L’utilizzo massivo delle nuove tecnologie nei servizi di pagamento – fenomeno promosso dagli stessi istituti di credito che beneficiano di una ovvia e sensibile riduzione dei costi dall’impiego di tali sistemi – ha favorito l’aumento esponenziale del fishing, ossia delle “truffe informatiche” e/o dei tentativi di intromissioni indebite nei sistemi dei prestatori dei servizi di pagamento. Ne parliamo con l’avvocato Marco Galdieri di Casa dei Diritti Sociali, analizzando anche il ruolo dell’Arbitro Bancario Finanziario (ABF), un organismo attraverso il quale è possibile ottenere giustizia.
Alessandro Scassellati (AS): Salve a tutti siamo ad un nuovo appuntamento con l’avvocato Marco Galdieri di Casa dei Diritti Sociali e oggi affrontiamo un tema che viene chiamato comunemente fishing (o phishing) che in inglese vuol dire sostanzialmente “svolgere un’attività di pesca” e che riguarda nella realtà del mondo digitale, in cui noi ormai tutti noi viviamo, si caratterizza per i tentativi di truffe bancarie e di furti di identità attraverso mail, messaggi elettronici e telefonici.
Marco Galdieri (MC): Hai introdotto bene l’argomento, perché effettivamente il nome in questo caso rende bene l’idea di quello che si propone col fishing, che è una sorta di adescamento che solitamente avviene via mail o via sms. Purtroppo negli ultimi anni ci sono stati casi abbastanza numerosi in Italia al punto da iniziare a tracciare una linea giurisprudenziale e, in qualche modo, anche responsabilizzare tutti gli intermediari finanziari che si occupano o possono essere coinvolti all’interno di una simile truffa. Questo perché il fishing può riguardare una persona, ma può avere effetti anche sull’intermediario.
Che cosa intendiamo quando abbiamo il fishing? Sinteticamente, a molti sarà capitato di ricevere degli sms o delle mail abbastanza strane e particolari In alcuni casi compaiono istituti finanziari e banche a cui non abbiamo neanche mai avuto accesso. Dove non abbiamo aperto dei conti correnti. Mail e sms che rimandano a dei link sottostanti, chiedendo di essere ricontattati tramite questo link o di inviare informazioni, dati sensibili e quant’altro.
Alcune sono truffe grossolane, altre sono architettate in maniera molto, molto efficace e convincente, tant’è che il fishing non è la classica truffa dove vengono coinvolte soltanto le persone anziane che magari sono meno avvezze a questo tipo di situazioni. Anzi, spesso le persone anziane non si occupano neanche direttamente o non hanno un home banking. E spesso chiedono ad un figlio o un nipote di occuparsene. Il fishing colpisce persone normalissime con un livello medio e anche alto di conoscenza del mondo digitale che però vengono prese all’improvviso da questo tipo di situazioni.
Ad esempio, si riceve un sms che è consequenziale ad altri già precedentemente ricevuti dalla banca di riferimento dove effettivamente è aperto un conto corrente bancario, in cui si chiede di linkare per avere informazioni urgenti o messaggi simili. L’utente che cosa fa? Verifica in questo caso che il mittente lo stesso da cui ha ricevuto in altre occasioni dei messaggi reali e verifica che c’è consequenzialità. Sappiamo che ormai nella schermata di sms, questi sono tutti quanti messi in colonna uno dopo l’altro se appartengono alla stessa radice, allo stesso tronco in cui c’erano i precedenti messaggi e magari si linka su quel messaggio.
Ci sono poi truffe ancora più costruite che rimandano ad un altro sito. Ci sono casi in cui vengono ricevute chiamate in cui vengono richiesti alcuni dati. Non dateli mai! Piuttosto andate direttamente nella filiale di riferimento. Piuttosto rivolgetevi direttamente alla vostra banca e non date, per quanto il messaggio comunichi una massima urgenza, i vostri dati personali. Più viene raffigurato qualcosa di urgente e meno la richiesta, il messaggio è credibile
Il consiglio è di non dare mai i propri dati, di non cliccare nessun link e di non dare mai seguito a nessuna chiamata, anche se la si riceve, perché può essere là che vengono richiesti dei dati sensibili.
In tutti gli altri casi è possibile che l’istituto bancario chiami per dire di fare un passaggio presso la filiale e in questi casi non c’è un rischio. Ma, laddove tramite sms o mail o chiamate, che spesso sono consequenziali uno all’altro, vengono richiesti dei dati che possono essere il PIN di ingresso piuttosto che altre password, a seconda dei sistemi di sicurezza che hanno i diversi istituti di credito, non bisogna dare seguito. Laddove si chiedono questi tipi di dati di autenticazione non dateli mai.
Spesso si fa leva sulla minaccia di un precedente accesso abusivo. Ossia, molti di questi messaggi chiedono di cliccare sul link con urgenza perché si dice che qualcuno ha rubato già le credenziali ed è entrato nel proprio profilo, per cui è necessario cambiarle con urgenza. In questi casi quindi si innesca una sorta di paura nella persona che riceve il messaggio che già pensa che sia stata perpetrata la truffa nei suoi confronti. Per cui reagisce di conseguenza, dando affidabilità a quel messaggio o a quella mail. Se poi questo è conseguenziale alle precedenti e quindi ha già una sua credibilità in radice, si forniscono quei dati che sono proprio quelli invece che permettono di effettuare la truffa nei confronti dell’utente.
Questa più o meno è la dinamica che può assumere sfaccettature diverse. Più si va avanti e più si alza l’asticella, perché è normale che più vengono scoperte le truffe, più queste devono essere più elaborate al fine di arrivare al conseguimento del risultato.
Ci si domanda su chi cada la responsabilità di queste truffe. Ci sono diverse pronunce della ABF, ossia dell’Arbitro Bancario Finanziario, che è un organismo alternativo alla giustizia ordinaria, tramite cui spesso vengono risolte le controversie con gli intermediari finanziari, le banche, le Poste, eccetera, da parte degli utenti. La scelta dipende dalla persona che vuole adire in maniera alternativa rispetto al giudizio ordinario. L’ABF è un organo che preserva dalle spese di lite, perché è uno strumento molto economico che richiede solo un contributo di qualche decina di euro per potervi accedere. Quindi, non comporta le stesse spese che avrebbe un giudizio ordinario e può essere adito anche personalmente. Questo sicuramente alletta notevolmente.
Di contro dobbiamo dire che le decisioni dell’Arbitro Bancario Finanziario non sono esecutive, ossia non hanno la certezza di essere rese esecutive immediatamente, ma sono soltanto dei pareri non vincolanti. Ogni decisione può benissimo non essere rispettata dall’istituto di credito che sia stato condannato, senza che vi siano conseguenze se non quelle di essere inserito in una sorta di black-list. Ma, questo non ha una conseguenza materiale. Laddove l’istituto non adempia spontaneamente bisognerà comunque ripartire di fronte a un tribunale o comunque sia un giudice ordinario per ottenere un provvedimento, magari anche facendosi forza della decisione dell’ABF.
Devo dire che a me non è mai capitato che l’istituto di credito condannato dall’ABF non abbia poi adempiuto volontariamente. Ma, so che questo è capitato anche perché nella black-list ci sono inseriti numerosi istituti bancari. Evidentemente sono stato fortunato oppure magari se si tratta di casi molto particolari spesso le banche fanno resistenza alla decisione dell’ABF perché ritengono di aver ragione
Cosa è stato deciso in numerose decisioni dell’ABF e anche nella giurisprudenza? Direi che più o meno su questa questione del fishing è stato creato una sorta di spartiacque di responsabilità, nel senso che da una parte deve esserci un tempestivo disconoscimento dell’operazione, che di solito appare come un bonifico, del truffatore. Quindi, io mi rendo conto che sono uscite dal mio conto delle somme senza che io abbia mai fatto alcuna disposizione. Contatto immediatamente l’istituto bancario e disconosco l’operazione in maniera tempestiva. Spesso ormai ci sono una serie di avvisi che vengono inviati dall’istituto di credito quando vengono fatte delle operazioni in uscita. Ormai ci arriva un sms o tramite applicazione una comunicazione. Se non arriva nulla, già quello è un elemento di responsabilità della banca. Poi, soprattutto una volta che l’operazione è stata disconosciuta in maniera tempestiva, bisogna verificare se vi è stata negligenza da parte dell’utente. Quindi se, ad esempio, non è una truffa molto grossolana in cui io sono caduto e quindi se ricadiamo nel caso in cui ci arriva un messaggio da parte dell’istituto bancario che già ci aveva scritto da quello stesso numero in un’altra occasione. In quel caso già potrei dire che io sono stato diligente perché era verosimile. Se mi dovesse arrivare da un sito bulgaro una comunicazione scritta in italiano scadente e con delle richieste abbastanza inverosimili, invece potrebbe essere anche una mia responsabilità di non essere stato abbastanza attento a non essere truffato.
Il mio spartiacque, come utente, è quello della diligenza, quindi avere dato seguito a messaggi o avvisi che possono essere quantomeno verosimili. Dall’altra parte, l’istituto di credito deve essere stato altrettanto diligente nel predisporre i sistemi di sicurezza e di autenticazione tale che possano escludere una propria responsabilità. Ora è chiaro che già se mi arriva un messaggio sequenziale rispetto ad altri, forse il problema non è mio, ma è di chi ha predisposto un sistema di sicurezza probabilmente vulnerabile, perché altrimenti un truffatore non si sarebbe mai riuscito ad inserire.
C’è da dire che ormai è considerata una scarsa efficienza sulla sicurezza la mancanza di una password dinamica. Nella nostra home banking, quasi tutti abbiamo, a parte un username e una password, anche una strumentazione che ogni volta cambia i codici di accesso, dandoci un terzo elemento variabile di volta in volta. Già la mancanza di quella password variabile può essere considerato un ulteriore e segno di debolezza sull’autenticazione.
Questi sono due fra i casi più e importanti. In generale, comunque sia bisogna dimostrare, per chi vuole recuperare i soldi, che il proprio istituto bancario non abbia predisposto tutto ciò che era nelle proprie facoltà per poter in qualche modo in impedire l’accesso a terzi. Quindi, se sbagliando ho fornito tutte le informazioni a un sito palesemente falso o a un messaggio palesemente non coerente con quella che è la narrazione di comunicazione con il mio istituto, la responsabilità potrebbe essere addebitata in parte o in tutto anche a me. Se invece era verosimile tutta la messaggistica con la mia banca e ci sia stata una truffa, evidentemente è molto probabile che la responsabilità ricada invece sulla banca, la quale non è stata attenta nelle operazioni di autenticazione, ossia quando mi autentico all’interno della mia home banking per poter compiere operazioni di registrazione di contabilizzazione dell’operazione in uscita. Potrebbero essere stati superati dei massimali senza che io ne sia stato avvisato.
Insomma, ci sono una serie di asticelle che devono essere in qualche modo superate ogni volta dagli istituti di credito. Le decisioni dell’ABF tentano di ripartire le responsabilità fra utente e banca. Ma, tutto andrebbe visto caso per caso. Spesso e volentieri si arriva a un risarcimento che non è del 100%, perché magari si riconosce che c’è stato un concorso di colpa dell’una e dell’altra parte. In altri casi devo dire invece che l’ABF è stato un po’ più largo di maniche e quindi ha risarcito in pieno l’utente, soprattutto se non era provvisto di password dinamica o se l’istituto di credito non invia un sms di allerta che avrebbe potuto, magari su più operazioni, almeno impedire le successive. Se la truffa avviene in un’unica operazione il discorso viene meno, ma se ci sono 4-5 operazioni, una di seguito all’altra, e io non ricevo nessun cosiddetto sms di alert o comunque nessuna comunicazione di operazioni in uscita, è probabile che io abbia avuto un danno almeno dalla seconda in poi se fossi stato correttamente avvisato dopo la prima. Avrei almeno potuto bloccare quelle successive.
Questi sono alcuni dei criteri di ripartizione e responsabilità secondo il criterio della diligenza ordinaria che deve competere da una parte a un consumatore/utente e dall’altra parte ad un un istituto di credito bancario che si ritiene custode dei beni e, quindi, responsabile in quanto custode di predisporre i mezzi necessari per garantire la custodia, la tutela dei beni.
La tecnologia è in continua evoluzione quindi più vengono predisposti nuovi sistemi di sicurezza, più divengono raffinate le truffe, più gli istituti di credito vengono ad essere chiamati ad aumentare la qualità della propria difesa.
AS: Grazie Marco. Hai trattato molte dimensioni di questo fenomeno del fishing che con la digitalizzazione crescente delle nostre vite ci espone a tutti a delle truffe o a dei tentativi di truffa Tutti riceviamo più o meno dei messaggi, soprattutto delle mail, in questo senso, per cui dobbiamo certamente stare molto molto attenti. Grazie.