Truffe informatiche: sottrazione di codici, operazioni fraudolente e anomale. Indicazioni su come procedere per ottenere la restituzione.

Truffe informatiche: sottrazione di codici, operazioni fraudolente e anomale. Indicazioni su come procedere per ottenere la restituzione.

Le truffe on line sono un pericolo reale.

In particolare quando prendono di mira il conto corrente o le carte di credito.

Il primo suggerimento è sempre quello di essere prudenti. Meglio scoprirsi più diffidenti che meno. La corretta tenuta in sicurezza delle proprie credenziali non solo può risparmiare delle spiacevoli “sorprese” ma è anche utilissima per ottenere l’eventuale ristoro del maltolto da parte della propria Banca.

Una delle prassi più seguite dai c.d. “svuota conti” per riuscire a mettere le mani sulle preziose informazioni di accesso ai conti correnti o alle carte di credito parte con una classica tecnica di phishing. Il destinatario cioè riceve una email che riproduce in modo capzioso loghi e contenuti in modo tale da apparire (in alcuni casi in modo decisamente credibile) come proveniente da fonti ufficiali della Banca.

Dopo alcune informazioni “civetta” che servono per attribuire personalità e credibilità ai contenuti della missiva citando e usando un gergo che “sembra” quello tipico della ufficialità delle Banche, si precisa che non sarebbero stati modificati alcuni aspetti della privacy e/o delle impostazioni attraverso (in particolare) l’home banking cioè la piattaforma telematica dove i Clienti possono usualmente accedere per effettuare bonifici o anche solo per controllare le proprie risorse.

La email infedele procede quindi aggiungendo che per questo motivo, se le impostazioni in questione non venissero adeguate cliccando al link che compare ci sarebbe il blocco dell’operatività come pure delle carte.

E’ tutto completamente falso.

Lo scopo della email è quello di spingere il risparmiatore a cliccare sul link: cosa da non fare.

Per quanto vi siano degli elementi noti in questo genere di truffe, rammento che:

1) E’ un ipotesi di phishing (comincia cioè in questo modo).

2) Può evolvere in smishing per realizzare in un secondo momento uno swap alias di sim (genericamente preceduto da chiamate “test” senza risposta).

3) In alcuni casi non realizza la truffa direttamente tramite phishing ma procede con il vishing chiamando l’utente da un numero verde apparentemente riconducibile alla Banca.

In tutti questi casi il cliente più accorto cioè quello che non clicca sul link viene anche contattato telefonicamente. Non solo ma in non poche circostanze viene millantato dall’operatore (che non è della Banca o di qualsivoglia altra società che lavori per la Banca) che la sua posizione è a rischio proprio di truffa. Magari ad opera di fantomatici o famigerati “hackers“.

In questi casi quindi il Cliente viene in qualche modo persuaso del fatto che: 1) la comunicazione via email e buona; 2) la sua posizione è già oggetto di attenzioni e premure da parte della Banca.

Quindi, siccome si è già al telefono l’operatore afferma di poter risolvere la cosa (senza cliccare il link della email); segue quasi certamente una verifica dei dati in cui al Cliente vengono chieste le credenziali di accesso pure nell’ottica di poter modificare il supporto del numero di telefono cellulare (i più abili e organizzati) per poter distrarre le doppie autenticazioni cioè quelle che devono indirizzare anche il classico sms o in alternativa se lo fanno dettare al telefono con frasi del tipo: “dovrebbe aver ricevuto un sms..”.

Una volta entrati nella home banking scatta l’appropriazione indebita di somme.

Ovviamente in caso di dubbi è sempre consigliato di contattare la Vostra Banca. Tutti gli istituti di credito mettono a disposizione appositi servizi in grado di fornire immediata risposta e assistenza.

Evitate qualunque iterazione con queste email e se contattati telefonicamente non si fornisca nessun dato personale e non si assecondi il sedicente operatore anche nell’ipotesi in cui vi citi alcune informazioni come il codice fiscale dando l’impressione che sia un operatore ufficiale e pure qualora utilizzi alcune parole di sicurezza o codici preimpostati che alcuni Istituti di credito in effetti usano e generano in automatico per esempio per le carte di credito ma che riguardando lo stato di Famiglia, informazioni che a ben vedere possono essere acquisibili da terzi quindi non sono veramente riservate.

Che cosa fare però, se la truffa si è consumata?

Fermo restando che è una truffa molto comune e viene eseguita con metodologie diverse quindi non è del tutto semplice trovare un “format” tipico, di solito il cliente della Banca scopre uno o più prelievi/trasferimenti di fondi non autorizzati e come tali indebiti dalla carta di credito/prepagata o dal c/c on line. l cliente tenta di accedere al proprio home banking tuttavia non riesce utilizzando le sue credenziali.

La prima questione riguarda la procedura per contestare i fatti.

Il Cliente si rivolgerà all’Istituto di credito per segnalare l’accaduto e ottenere indicazioni su come poter procedere; orbene alla luce di alcuni precedenti è opportuno valutare se prestare totale attenzione ai suggerimenti che vengono rilasciati dalla propria Banca (specialmente attraverso il personale dipendente) laddove potrebbero rivelarsi in un secondo momento persino compromettenti per riottenere la somma indebitamente sottratta.

Viceversa è possibile procedere come segue.

Recarsi presso gli uffici preposti delle forze di pubblica sicurezza dove redigere una denuncia querela (se si è assistiti da un professionista provvederà lui). Allegare la movimentazione delle operazioni (tutte) con espresso disconoscimento di quelle che si assumono non essere state compiute. Nel caso dei bonifici non autorizzati indicare quest’ultimi. In essa querela è essenziale che si precisi, a seconda della dinamica dei fatti verificatisi, quanto segue:

  1. la corretta tenuta dei codici di accesso all’home banking o alla carta bancomat (o simili)

  2. la non cessione dei codici a terzi e il non accesso agli stessi da parte di terzi

  3. la non facile individuazione dei codici (es. data di nascita) e il fatto che gli stessi non erano trascritti su alcun supporto o memorizzati altrove (es. sul cellulare)

  4. il non essersi verificate condotte incaute o anche solo temerarie nell’effettuare acquisti (specialmente on line) come pure diverse da quelle che di consueto vengono tenute

  5. non essere mai stato oggetto di prassi o attenzioni analoghe in passato o altri elementi che avrebbero potuto mettere in guardia sull’essere stati presi di mira per un eventuale tentativo di truffa

  6. non aver interagito tramite email o a mezzo di contatto telefonico con alcun operatore diverso da quello bancario

  7. avere sempre seguito o essersi adeguati alle istruzioni fornite dalla Banca relativamente agli aggiornamenti delle impostazioni on line

  8. nell’eventualità in cui si tema in aggiunta anche il furto dell’identità digitale/clonazione/carding precisare gli elementi che lasciano supporre di essere esposti a questa/e ipotesi sulla base di fatti circostanziati e non un sospetto riconducibile all’alveo delle possibilità o quale conseguenza del fatto principale.

  9. la riserva di meglio integrare i fatti oggetto di denuncia a seguito degli eventuali accertamenti.

Con la copia della querela così debitamente redatta il Cliente si può recare presso la Banca e compilare il modulo prestampato di contestazione ad hoc delle operazioni in frode.

Anche in esso è richiesta un’analitica indicazione delle operazioni non volute / autorizzate dal Cliente. E’ necessario che vi sia coincidenza con quelle già indicate in querela. In esito viene richiesto alla Banca di accreditare la somma indebitamente sottratta.

L’istituto di credito replicherà accogliendo o negando la richiesta in questione, nel qual ultimo caso deducendo quelle che sono le verifiche compiute e il risultato delle stesse.

E’ anche possibile che in un primo momento la Banca rifonda la somma indicata dal Cliente per poi, successivamente, qualora la risposta fosse negativa, pretenderla indietro. Su questo argomento c’è una diversa casistica che sembra variare a seconda delle circolari operative degli istituti di credito.

A questo punto può essere utile soffermarci brevemente su quello che è il regime di responsabilità.

La premessa da tenere ben presente è che si tratta in ogni caso di operazioni di pagamento effettuate mediante sistemi elettronici gestiti o in ogni caso messi a disposizione da parte dell’intermediario; ciò si traduce in una considerazione fondamentale che tutti gli interpreti devono ben tenere a mente: l’intermediario è tenuto ad assolvere oneri di carattere organizzativo che derivano da regole generali e da alcune più specifiche rientranti nella sicurezza dei sistemi.

La diligenza richiesta all’intermediario per liberarsi dalla responsabilità è quella civilisticamente riferibile all’art. 1176 c.c. in virtù della quale non è sufficiente per quest’ultimo produrre le tracciature informatiche per esempio relative all’utilizzo della carta ma è altresì necessario indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dalle quali possa trarsi la prova, in via presuntiva, della colpa grave a carico dell’utente.

L’onere probatorio a carico dell’intermediario è incentrato sulla dimostrazione che la responsabilità è a carico del Cliente seguendo un duplice binario: fattuale e tecnico.

Usualmente la prova contraria della Banca è fondata sulla produzione di:

  • tabulati anagrafici

  • tabulati di tracciatura

  • tabulati di sms/codici di accesso per autenticazione (password aggiuntive)

Se questi elementi di prova di per sè non sono idonei a dimostrare che non si è verificata una vulnerabilità organizzativa allora la Banca non si libera dalla prova di aver osservato la corretta diligenza richiesta.

Non sono nemmeno sufficienti le prove di: contabilizzazione, registrazione e autenticazione delle operazioni contestate. Laddove le stesse rientrano nella normale operatività bancaria ma di per sè le stesse non sono pensate per impedire le truffe informatiche mancando l’elemento di sorveglianza.

Un altro aspetto per nulla dirimente sono i c.d. sistemi di autenticazione implementata o rafforzata, spesso denominati “SCA: strong customer authentication”. Gli intermediari pretendono di imporre l’idea che siccome c’è un S.C.A. allora per effetto se si verifica la truffa o l’indebita sottrazione la colpa è del Cliente. Questa è pura fantasia. La presenza di un S.C.A. non farà altro che rafforzare il regime probatorio richiesto al Cliente per dimostrare che in effetti non è stata una sua responsabilità. Certamente andrà a vantaggio dell’intermediario ma non ribalta di per sè l’onere probatorio.

Dipende dal caso: pure in ragione dell’esperienza maturata mi sento di affermare che un autenticazione multifattoriale, pur se in astratto predisposta dall’intermediario per garantire la sicurezza con una autenticazione forte è del tutto inutile nei casi di “sim swap fraud” per esempio: essendo l’utenza telefonica il naturale sito di ricezione del codice OTP.

Nel contempo è vero che l’onere probatorio impone al Cliente di produrre le evidenze delle tecniche di intrusione anche di phishing ma sussistono perplessità quando le stesse vengono predisposte in modo da evitarlo. Le email a tempo si autocancellano. E nel caso di truffa a distanza con sostituzione della sim telefonica è possibile intervenire successivamente per evitare di risalire allo scambio attraverso codici reperibili nel deep web dove circolano manuali “formativi” di questo genere di truffe.

La responsabilità probatoria a carico del Cliente deve tenerne conto perchè lo stesso può essere stato vittima di un operazione molto elaborata ben oltre la possibilità dell’uomo medio diligente di arginarla e la Banca deve rimborsarlo.

Ciò posto, avverso la decisione di respingere la contestazione formale e la richiesta di vedersi accreditare la somma indebitamente sottratta il Cliente deve presentare un reclamo ben specifico che circoscriva in modo esaustivo l’oggetto della materia del contendere e definisca le regole della responsabilità tenendo conto di quanto esposto nella querela e di una ricostruzione probatoria studiata e organizzata sull’onere dimostrativo che, come poc’anzi esposto, grava sull’Istituto di credito.

In caso di rigetto anche del reclamo il Cliente può fare ricorso all’A.B.F. avendo cura di percorrere le stesse argomentazioni opposte nel reclamo in modo lineare così da evitare la mancata coincidenza, senza introdurre elementi nuovi o addebiti che precedentemente non erano stati opposti o rilevati dando cioè l’impressione di voler aggiustare il tiro.

In diritto bancario è sempre importante affrontare le fasi della controversia, pur se stragiudiziali, in modo analitico, con una buona preparazione strategica, cercando di evidenziare i fatti in modo realista ma soprattutto di ricondurli a delle fattispecie normativamente già consolidate e ben definite nel loro campo di applicazione

Per correttezza espositiva giova osservare che si parla di “disconoscimento” relativamente al bonifico non autorizzato e di “utilizzo fraudolento” relativamente alle carte di credito. E’ importante anche cercare di utilizzare i termini tecnici meglio riferibili al caso in concreto.

Pertanto rientrano in queste fattispecie per esempio le operazioni fraudolente che consistono in operazioni di prelievo (es. addebiti per ricarica) ma potenzialmente anche di accredito (es. rimborso titoli dematerializzati da internet).

Il presente articolo vuole essere un aiuto ma non ha la pretesa di essere esaustivo per questo è sempre bene farsi assistere da un professionista cioè un avvocato esperto in diritto bancario e degli investimenti.

E la prima cosa che il professionista farà sarà contestualizzare le norme in ragione di quanto accaduto, per esempio, come in molti casi sottoposti all’attenzione dello scrivente le operazioni contestate si sono verificate in vigenza del D.lgs. 27 gennaio 2010, n. 11, come modificato dal D. Lgs. n. 218/17 di attuazione della direttiva 2015/2366/EU (PSD 2).

In tutti questi casi, sotto la vigenza di PSD 2 non si può creare una differenza tra quanto contestato in denuncia e quanto opposto all’intermediario motivo per cui è essenziale fare attenzione sulla base di quanto esposto in precedenza. Il classico errore è quello di confondere per esempio una truffa con una clonazione (c.d. carding), un reato informatico compiuto a mezzo di un malware con una vera e propria intrusione (hackering).

Se le contestazione vengono fatte in modo impreciso, contraddittorio, se non addirittura sbagliate la richiesta viene respinta dalla Banca per via del fatto che probabilmente l’ufficio legale della stessa già sa che avanti all’ABF ci sono buone probabilità che la Banca abbia ragione.

La responsabilità sarà riferibile al Cliente in tutti quei comportamenti incauti e superficiali che esorbitano dalla diligenza richiesta all’uomo medio, quindi non una straordinaria forma di prudenza bensì una colpevole quanto incauta mala gestione del proprio strumento di pagamento/debito da parte del Cliente tale per cui pur adottando ogni premura in sicurezza la Banca non sarebbe ugualmente riuscita ad arginare, contenere, impedire l’evento del prelievo/trasferimento laddove lo stesso è stato la conseguenza di una o più mancanze addebitabili al Cliente.

Pare quindi corretto affermare (e ribadire) che in prima battuta il rischio di utilizzazione degli strumenti di pagamento (on-line) e di tenuta del c/c tramite home banking ricade sull’intermediario. Quest’ultimo può sottrarsi all’obbligo di rimborso delle somme fraudolentemente sottratte dando dimostrazione che le operazioni contestate sono state correttamente eseguite e non sono frutto di malfunzionamenti delle procedure esecutive oppure fornendo la prova del dolo ovvero della colpa grave dell’utilizzatore.

Per quanto riguarda gli obblighi dell’utilizzatore di uno strumento di pagamento sono principalmente due:

1) utilizzare quest’ultimo in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso e che devono essere obiettivi, non discriminatori e proporzionati;

2) comunicare, senza indugio, al prestatore dei servizi di pagamento lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne venga a conoscenza.

Mentre per ciò che compete al prestatore di servizi (la Banca) è gravata anche dall’onere di provare che le operazioni di autenticazione non abbiano subito le conseguenze del malfunzionamento delle procedure necessarie per l’esecuzione o altri inconvenienti.

Inoltre un fattore di non poco momento riguarda le operazioni sospette.

Cioè quelle che per modalità e frequenza avrebbero meglio richiesto una più drastica reazione del sistema antifrode così evidenziando una carenza organizzativa supplementare in riferimento a operazioni che integrano delle condotte fraudolente particolarmente sofisticate le quali inducono a dare corso a indebiti trasferimenti o prelievi di fondi. Spesso reiterati.

In questo caso è necessario mettere ben in risalto che l’operatività circa il prelievo compiuto sulla vittima e la procedura, anche tecnica, della quale ella può essere stata oggetto prendono in considerazioni fattispecie note, come ad esempio man in the browsero furto di identità digitale/carding”.

Tali condotte si possono quindi riconoscere ex post verificando il modus operandi criminale seguito.

E’ molto difficile parlare di perizie informatiche da allegare in questi casi tuttavia l’interprete del diritto potrebbe studiare alcuni fenomeni di vasta scala su malware originariamente trojan bancari, fra i quali consiglio “Emotet” ed in particolare per via del fatto che alcune procedure di sicurezza degli istituti di credito sono molto sensibili perchè deficitarie ad arginare alcuni malware come per esempio le botnet interne accessibili da trojan trickbot. Esistono delle correlazioni fra truffe patite dai Clienti di alcuni istituti di credito e “l’imperversare” di questi malware.

In questi casi, se debitamente argomentati, è ben difficile che la Banca possa liberarsi da responsabilità attraverso la produzione dei c.c. log (trascrizione di tracce informatiche) delle operazioni contestate come pure, in alternativa, di altre e plausibili evidenze in base alle quali desumere la corretta e regolare autenticazione delle transazioni contestate.

Ricordo, in chiusura che la valutazione della condotta dell’utilizzatore, ai fini dell’eventuale giudizio di colpa grave, deve fondarsi sulla considerazione del complesso di circostanze che caratterizzano il caso concreto pertanto l’onere probatorio a discolpa può essere valutato anche da elementi come uno screenshot del caller ID nel caso di una chiamata da parte di un operatore fittizio.

Come pure rammento che nel caso di operazioni anomale (per es. più bonifici) in lasso temporale contenuto (es. 24 ore) la Banca è tenuta a rimborsare in ogni caso dopo l’ottava per consolidato orientamento ABF.

Esperienza insegna che di solito il Cliente truffato agisce sull’onda dell’emotività (comprensibile) e quindi tende ad essere frettoloso e persino impulsivo. E’ bene invece mantenere la calma e rivolgersi ad un professionista Avvocato esperto in diritto bancario, in grado di fornire un qualificato supporto.

Avv. Marco Solferini

Articolo Precedente
Prossimo Articolo


Stampa Stampa