le più insidiose annoveriamo il “vishing” e il “phishing“. Entrambe rappresentano tecniche d’ingegneria sociale volte a sottrarre dati personali e finanziari alle vittime, spesso attraverso chiamate telefoniche o email fraudolente, mascherate da comunicazioni provenienti da istituzioni finanziarie. Ad onor del vero mediante siffatte truffe le vittime vengono indotte a rivelare le loro credenziali bancarie oppure i propri codici di accesso cagionando loro discapito gravi conseguenze economiche. D’altronde è proprio in ragione di ciò che le banche, essendo garanti della sicurezza delle operazioni finanziarie dei propri clienti, hanno una responsabilità importante nel prevenire e affrontare queste situazioni. Difatti secondo la normativa vigente, quest’ultime sono obbligate a risarcire i clienti vittime di frode, a meno che non dimostrino di aver adottato tutte le misure di sicurezza previste, tra cui l’autenticazione forte, e di non aver subito malfunzionamenti nei propri sistemi. Non a caso, proprio all’interno del contesto descritto, la più recente giurisprudenza italiana ha definito in modo più dettagliato i contorni della responsabilità bancaria.

2) Vishing e Phishing: tecniche di truffa

Il vishing (voice phishing) è una truffa effettuata tramite telefonate o messaggi vocali, in cui il truffatore, fingendosi un rappresentante di una banca o di un’altra istituzione, induce la vittima a fornire informazioni personali o bancarie. Il malintenzionato può anche falsificare il numero di telefono visualizzato sul dispositivo della vittima, facendolo apparire come quello di una fonte affidabile. Il phishing, invece, viene solitamente perpetrato tramite email o siti web fraudolenti che imitano quelli delle istituzioni finanziarie. D’altronde l’obiettivo è sempre lo stesso: convincere la vittima a inserire dati personali o di accesso bancario in pagine o moduli non autorizzati. Tuttavia queste tecniche sono estremamente sofisticate e possono ingannare anche persone con un buon grado di alfabetizzazione digitale. Infatti le vittime, spesso sotto pressione o inganno, finiscono per fornire involontariamente le loro credenziali, permettendo ai truffatori di effettuare transazioni non autorizzate.

3) La Responsabilità delle banche nel risarcire il cliente

La normativa italiana impone alle banche di garantire un alto livello di sicurezza nelle operazioni online. Specificatamente il Decreto legislativo n. 11 del 2010, che recepisce la direttiva europea sui servizi di pagamento (PSD2), stabilisce in modo chiaro che le banche siano tenute a risarcire il cliente in caso di operazioni non autorizzate, a meno che non dimostrino di aver adottato sistemi di sicurezza adeguati. A tal proposito l’art. 10 del D.lgs. 11/2010 prevede che, quando un cliente neghi di aver autorizzato un’operazione, l’onere della prova ricada sulla banca, la quale, dal canto suo, al fine d’inibire ogni responsabilità, dovrà dimostrare che: a) l’operazione sia stata eseguita correttamente e che l’istituto fosse munito di un sistema di autenticazione forte.; b) il cliente abbia agito con dolo o colpa grave nel fornire i propri dati al potenziale truffatore. Ne consegue che in mancanza di ciò l’istituto  dovrà rimborsare l’intera somma sottratta al cliente.

4) Il concetto di autenticazione forte.

Un elemento cruciale nella valutazione della responsabilità bancaria è la presenza di un sistema di autenticazione forte (Strong Customer Authentication, SCA), come richiesto dalla direttiva PSD2, recepita nel nostro Paese dal D.lgs. 11/2010.  Dettagliatamente il sistema dell’autenticazione forte è un metodo che richiede la sussistenza di tre fattori al fine di confermare l’identità di un utente durante una transazione bancaria:  1. Conoscenza: qualcosa che solo l’utente conosce (come ad es. una password o un PIN). 2. Possesso: qualcosa che solo l’utente possiede (come ad es. OTP generato da mobile token). 3. Inerenza: qualcosa che caratterizza l’utente (come ad es. l’impronta digitale o il riconoscimento facciale). Viceversa se la banca non riesce ad implementare un sistema di autenticazione forte, o se il sistema risulta essere vulnerabile, quest’ultima potrà essere ritenuta responsabile delle operazioni fraudolente ed obbligata a risarcire il cliente, a prescindere dal comportamento implementato dal medesimo.

5) Giurisprudenza recente a favore del cliente.

La recente giurisprudenza italiana ha confermato l’obbligo appannaggio delle banche di adottare sistemi di “autenticazione forte” e ha ribadito che, in assenza di tali sistemi o in presenza di malfunzionamenti, le banche sono responsabili delle perdite subite dai clienti. Un esempio significativo è incarnato dalla Sentenza del Tribunale di Napoli del 20 marzo 2024, in forza della quale è stato condannato un istituto bancario a risarcire un cliente vittima di frode mediante vishing. Dettagliatemente la sentenza ha stabilito che, nonostante il cliente avesse comunicato i propri codici OTP al truffatore, la banca non avesse dimostrato comunque l’adozione di misure di sicurezza sufficienti per prevenire l’utilizzo fraudolento dei dati. Infatti il giudice partenopeo ha sottolineato che la banca, in base all’art. 10 del D.lgs. 11/2010, avesse l’onere di dimostrare che il sistema di autenticazione fosse conforme agli standard di sicurezza e che l’operazione fosse stata autorizzata dal cliente in modo consapevole e volontario. Tuttavia – difettando tale dimostrazione probatoria – la Banca è stata ritenuta colpevole di non aver adottato un’adeguata autenticazione forte – rendendo pertanto legittimo il risarcimento richiesto dal cliente.

6) Conclusioni.

La crescente diffusione di frodi come il vishing e il phishing rappresenta una sfida sempre più rilevante per il settore bancario e la sicurezza delle operazioni finanziarie. La normativa italiana ed europea, infatti, sottolinea l’importanza di implementare sistemi di sicurezza adeguati, come l’autenticazione forte, per proteggere i clienti da transazioni fraudolente. A conferma di questo orientamento, le recenti sentenze, come quella del Tribunale di Napoli, ribadiscono la necessità per le banche di adottare misure preventive efficaci. In caso contrario, la responsabilità per eventuali perdite ricadrà sull’istituto bancario, che sarà tenuto a risarcire il cliente danneggiato.

*****

Bibliografia

F. Cajani, G. Costabile, G. Mazzaraco: Phising e furto d’identità digitale. Indagini informatiche e sicurezza bancaria, Giuffrè.

D. Bianchi., Internet e il Danno alla Persona – I casi e le ipotesi risarcitorie, Giappichelli, 2012;

D. Paolo., Cyber Crime, Il Phising; prospettive di un delitto, in Arch. Pen. Web, 2017,2,8

Normativa

Decreto legislativo n. 11 del 27 gennaio 2010, attuativo della direttiva PSD2

Giurisprudenza

– ABF, Collegio di Palermo, n. 4365/2022; ABF, Collegio di Coordinamento, n. 22745/2019; ABF Collegio di Palermo n. 18834/21; ABF, Collegio di Palermo, n. 14147/2020

– Cassazione Civile Sent. n. 3780/2024;

– Sentenza del Tribunale di Napoli, Sez. II, 20 marzo 2024. In questa sentenza, il Tribunale di Napoli ha condannato un istituto bancario al risarcimento di un cliente vittima di frode mediante vishing, a seguito del mancato rispetto dell’autenticazione forte.  La banca non è stata in grado di dimostrare l’adozione di misure adeguate per prevenire l’uso fraudolento dei dati; in  Diritto al Risparmio; Nota a Sentenza Tribunale Napoli 20 marzo 2024, disponibile su www.dirittoalrisparmio.it.

– Corte d’Appello Firenze, Sez. II, Sent., 08/09/2022, n. 1945.