Le recenti frodi telematiche bancarie e la protezione degli asset informativi: chi risponde del danno?
Le più recenti indagini in ambito cybersecurity mostrano come i criminali informatici siano in grado di utilizzare nuovi software malevoli sempre più sofisticati potendo aggirare misure di sicurezza predisposte dalle organizzazioni. Mentre le organizzazioni, imprese e pubbliche amministrazioni, pongono attenzione alla protezione degli asset informativi e delle informazioni strategiche aziendali, rappresentando una priorità irrinunciabile, nuovi software malevoli si diffondono esponenzialmente. Tra questi, non si possono non menzionare i ransomware che spesso criptano banche dati in cambio di una richiesta di pagamento. Questa tipologia di attacco è una chiara sfida al sistema di protezione implementato anche sul piano organizzativo e di adeguata formazione, del personale delle pubbliche amministrazioni e imprese, devono tentare di vincere, da una parte elevando sfide e dall’altra tenendo in linea con i migliori standard le soluzioni tecnologiche. Dato il contesto generale non certo facile, non solo per il fattore pandemia ma anche per il conflitto russo-ucraino, investire di più e meglio non è semplice. Soprattutto nel settore delle piccole medie imprese, si ritiene che il problema sia culturale. La non adeguata formazione del personale IT coinvolto in ambito cybersecurity e la limitata sensibilità a livello di management rappresentano dei fattori di resistenza certamente rilevanti e che possono impedire di raggiungere un livello di protezione adeguato sia in ambito di protezione dei dati personali sia di cybersecurity.
Sul diverso fronte dei consumatori ed in particolare dei correntisti, la situazione è anche peggiore le insidie connesse ai servizi telematici sono incommensurabili, il processo di transizione digitale in atto porterà nuovi rischi non gestiti in una situazione di sostanziale assenza di efficaci azioni di consapevolezza nell’ambito della governance pubblica. Tra questi rischi si ricomprendono varie tipologie di tecniche di ingegneria sociale che mirano ad ingannare gli utenti, facendoli cadere in tranelli più o meno sofisticati e più o meno efficaci. Preme rilevare che una tecnica di ingegneria sociale, anche se scarsamente efficace in termini assoluti, può diventare proficua lato criminale nella misura che questo può facilmente raggiungere un numero elevato di destinatari. Tra queste tecniche rientra certamente il tradizionale phishing, il quale inserito in un contesto di campagne di phishing massive rivolte a milioni di destinatari può risultare appunto proficuo, ripagando i criminali dei propri sforzi anche economici volti a raccogliere banche dati con profili di utenti e a mettere su un sistema di mailing massivo.
Si tratta di un fenomeno illecito diffusosi da almeno due decenni in tutto il mondo, nel quale il malintenzionato invia una e-mail di phishing (sinonimo di abboccamento) alla vittima chiedendo di inserire informazioni riservate (p.e. password o pin), la quale senza verificare incautamente la provenienza della e-mail inserisce i dati riservati fornendo gli stessi a terzi non autorizzati. A tale tecnica si sono aggiunte nel corso degli anni, tecniche di aggiramento degli utenti e correntisti sempre più evolute, utilizzando da una parte altri mezzi di comunicazione come lo smartphone. Così lo smishing, nel quale i malintenzionati utilizzano non più la e-mail per truffare la vittima, ma un SMS, la cui analisi di testo richiede tempo e attenzione. Un testo scritto in modo abbastanza corretto con un link di richiesta di credenziali del correntista può essere ingannevole per utenti frettolosi. Il testo potrebbe essere di questa tipologia: “Istituto di credito: la sua carta è stata bloccata per mancata sicurezza web, per informazioni per proseguire tramite il portale indicato: https//istitutodicredito.it”. Il testo scritto in italiano un po’ stentato dovrebbe far sorgere qualche dubbio, ma d’altra parte un SMS è appunto uno short message, quindi molto sintetico, il destinatario avveduto pertanto per evitare di cliccare sul link dovrebbe solo pensare che un istituto non invia mai sms ai propri clienti, invece, un utente più avanti con l’età e meno aduso alla tecnologia potrebbe essere tentato dal cliccare sul testo. Purtroppo, anche lato istituto di credito ci sono comportamenti non troppo chiari, che gli istituti non inviano messaggi informativi agli utenti, soprattutto via SMS, si tratta di un’affermazione ripetuta e scritta sui siti web degli istituti di credito. Tuttavia, l’esperienza giudiziale mostra che vi sono forti ragioni per asserire il contrario in quanto vi sono correntisti che hanno ricevuto parecchi SMS informativi di varia natura. Altro fenomeno di criminalità informatica che colpisce il correntista è il vishing, ovvero, una forma di phishing che sfrutta i sistemi Voip (Voice Over Internet) sebbene negli ultimi hanno tale tipologia di frode ha acquisito un significato più estere ricomprendendo qualunque frode che avvenga tramite un sistema vocale come ID caller spoofing, ove il malintenzionato si presenta al telefono camuffando la propria identità. Sempre più di frequente, almeno in passato, vi erano istituti di credito che avevano attivato un account di Whattsapp per facilitare la comunicazione con clienti, utile soprattutto ma non solo, agli utenti che per esempio viaggiano spesso all’estero.
Questa tecnica sempre più raffinata e persuasiva, si basa sulla affidabilità di un operatore telefonico che, conoscendo alcune informazioni più o meno riservate del correntista, si mostra al telefono come un operatore competente che spiega come sia necessario aggiornare alcuni dati per il profilo dell’internet banking, chiedendo alcune informazioni e mostrando all’interlocutore la propria conoscenza del contesto, diviene, come già accennato, una tecnica molto persuasiva e ritenuta affidabile per il correntista. In tal modo, il malintenzionato riesce in taluni contesti ad ottenere le informazioni volute entrando nel conto corrente od ottenendo comunque dei dati della carta di credito. A questo punto la collaborazione dell’utente/correntista è piena riuscendo in tali casi ad ottenere direttamente dal titolare del conto o della carta credito, gli eventuali codici di controllo.
Inoltre, negli ultimi anni essendosi diffuse le piattaforme per la gestione dei bitcoin, il vishing trova ampio impiego anche fuori dal circuito bancario: abili operatori mostrando facili guadagni che inizialmente sono tangibili e reali, ottengono la fiducia del piccolo investitore per poi sottrarre tutto l’importo dell’investimento una volta che lo stesso si fa appetibile.
Per il malintenzionato, altra tecnica dei criminali informatici è lo spear phshing, il quale può essere visto come una variante più insidiosa del Phishing tradizionale. Si tratta di un’azione mirata commessa da parte di malintenzionati nella quale gli stessi sfruttano informazioni relative alla vittima, come per esempio, il ruolo professionale o la qualifica aziendale al fine di carpire illecitamente informazioni riservate.
Infine, una frode diffusasi nell’ultimo decennio è la Sim Swap Fraud si tratta di una frode informatica tra le più insidiose che si conoscano e colpisce in particolare i sistemi di autenticazione a due fattori (qualcosa che conosco e qualcosa che possiedo). Si realizza tramite la disattivazione della sim card telefonica (c.d swapping), tale operazione consente ai malintenzionati di carpire le comunicazioni che avvengono tramite sms. Si tratta di una frode particolarmente diffusa nell’ambito dei sistemi di internet banking nella quale il malintenzionato si presenta di solito al dealer telefonico, con documenti di riconoscimento e tal volta con una denuncia contraffatta, chiedendo il duplicato della SIM oppure la portabilità del numero di cellulare allo stesso operatore.
Questa frode ha iniziato a diffondersi in Italia intorno al 2012, secondo le indagini pubblicate dall’ABI LAB. Si tratta di una frode complessa tramite la quale il malintenzionato, acquisisce prima i dati riservati della vittima, successivamente, riesce ad introdursi nel sistema internet banking grazie al possesso delle SIM presso la quale viene comunicata la password “usa e getta”, mentre la vittima rimane ignara rivolgendosi in prima battuta all’operatore telefonico per il malfunzionamento della SIM per poi accorgersi solo dopo un certo periodo delle operazioni di bonifico bancario sul proprio conto corrente.
Purtroppo, in tale contesto, il correntista vittima di frode si trova sfornito di tutele immediate, il riaccredito immediato delle somme illegalmente sottratte viene infatti addebitato sul conto corrente. Il correntista in un primo momento dopo il disconoscimento dell’operazione di bonifico si trova di nuovo la somma accreditata. Infatti, le modifiche apportate alla normativa dalla riforma sui servizi di pagamento prevede che, qualora il correntista disconosca l’operazione, l’istituto sia tenuto ad un accredito immediato. Tuttavia, al correntista in via quasi ordinaria viene comunicato che, dopo aver effettuato le verifiche e non aver riscontrato anomalie in ordine all’autenticazione alla regolare contabilizzazione delle stesse, vi sarà un riaddebito delle somme sottratte. Tale comunicazione è da intendersi di fatto purtroppo, nell’ottica dell’istituto di credito, come riscontro di colpa grave del cliente che avrebbe in qualche modo concorso alla realizzazione della frode. Tale interpretazione accolta da parte di numerosi istituti di credito è da considerarsi non conforme alla recente riforma normativa in materia dei servizi di pagamento.
A tale proposito, appare doveroso ricordare la pronuncia leading case, supportata da numerose pronunce successive anche in sede di legittimità, si tratta della sentenza n. 16221 del 31 agosto 2016, nella quale il Tribunale capitolino ha sancito il primo risarcimento del danno da Sim Swap Fraud.
Questo in effetti è il primo caso giudiziario in Italia relativo a tale frode, le argomentazioni difensive si basavano sempre sulla normativa relativa ai servizi di pagamento nel mercato interno e soprattutto la normativa sulla protezione dei dati personali.
In particolare, come è noto, quest’ultima normativa impone da una parte a tutti i titolari del trattamento di adottare le migliori soluzioni disponibili sul mercato (soluzioni allo stato dell’arte ai sensi degli artt. 24, 25 e 32 del Reg. UE 2016/679) al fine di gestire in modo corretto i rischi inerenti al trattamento specifico dei dati personali relativo ai servizi di pagamento interessato (p.e. servizio di internet banking che si appoggia sul conto corrente).
Inoltre, in base al criterio della data protection by design l’istituto di credito è tenuto ad adottare misure di sicurezza informatiche, ma anche organizzative volte a prevenire e gestire i rischi inerenti al servizio. In tale contesto, deve anche rientrare il servizio antifrode e i call centre, unità organizzative che rappresentano un centro critico e punto di attacco soprattutto da parte dei malintenzionati.
Con riguardo alle organizzazione professionali, ma in particolare, a quelle medie e grandi, si sta diffondendo negli ultimi anni la truffa del Ceo (Chief Executive Officer), si tratta di una frode che può essere considerata una variante dello spear phishing, in questa frode il criminale informatico si presenta come un Amministratore delegato o comunque come una figura apicale dell’organizzazione (CEO), chiedendo da parte di un apparente Ceo, per esempio di effettuare un bonifico per un’operazione economica connessa apparentemente alle attività professionali o aziendali, l’iban tuttavia indirizza la transazione sul conto corrente nella disponibilità di terzi non autorizzati.
Questa frode sfrutta in particolare il periodo della pandemia dovuta al covid-19, ove l’aumento delle smart working facilita la realizzazione di tecniche di ingegneria sociale che ingannano l’amministrazione dell’organizzazione. Il pharming è invece un fenomeno informatico che prevede un dirottamento dell’utente, o meglio del traffico di rete dello stesso, da una url ad un altro sito fraudolento (o fake site), all’interno del quale l’utente ingannato inserisce i dati riservati, in modo che i terzi non autorizzati possa carpire informazioni riservate tramite l’inserimento dei dati.
Peraltro, vi sono altre azioni criminali ancora più insidiose, come il Man in the Middle (MITM), si tratta in questo caso di un attacco informatico nel quale un malintenzionato si inserisce nella comunicazione tra due soggetti, tale tipo di attacco può essere particolarmente insidioso ed efficace anche nel settore bancario, potendo essere effettuato per manipolare o carpire informazioni tra l’istituto di credito e l’utente nell’ambito delle comunicazioni che avvengono nel servizio di internet banking. Il Man in the Browser (MITB) è invece un attacco informatico che può essere visto come una variante del MITM e si verifica quando viene inoculato un malware tramite il browser consentendo al malintenzionato di carpire illecitamente informazioni riservate, anche questo attacco può essere realizzato nell’ambiente di un sistema di internet banking.
Con riguardo specifico al MITB, appare interessante esaminare la recente pronuncia di fine dicembre 2022 in sede di Arbitro Bancario Finanziario, Collegio di Bologna (ABF n.13280/22 del 14.12.2022).
La vicenda riguardava una frode subita da un’azienda alcuni anni fa, che aveva scoperto un ammanco del proprio conto corrente aziendale di oltre €40.000. Infatti alcuni malfattori si erano introdotti nel conto corrente aziendale e avevano effettuato un bonifico su conto estero. A seguito di un’indagine informatica interna, l’azienda aveva scoperto alcuni indizi rilevanti, nei sistemi interni, nonostante fossero state implementate importanti misure di sicurezza, era stato rilevato un malware molto insidioso. Da tale analisi approfondita, era stato indentificato lo specifico malware, il quale una volta aggirati i sistemi antivirus era riuscito ad insinuarsi all’interno del sistema informatico consentendo a terzi malintenzionati di compiere alcune operazioni. In primo luogo, il malware identificato era riuscito a presentare agli utenti dell’azienda un sito fittizio (c.d. fake site) all’istituto bancario. Si scopriva pertanto che l’attacco subito dall’azienda era un attacco denominato Man in the Browser. Infatti, abili malintenzionati erano riusciti a dirottare l’operatore aziendale sul sito fittizio mentre l’utente digitava la corretta url del sito dell’istituto bancario, sito fittizio che all’apparenza presentava le stesse caratteristiche di quello reale (layout, colori, interfaccia, loghi, ecc., ecc.).
Pertanto, l’utente aziendale una volta raggirato tramite tale sito sostanzialmente identico a quelle reale, aveva inserito tutte le credenziali necessarie per accedere nello stesso ed effettuare alcune operazioni usuali. Tuttavia, i malfattori in quel frangente riuscivano ad intercettare le credenziali nell’immediato. Riuscivano pertanto, presumibilmente nell’arco inferiore a 60s a trasferire l’intero importo di €40.000 su un conto estero. A questo punto, la truffa veniva realizzata, l’istituto bancario non si accorgeva di niente, nonostante si trattasse di un’operazione inusuale, fino a che la azienda non verificava dal proprio conto l’ammanco così ingente. La decisione del Collegio ABF riconosceva che la complessità della frode realizzata non poteva comportare una colpa grave in capo all’azienda, la quale aveva prodotto la prova di aver adottato sufficienti misure di sicurezza a protezione del sistema e dei dati personali degli interessati, mentre, anche tenuto conto delle carenze rilevate in riferimento al reparto antifrode, il complesso degli elementi forniti nel procedimento hanno condotto il Collegio ABF ad asserire che le responsabilità della frode erano da attribuire in via esclusiva all’istituto di credito, il quale doveva appunto provare almeno la colpa grave dell’azienda non sussistente nel caso di specie.
Articolo a cura di Fabio Di Resta
Esercita come avvocato principalmente nei fori di Roma, Milano e Latina. Ha maturato oltre 19 anni di esperienza nella consulenza legale sulla protezione dei dati personali rivolta a grandi operatori economici, nel settore dei trasporti e nel settore bancario, attualmente è specializzato nell’ambito del servizio di Responsabile della protezione dei dati (Data Protection Officer per Gruppi Ospedalieri, Enti pubblici e primarie società di servizi tecnologici internazionali. Specializzato anche nell’ambito dei modelli di gestione e controllo 231 operando come componente di Organismi di Vigilanza 231 e sul diritto delle nuove tecnologie. Assiste aziende e PA per casi giudiziari specialistici in ambito bancario per aspetti connessi alla protezione dei dati e normative sui servizi di pagamento, il diritto delle nuove tecnologie, al diritto industriale e intellettuale, al codice dell’amministrazione digitale. Ha pubblicato con prestigiose oltre una decina di libri con note case editrici: “Privacy, Data Protection e Cybersecurity”, “Cybersecurity, Digital Forensics, Data Protection”, “Protezione delle Informazioni. Privacy e sicurezza”, “Insidie telematiche, Frodi e sicurezza”, La tutela dei dati personali nella Società dell’Informazione, “La nuova Privacy Europea”, “Il Fascicolo Sanitario Elettronico”. Pubblica su riviste anche internazionali come la rivista londinese “Journal of Data Protection and Privacy” nel quale è anche componente dei Board editoriale. Già docente presso l'Università Sapienza di Roma e l'Università Roma Tre, attualmente è Professore a contratto nell’insegnamento di “Cybersercurity e protezione dei dati personali”, presso la Facoltà di Giurisprudenza dell’Università Niccolò Cusano, inoltre, insegna come docente a contratto presso l’Università di Tor Verga di Roma nel master II livello in Competenze digitali per la cybersecurity, privacy e data protection, in tale ambito è coordinatore scientifico anche di diversi master, tra i quali, il Mater di II Iivello in specialista sulla Cybersecurity, Digital Forensics e Data Protection e quello di specialista sul Responsabile della protezione dei dati presso l’Università degli Studi Niccolò Cusano. Infine, ricopre il ruolo di Presidente del Centro europeo per la Privacy-EPCE.