mercoledì, Novembre 27, 2024
Rivista Giuridica JUS

Phishing, vishing e smishing: le nuove frontiere delle frodi nei nuovi sistemi di pagamento. Profili civilistici.

Spread the love

di Claudio Di Cara

Premesse terminologiche e inquadramento normativo. Com’è evidente, almeno a partire dall’ultimo decennio, si sono esponenzialmente moltiplicati i “metodi di pagamento” alternativi. Dall’home banking, alle carte di credito contactless, o, da ultimo i pagamenti effettuati mediante dispositivi wearable (smart watch e similari).

Tale processo evolutivo, evidentemente, non poteva lasciare indifferenti coloro i quali tentano, con tecniche più o meno affinate, di mettere le mani in tasca nei nostri portafogli fisici, o digitali, che siano.

Sin dai primi anni 2000 si è assistito all’ormai noto fenomeno del phishing: esso, per lo più, effettuato a mezzo mail, induce il destinatario a cliccare su link “invoglianti” (i.e. fantasmagorici premi della lotteria non riscossi o offerte d’investimento dai tassi di interesse a triple cifre), estrapolando, così, attraverso un’inconsapevole collaborazione (più o meno attiva) dell’utente, i suoi dati sensibili o, peggio, estremi di conto corrente, codici di sicurezza, password o OTP.

Tale tecnica, per lo più riconoscibile da evidenti errori di ortografia nel testo o nell’oggetto di tali messaggi, o dall’indirizzo o dal dominio del destinatario, è andata, però, sempre più affinandosi. Infatti, non di rado, tentativi di phishing sono corredati dall’impostazione grafica del sito istituzionale di un istituto bancario o, comunque, di un interlocutore istituzionale, almeno apparentemente riconosciuto come affidabile.

Ebbene, negli ultimissimi anni il “perfezionamento” della tecnica del phishing è stata accompagnata dall’emergere di ulteriori fenomeni di gran lunga più subdoli, quello dello smishing e del vishing.

Con tali termini sono stati rispettivamente indicati i tentativi di truffa posti in essere mediante sms, o chiamate vocali, rivolte a correntisti o risparmiatori non professionali. Infatti, spesso e volentieri i truffatori riescono a spacciarsi per un intermediario finanziario (o prestatore di servizi di pagamento) – magari anche riuscendo a far identificare l’utenza telefonica mittente (cd. SMS “spoofed”) con quella di un istituto creditizio – al fine di indurre in errore il malcapitato e di ottenere da quest’ultimo password o informazioni sensibili utili ad appropriarsi del controllo del suo conto corrente e di operare velocemente (se non contestualmente) disposizioni in proprio favore.

E però, fatti salvi i profili penalistici, a favore dei consumatori interviene la disposizione di cui all’art. 10 D. lgs. 11/2010.

Infatti, la norma in commento prevede che «qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti». Prosegue, poi, il comma secondo della prefata disposizione «quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento […] non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. È onere del prestatore di servizi di pagamento […], fornire la prova della frode, del dolo o della colpa grave dell'utente».

Invero, ancor meglio si comprende la prefata disposizione alla luce del combinato disposto dell’art. 1218 c.c. e degli art. 10 ss. del medesimo Decreto, il quale configura sostanzialmente un obbligo di rimborso (per lo meno provvisorio ai sensi dell’art. 11) del prestatore dei servizi di pagamento in favore dell’utilizzatore frodato.

In particolare, verrebbe sanzionato l’inadempimento del prestatore di servizi, il quale ha omesso di predisporre adeguati sistemi di sicurezza ed informativi, tali da impedire l’incolpevole induzione in errore dell’utilizzatore e/o l’intrusione di terzi nei sistemi telematici dell’intermediario finanziario.

In applicazione di tali argomentazioni, per l’utilizzatore di servizi di pagamento, vittima di una frode, attraverso la quale gli è stato sottratto denaro dal proprio conto corrente o, comunque, dal proprio portafoglio elettronico, sarà sufficiente provare l’esistenza di un rapporto contrattuale con l’intermediario e rilevare l’inadempimento del prestatore di servizi nella predisposizione di adeguati ed efficaci sistemi di sicurezza.

L’intermediario, d’altro canto, potrà fornire prova liberatoria del dolo o della colpa grave dell’utilizzatore per negligente custodia delle credenziali di accesso, che, anche inconsapevolmente, ma con colpa grave, abbia agevolato l’intrusione di terzi nel proprio “portafoglio”, ad esempio fornendo password o OTP, o smarrendo il proprio “token”.

Ad ulteriore chiarimento dell’onere probatorio si segnala il comma 1-bis del citato art. 10[1].

Tali principi risultano avvalorati sia dalla giurisprudenza di legittimità che dalle decisioni dell’Arbitro Bancario Finanziario, organo arbitrale istituito dalla Banca d’Italia, competente per la risoluzione stragiudiziale di controversie in materia di operazioni e servizi bancari e finanziari[2].

Tra le altre, degna di esser menzionata è certamente la decisione n. 22745 del 10 ottobre 2019 del Collegio di Coordinamento (identificabile come le Sezioni Unite dell’ABF). In quella sede, gli arbitri, richiamando il comma II del citato art. 10, hanno enunciato il seguente principio: «in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare “l’autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente».

Infatti, andrà concretamente accertato, anche presuntivamente, attraverso log informatici (generalmente prodotti dal prestatore di servizi) se l’utilizzatore abbia, seppur inconsapevolmente, collaborato colpevolmente all’appropriazione dei propri dati di accesso o di autorizzazione di disposizioni sul proprio conto/wallet e non la validità meramente formale dell’operazione contestata.

Onere probatorio. Come già anticipato, in caso di frode, l’utilizzatore potrà ben limitarsi a provare il rapporto presupposto tra lo stesso e l’intermediario finanziario (o prestatore di servizi di pagamento), allegando la condotta fraudolenta subita e i deficit di sicurezza (ma anche informativi) ai metodi di pagamento dell’istituto finanziario.

D’altra parte, anche in ossequio al principio di vicinanza della prova, oltre a dover fornire prova del corretto funzionamento dei propri sistemi, della corretta autenticazione e contabilizzazione, per essere esonerato dal risarcimento del danno all’utilizzatore, il prestatore di servizi di pagamento dovrà provare, anche per presunzioni, il dolo o la colpa grave dell’utente nell’utilizzo degli strumenti di pagamento.

Ad esempio, tramite i log informatici potrà rilevare l’invio di alert ai dispositivi personali circa il rischio dell’operazione successivamente disconosciuta, o che essa sia stata concretamente autorizzata da dispositivi effettivamente nella disponibilità dell’utente, o che quest’ultimo abbia colpevolmente favorito l’intrusione di terzi, mediante l’invio ai truffatori di OTP o password.

Condotte preventive. Appare doveroso enumerare, a titolo meramente esemplificativo, alcune accortezze utili per evitare spiacevoli inconvenienti nell’utilizzo di strumenti di pagamento telematici e/o servizi di home banking, così come ritenute rilevanti dalla previamente citata giurisprudenza dell’ABF e della Cassazione, al fine da esentare il correntista o, comunque, l’utente frodato da ogni responsabilità.

  • Effettuare operazioni di home banking o disposizioni di pagamento esclusivamente da connessioni private.
  • Verificare che i siti sui quali si opera siano muniti del protocollo “https” (lucchetto sulla barra degli indirizzi del browser).
  • Non rispondere a e-mail o sms che minaccino il blocco del conto o della carta o del proprio dispositivo, se non si interverrà entro un determinato lasso di tempo. Ignorare, o segnalare come spam comunicazioni presuntivamente inviate dal proprio intermediario finanziario con errori ortografici o grafica difforme da quella consueta. In caso di dubbi, contattare tramite i recapiti istituzionali (ricercandoli autonomamente) il proprio fornitore di servizi di pagamento.
  • Non fornire per alcuna ragione password o OTP a presunti operatori dell’istituto finanziario, i quali non sono in nessun caso autorizzati a richiederli.
  • In caso di anomala ricezione di un OTP, accertarsi che negli istanti precedenti sia stata richiesta una modifica al proprio profilo personale, o una disposizione di pagamento. Al minimo sospetto non inserire il detto codice (o la password), considerato che sarà sempre possibile, quand’anche ne scadesse la validità, ripetere la transazione ex novo. In caso di dubbi, contattare tramite i recapiti istituzionali il proprio fornitore di servizi di pagamento.

Rimedi. È opportuno, a questo punto, sintetizzare gli strumenti idonei ad ottenere il risarcimento dell’operazione non autorizzata, nel malaugurato caso di frode andata “a buon fine”.

  1. Immediato disconoscimento dell’operazione al proprio intermediario finanziario e successiva denuncia presso le FF. OO.
  2. Richiesta di rimborso al prestatore di servizi di pagamento dell’operazione contestata, ai sensi dell’art. 11 del citato D. lgs. 11/2010.
  3. In caso di rigetto, o successiva sospensione del rimborso, o richiesta di restituzione del rimborso preventivamente concesso dall’intermediario, previo invio di un reclamo, proposizione di ricorso dinnanzi all’ABF.
  4. In caso di mancato accoglimento della domanda, sarà, comunque, possibile riproporre la questione dinnanzi al giudice ordinario.

Riferimenti Giurisprudenziali. ABF, Coll. Coord., 10 ottobre 2019, n. 22745; Cass. Civ., I sez., 3 febbraio 2017, n. 2950; ABF, Coll. Torino, 25 marzo 2020, n. 5647; ABF, Coll. Bologna, 24 marzo 2020, n. 5450.


[1] Art. 10, c. 1-bis, D. lgs. 11/2010: «Se l'operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l'onere di provare che, nell'ambito delle proprie competenze, l'operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato».

[2] Restano escluse le controversie di valore superiore a € 100.000,00.

Claudio Di Cara

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *