I nuovi “rischi digitali”
Nel corso dell’ultimo decennio si è assistito ad una decisa accelerazione del processo di informatizzazione e digitalizzazione, che ha di fatto coinvolto ogni aspetto della vita quotidiana, sia dei singoli che delle imprese: queste ultime, in particolare, ne hanno beneficiato sia in termini di automatizzazione dei procedimenti interni, sia in termini di velocizzazione e facilitazione dei pagamenti.
Oggi, invero, con qualunque dispositivo mobile è possibile eseguire operazioni bancarie in tutto il mondo con estrema rapidità. Forse, nei termini di cui si dirà, anche troppa.
Non è infatti un mistero che l’esecuzione di un pagamento tramite home banking sia una modalità operativa che semplifica le pratiche commerciali ma, allo stesso tempo, che allontana l’imprenditore-disponente dalle sedi degli istituti che, pertanto, si trovano a dover eseguire le transazioni ordinate a distanza, senza un coinvolgimento diretto del proprio personale e, quindi, nell’impossibilità di fatto di garantire elevati standard di sicurezza.
Proprio sotto quest’ultimo aspetto, la digitalizzazione delle transazioni sta sollevando non poche questioni legate ai rischi delle operazioni online e agli standard di sicurezza che il disponente e gli intermediari bancari dovrebbero adottare per prevenire i sempre più frequenti attacchi hacker.
Proprio per il flusso costante di pagamenti che quotidianamente vengono eseguiti nel contesto dell’attività svolta, gli imprenditori sono di gran lunga i soggetti più esposti al rischio di subire questo genere di attacchi.
Del resto, l’introduzione del tema in narrazione non può che partire da quella che potremmo definire la tecnica maggiormente utilizzata nella prassi: quella del c.d. phishing.
Con il termine phishing si tende a riassumere una pluralità di casistiche. Il phisherman (o phisher) è infatti il soggetto specializzato nella sottrazione di codici di utilizzo di strumenti di pagamento (carte di credito, bancomat e, per quanto qui maggiormente rileva, credenziali di accesso all’internet banking), per la quale vengono utilizzate modalità differenti: fra queste, è frequente il ricorso a messaggi di posta elettronica ingannevoli, apparentemente inviati da istituti di credito, con i quali si induce il cliente alla digitazione dei codici personali, adducendo svariati motivi, quali esigenze di controlli di sicurezza (caso al quale parrebbe riconducibile la vicenda in esame).
Si registra peraltro anche l’ipotesi, più sofisticata, mediante la quale, durante la navigazione web, verrebbe introdotto occultamente sulla postazione informatica del correntista un malware o programma-spia, per carpirne le password digitate sulla tastiera, a cui si sono aggiunte nel tempo tecniche più sofisticate e insidiose come quelle così nominate del “man in the browser”, del “man in the middle” e del “man in the mail”.
La fattispecie del “man in the middle”
Il “man in the middle” è un tipo di attacco nel quale il soggetto che tenta di violare la sicurezza del sistema è in grado di leggere, inserire o modificare a piacere i messaggi scambiati tra le due parti comunicanti senza che nessuna delle due sia in grado di sapere se il collegamento che le unisce sia stato effettivamente compromesso. L’hacker è così in grado di osservare, intercettare e replicare verso la destinazione prestabilita il transito dei messaggi tra le due parti comunicanti (così, Garante della Privacy, Provvedimento n. 513/2014).
La tecnica in parola è considerata una fattispecie di truffa informatica relativamente nuova e maggiormente sofisticata del phishing, poiché idonea a trarre in inganno anche un utilizzatore accorto circa l’identità del soggetto che richiede pagamenti e informazioni.
Nella prassi, un esempio tipico della fattispecie è quello dell’hacker che, inserendosi nel browser del correntista, richieda un nuovo inserimento delle coordinate bancarie del destinatario del bonifico, per poi dirottare l’operazione verso un conto diverso da quello del destinatario indicato dal disponente.
Con riferimento a tali fattispecie, la ripartizione delle responsabilità appare assai complesso in quanto la vittima, essendo un imprenditore, sarebbe tenuto, al pari dell’istituto di credito, a rispettare standard di diligenza professionali più elevati.
In punto di onere probatorio, secondo parte della giurisprudenza di merito, spetterebbe all’istituto di credito:
“provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti, è onere del prestatore di servizi di pagamento fornire la prova della frode, del dolo o della colpa grave dell’utente” (Tribunale Torino, sez. I, Ordinanza, 29.4.2022, n. 1816, massima Quotidiano Giuridico, 2022 in OneLegale).
Secondo la prospettiva offerta dall’ABF, del resto, il correntista che intende far rilevare la responsabilità dell’istituto avrebbe comunque l’onere di dimostrare l’esecuzione di un’operazione diversa da quella disposta (in questo senso, ABF, Collegio di Torino, Decisione n. 4511 del 15 aprile 2024).
La fattispecie del “man in the mail”
Con il termine “man in the mail” si fa riferimento ad una truffa informatica riconducibile a una sottocategoria del “man in the middle”, che consiste nella condotta dell’hacker che si frappone tra due interlocutori, spacciandosi per uno di questi e così intrattenendo rapporti fraudolenti a mezzo email con l’ignaro interlocutore, finalizzati alla consumazione di un illecito.
Spesso e volentieri questo genere di attacchi colpisce proprio le imprese ed è preceduto da un’attività di captazione di informazioni sensibili dell’impresa “vittima”, al fine di massimizzare il dirottamento e passare inosservati. Si pensi ad esempio alla segretaria che riceve la comunicazione (falsa) da parte dell’amministratore della società per cui lavora che le indicati gli estremi di un conto corrente per effettuare un pagamento oppure la comunicazione del creditore che chiede di effettuare il pagamento a nuovo e diverso conto corrente.
Il “man in the mail” è oggi una delle tecniche più utilizzate per sostituirsi fraudolentemente nei rapporti commerciali tra imprese, al fine di dirottarne i pagamenti su conti correnti appositamente creati e spesso allocati all’estero.
Un caso che spesso si registra è quello dell’hacker che si inserisce nella corrispondenza relativa ai rapporti commerciali tra due imprese e, “spacciandosi” per l’impresa creditrice, invia una comunicazione all’altra, chiedendo di eseguire il pagamento di una certa fattura in scadenza a delle nuove coordinate bancarie. Eseguito il pagamento come da nuove indicazioni si scopre che la comunicazione non era mai stata spedita dall’apparente mittente e che il destinatario, quindi, avrebbe pagato l’importo della fattura ad un terzo sconosciuto, l’hacker chiaramente.
Gli interventi dell’Arbitro Bancario Finanziario hanno sicuramente agevolato la definizione del perimetro della responsabilità dell’istituto bancario, in considerazione soprattutto del sistema informatico colpito dal cyber attacco.
Nelle sue più recenti pronunce, l’ABF è giunto ad escludere la responsabilità dell’intermediario in quelle ipotesi in cui l’operazione era stata correttamente eseguita e l’azione dell’hacker aveva avuto origine nei server del disponente, sicchè il sistema informatico della banca non era stato in alcun modo compromesso. Precisamente, con riferimento all’istituto di credito:
“l’operazione non sembra qualificabile come “non autorizzata” ai sensi e per gli effetti degli articoli 10 e ss. del d.lgs. 11/2010, in quanto “l’operazione descritta è senz’altro riconducibile alla ricorrente, e non a terzi, perché è la ricorrente ad averne impartito l’ordine, seppure mossa a farlo in ragione di una truffa. Ne consegue l’inapplicabilità alla fattispecie degli artt. 10 e ss. del d.lgs 11/2010” (Collegio di Roma, decisione n. 697 del 11/01/2022).” (ABF, Collegio di Palermo, Decisione n. 4193 del 02.05.2023 e, nello stesso senso anche la precedente pronuncia del medesimo Collegio n. 15493 del 05.12.2022).
Del resto, le recenti pronunce dell’Arbitro Bancario in tema di “man in the mail” non fanno altro che recepire quanto in precedenza affermato dal Collegio di Coordinamento, secondo cui:
“il prestatore di servizi di pagamento di destinazione del bonifico non è tenuto a verificare la corrispondenza fra il nominativo del beneficiario ed il titolare del conto di accredito identificato tramite l’IBAN. Se l’identificativo unico fornito dall’utilizzatore è inesatto, i prestatori di servizi di pagamento coinvolti nella realizzazione del bonifico non sono responsabili, ai sensi dell’articolo 25, della mancata o inesatta esecuzione dell’operazione di pagamento.” (ABF, Collegio di Coordinamento, Decisione n. 162 del 12.01.2017).
Nell’esecuzione di un bonifico bancario, quindi, il prestatore di servizi di pagamento dell’ordinante ed il prestatore di servizi di pagamento del beneficiario sarebbero autorizzati a realizzare l’operazione in conformità esclusivamente all’identificativo unico.
Conclusioni
Quanto esposto induce inevitabilmente ad alcune brevi riflessioni.
In primo luogo, è necessario considerare che, almeno allo stato attuale, non sussistono ancora standard di protezione dei sistemi di pagamento telematici tali da essere completamente inviolabili da parte di terzi abusivi utilizzatori, le cui tecniche decettive risultano invece sempre più avanzate e suggestive.
Si tratterà, peraltro, di vedere nel tempo che tipo di contributo possano dare, al riguardo, gli strumenti di contrasto allocati nelle procedure di controllo automatizzato degli intermediari, specie attraverso l’intelligenza artificiale.
Al momento resistono, peraltro, alcuni orientamenti interpretativi (soprattutto presso l’Arbitro Bancario) che sostengono l’opportunità di appostare comunque la responsabilità civile in capo al prestatore dei servizi di pagamento, quantomeno a fini di socializzazione del rischio.
Ciò nonostante, le linee interpretative del sistema sembrano ora tendere ad una rinnovata ripartizione delle responsabilità:
la giurisprudenza sembra escludendo profili di colpa in capo all’intermediario bancario ogni qualvolta si sia limitato ad eseguire l’operazione impartita dal cliente, escludendo che lo stesso sia tenuto ad un generale obbligo di verifica del soggetto destinatario della disposizione.
Quanto anzi detto conduce a concludere che oggi il mondo dell’impresa è soggetto vulnerabile ai cyber-attacchi e che il “rischio digitale” è sempre dietro l’angolo, insito in una e-mail a cui non si doveva rispondere, in un bonifico che non si doveva eseguire piuttosto che in un link a cui non si doveva accedere.
Ciò nonostante, l’imprenditore vittima di queste “truffe” non sempre (e non così facilmente) riesce a trovare ristoro per il danno sofferto.
Ogni operazione deve essere da lui eseguita secondo elevati standard di diligenza e soprattutto di prudenza, che l’imprenditore è quindi chiamato a dimostrare quando subisce attacchi hacker. Invero, l’indirizzo più attuale tende a ripartire la responsabilità per l’accaduto in base a quale sistema informatico è stato colpito e, quindi, in base a chi aveva l’obbligo di dotarsi di più opportuni sistemi di protezione dei software e non lo ha fatto. Così, potrebbe rilevarsi una responsabilità dell’intermediario bancario se viene dimostrato che c’è stato un c.d. “breach” all’interno dei suoi sistemi; la responsabilità potrebbe invece ricadere sullo stesso imprenditore-vittima ove l’attacco abbia preso di mira il suo sistema informatico e la banca, del resto, si sia limitata ad eseguire un pagamento correttamente ordinato.
L’imprenditore vittima di questi attacchi può subire gravi ripercussioni anche nei rapporti commerciali: si pensi al caso sopra riportato, in cui il pagamento di una somma effettivamente dovuta era stato effettuato in favore di un terzo e non dell’effettivo creditore. Non è di certo utopistico pensare che ciò possa condurre a contenziosi legati al mancato corretto pagamento delle fatture emesse.
Visto il quadro generale, è quanto più necessario oggi giorno che ogni imprenditore si doti di opportuni sistemi di protezione antivirus, utilizzi la massima cortezza nei pagamenti online e, ove possibile, stipuli un contratto di assicurazione che lo mantenga indenne rispetto alle conseguenze di attacchi informatici.