Le statistiche registrano un numero crescente di c.d. truffe digitali perpetrate da Hackers informatici in grado di accedere, con metodi via via più sofisticati, ai dati bancari del correntista estratti ed utilizzati ad arte per sottrarne i fondi disponibili.
Da un punto di vista strettamente giuridico, il tema si declina per un verso con un occhio rivolto alla questione della protezione dei dati personali (e da questo punto di vista si registra un legame stretto tra il trattamento dei dati personali, i servizi di telefonia mobile e servizi bancari) e per altro verso con un occhio rivolto alla delicata questione del riparto delle responsabilità tra il malcapitato correntista e la banca che consente il servizio.
Il data breach, secondo il nuovo regolamento europeo 2016/679 sulla protezione dei dati personali, è una “violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” leggi qui.
Il nostro telefono cellulare, quel formidabile strumento di vita che sempre ci accompagna, è diventato ormai un vero e proprio terminale bancario: tramite lo smartphone facciamo shopping, paghiamo la spesa, acquistiamo in internet e questo non può che avere riflessi sostanziali in ordine al c.d. trattamento dei dati personali che, in ambito digitale, diviene ancor più delicato e decisivo.
Quando facciamo operazioni bancarie tramite cellulare, PC o tablet, la nostra “identità fisica” deve coincidere con la nostra “identità digitale”: ma se un hacker ci attacca e i nostri dati personali non sono tutelati in modo sicuro e forte, la nostra “identità digitale” sarà nelle sue mani e il nostro denaro sarà in grave pericolo.
Nel momento in cui accediamo ai servizi di home banking, dobbiamo dimostrare la nostra identità attraverso l’inserimento di codici, divenuti veri e propri dati personali, che identificano una persona con criteri di conoscenza, possesso e inerenza (SCA).
L’attacco informatico ha come obiettivo proprio la sottrazione fraudolenta dei dati sia relativi alla persona fisica sia relativi alla nostra identità digitale per quindi utilizzarli al fine di aggirare i presidi di sicurezza preposti da chi rende il servizio, captarne i codici dinamici e così operare in modo indisturbato sugli account bancari delle vittime.
A voler rappresentare, a titolo d’esempio, una delle modalità di attacco assai frequente si potrebbe riferire del così detto “Attacco Sim Swap” , forma particolarmente insidiosa perché perpetrata con modalità del tutto impercettibili per la vittima.
Con un attacco di questo genere, in prima battuta l’hacker informatico accede in modo fraudolento, anonimo e silenzio, al profilo bancario del malcapitato e ne carpisce le informazioni, quindi procede disattivando la sim del telefonino e ottenendone una nuova con falsi documenti della vittima che esibisce ai negozi di servizi di telefonia.
Una volta in possesso della nuova sim che evidentemente avrà lo stesso numero telefonico di quella fatta oggetto di attacco, l’hacker procederà alla attivazione delle credenziali operative ottenute a seguito di richiesta alla banca.
A questo punto il gioco è fatto! Sarà l’hacker a ricevere gli sms dalla banca e potrà operare indisturbato sul conto corrente della vittima ignara di quanto sta accadendo.
L’hacker (che i tecnici chiamano anche “l’attaccante”) avrà in quel momento il pieno possesso di dati personalissimi della vittima: non solo l’anagrafica legata alla sim, ma anche i dati relativi al pagamento legato all’utenza cellulare.
Ottenere l’anagrafica di un cliente di servizi di telefonia consente agli hacker di perpetrare forme di phishing o furti di identità, qualora vi siano anche copie di documenti di identità nella massa dati colpita da violazione.
Per non parlare poi delle forme di phishing più evoluto, che sfruttano e-mail o sms e contatti vocali in modo sinergico per indurre la vittima ad azioni riparatorie di asseriti accessi illegittimi ai propri account bancari.
Ma se in un attacco hacker può a giusta ragione ritenersi intrinseca la violazione de diritto alla tutela dei dati personali, meno pacifica è la conseguente questione della imputazione delle responsabilità per i danni che ne sono conseguiti.
Da questo punto di vista, buone notizie per la malcapitata vittima della sottrazione fraudolenta.
Tende ad imporsi come consolidato l’orientamento giurisprudenziale che considera la Banca responsabile della sottrazione e quindi tenuta al risarcimento quando non somministra la prova della colpa grave o del dolo del correntista che non ha adeguatamente tutelato le proprie credenziali di accesso al servizio bancario (codice utente, PIN, codice temporanei per eseguire operazioni online).
In un caso da noi patrocinato dinanzi al Tribunale di Milano (Tribunale di Milano, n. 5134/2021), quest’ultimo ha osservato che la Legge “esclude il diritto al rimborso in caso di dolo o colpa grave (del correntista, quindi solo se egli è complice del truffatore oppure se ha conservato in modo non diligente i propri dati di accesso ai servizi telematici della banca), ammettendolo implicitamente negli altri casi. E’ pacifico al riguardo che l’onere della prova gravi sul prestatore del servizio di pagamento, trattandosi del soggetto che eccepisce la causa di esonero da responsabilità”: ma, nel caso in questione, “la ricostruzione della vicenda non” ha consentito “di riscontrare con sufficiente certezza, anche solo in via presuntiva, il dolo o la colpa grave” del correntista.
Ma vi è di più: al fine di andare esente da responsabilità in via di ripetizione dell’indebito, la Banca dovrà anche dimostrare di aver adottato le necessarie misure di sicurezza, di legge e conformi all’evoluzione tecnologica (codici di accesso “statici” sia di una password “dinamica” o “usa e getta” (detta OTP, generata da un dispositivo token) atti a prevenire l’accesso fraudolento.
In tal senso si è espressa la stessa Suprema Corte con l’ordinanza n. 9158 del 12 Aprile 2018.
In altri termini assistiamo ad un riconoscimento pieno della responsabilità qualificata della Banca che offre a pagamento un servizio digitale, responsabilità che cede il passo solo all’eventualità della colpa grave e del dolo del correntista la cui prova a carico della Banca, evidentemente, è tutt’altro che agevole da somministrare.
Avv. Giovanni Piazza
***************************
Pubblichiamo con piacere il prezioso contributo dell’amico, partner esterno e professionista di comprovata esperienza Avv. Giovanni Piazza del foro di Milano, tra i primi e più fervidi sostenitori della responsabilità bancaria in caso di sottrazione fraudolenti di dati sensibili del cliente.