IL PHISHING BANCARIO: NORMATIVA ED ORIENTAMENTI GIURISPRUDENZIALI
- byStudio Legale Scotti Articolo del: 12/03/2023
Lo sviluppo delle tecnologie trasforma sempre più rapidamente le modalità delle transazioni commerciali e dei sistemi di pagamento, ma accresce anche la sofisticazione ed i rischi delle truffe telematiche, effettuate mediante appropriazione indebita ed accesso illegale alle banche-dati che custodiscono gli elementi identificativi ed i conti degli operatori economici. In particolare, è assai diffuso il fenomeno del phishing bancario. Le normative europee e la legislazione nazionale di recepimento si preoccupano di garantire la sicurezza dei dati personali e delle operazioni di pagamento, imponendo specifici obblighi di protezione a carico degli istituti di credito. Il presente articolo analizza la vigente disciplina europea, con riferimento a quella generale in tema di tutela della Privacy e di quella specifica in tema di operazioni di pagamento, individuando in particolare gli obblighi di protezione e le connesse responsabilità degli istituti di credito, anche alla luce degli orientamenti giurisprudenziali della S. Corte di Cassazione e dell’Arbitro Bancario Finanziario.
LA DIFFUSIONE DEL PHISHING NELLE OPERAZIONI DI PAGAMENTO ELETTRONICO A DISTANZA
Il proliferare di fenomeni di truffe informatiche sofisticate costituisce la logica conseguenza dell’utilizzo sempre più diffuso di sistemi tecnologici da parte degli istituti bancari per l’erogazione dei servizi di credito. Tra questi, indubbia rilevanza ha assunto nel corso degli ultimi anni il cosiddetto “phishing”. Con tale espressione vengono individuati tutti quei comportamenti illeciti diretti all’intrusione illeciti di terzi nelle piattaforme di home banking al fine di sottrarre liquidità dai conti correnti degli utenti delle banche. Il phishing è una truffa digitale realizzata attraverso l’acquisizione fraudolenta dei dati sensibili degli utenti. Avviene principalmente tramite l’invio di e-mail o sms ingannevoli da parte di un hacker alla vittima designata, con utilizzo del nome o del logo di istituti bancari, attraverso un sito molto simile a quello loro proprio, con invito ad accedere al proprio account bancario e con richiesta di inserimento di username, password, codici fiscali o addirittura codici di accesso ai conti bancari, in modo da carpire i dati personali dell’utente. Ove si assecondano queste richieste, i dati inseriti entreranno in possesso dei terzi che tenteranno di utilizzarli per furti d’identità o pagamenti non autorizzati. Il cliente, convinto di essere stato contattato dall’istituto bancario, cede, in modo inconsapevole e incolpevolmente, le credenziali per l’accesso al proprio conto corrente, rischiando in tal modo di subire la sottrazione di somme di denaro anche molto consistenti.
Dai dati dei ricercatori dell’Avast, una delle più grandi aziende competenti per contrastare gli attacchi informatici, è emerso un quadro problematico per il comparto bancario italiano rispetto alle ripetute truffe informatiche. Infatti, più di 100 banche italiane sono state prese di mira dal malware “Ursnif”, un software capace di entrare in possesso delle credenziali per accedere, attraverso l’home banking, ai conti correnti degli utenti che inconsapevolmente lo installano sul loro personal computer. Questa situazione offre lo spunto per riflettere sulla vigente normativa, europea e nazionale, finalizzata ad assicurare la sicurezza delle transazioni on line ed a prevenire queste forme di frodi. Ciò consentirà di individuare la ripartizione delle responsabilità e dei rischi tra gestori dei servizi di pagamento ed utenti, nonché gli strumenti più adeguati al fine di tutelare gli interessi di questi ultimi. In particolare, giova analizzare la disciplina contenuta nel Regolamento UE 2016/679, del Parlamento Europeo e del Consiglio, del 27 aprile 2016, applicabile a decorrere dal 25 maggio 2018 e noto anche come GDPR (General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali; nella Direttiva 2015/2366/UE, del Parlamento europeo e del Consiglio, del 25 novembre 2015, relativa ai servizi di pagamento nel mercato interno [nota anche come PSD2 – Payment Services Directive, che ha sostituito con effetto dal 13 gennaio 2018 la 2007/64/CE (cd. PSD), recepita nell’ordinamento interno per mezzo del decreto legislativo del 27 gennaio 2010 n. 11, poi modificato con il d.lgs. n. 218 del 15 dicembre 2017], e nel Regolamento delegato (UE) 2018/389, entrato in vigore il 14 settembre 2019, che integra la Direttiva 2015/2366/UE per quanto riguarda le norme tecniche di regolamentazione per l’autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri.
PER QUESTO ARTICOLO SONO PRESENTI ALLEGATI: Scarica allegato »