Il phishing e i sistemi di resilienza dell’Ente: un’importante lezione

DPO in pillole/ Data protection e cybersecurity: la necessità di adottare tutte le misure tecniche ed organizzative adeguate a garantire la corretta tutela dei dati

8 Maggio 2023
Scarica PDF Stampa
Modifica zoom
100%
di LUISA DI GIACOMO*

Con una recentissima sentenza (n. 7214 del 13 marzo 2023) la Corte di Cassazione ha riconosciuto negligente e imprudente il comportamento di un correntista di un istituto bancario che, cadendo in un tentativo di phishing ben congegnato, aveva “ceduto” a terzi qualificatisi come operatori bancari (truffaldini) i propri codici di accesso all’home banking. Naturalmente il correntista aveva agito in buona fede, fidandosi del cyber-truffatore, ma dopo essersi visto sottrarre 6.000 euro, ha tentato di ribaltare la responsabilità sulla Banca, che gli aveva negato la restituzione delle somme. Purtroppo, oltre al danno la beffa, perché non solo la banca non gli ha restituito alcunché, ma ha anche vinto la causa in Cassazione, la quale ha per l’appunto stabilito che l’incauto comportamento non poteva essere addossato ad altri che all’incauto soggetto truffato.

In particolare, la Corte ha stabilito che nel foglio informativo a suo tempo ricevuto dai correntisti fosse precisato che il cliente era responsabile della custodia e dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio e che la mancanza di precauzioni da parte del titolare nel mantenere segreti i suddetti codici avrebbe potuto determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terzi. Inoltre, sul sito internet della Banca era dedicato apposito spazio, nel quale venivano fornite le necessarie informazioni per evitare le frodi informatiche (in particolare il phishing), con l’avvertenza che nessun incaricato dell’Istituto avrebbe mai richiesto, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto della Banca, da quelli clonati, nei quali l’utente è indotto a digitare i propri codici personali.

Perché questa sentenza è importante per gli Enti locali e quali insegnamenti possiamo trarne?

Innanzi tutto, e come abbiamo già avuto modo di approfondire in questa rubrica, perché ribadisce quanto la pratica del phishing, la truffa online che ha lo scopo di carpire con l’inganno informazioni riservate relative a una persona fisica o giuridica, al fine di compiere operazioni fraudolente (username, password, codici di accesso, codici pin, numeri di conto corrente, dati del bancomat o della carta di credito), sia ancora molto praticata ai danni dei privati e delle persone giuridiche.

Gli scopi di una campagna di phishing ben congegnata non sono solo quelli di sottrarre del denaro, ma anche di installare nei sistemi della vittima malware, spyware, virus e programmi malevoli in generale.

Il phishing avviene di solito via e-mail, ma possono essere utilizzati anche sms, chat e social network.

Di solito i delinquenti digitali adottano due metodi per rubare questi dati: o inviando link contenuti in e-mail per aprire siti falsi in cui viene chiesto di inserire username e password che i cybercriminali possono poi utilizzare per rubare l’ID delle vittime, oppure raggirando le vittime inducendole a scaricare dei malware che si installano automaticamente sul loro smartphone, apparendo come app legittime. A questo punto l’utente digiterà tutte le informazioni riservate che verranno così inviate ai truffatori.

I dati così carpiti possono poi essere utilizzati per prelevare denaro dal conto corrente della vittima, effettuare disposizioni di bonifico (come nel caso di specie), fare acquisti a sue spese o addirittura per compiere attività illecite utilizzando la sua identità.

Ma il principio sancito dalla Cassazione va oltre il semplice “insegnamento” che chi è causa del suo male deve piangere sé stesso, o, per dirla in maniera più elegante, se qualcuno non si comporta con la diligenza del buon padre di famiglia e poi ne deriva un danno, impuet sibi.

Ciò che i giudici non hanno mancato di sottolineare è che la banca si è “salvata” solo perché ha applicato alla lettera e in modo scrupoloso, il principio dell’approccio basato sul rischio e dell’accountability.

In altri termini, ci ha detto la Suprema Corte, la banca è andata assolta da ogni pretesa non (solo) perché i correntisti sono stati incauti, ma soprattutto perché essa aveva adottato tutte le misure tecniche ed organizzative adeguate a mettere in guardia i clienti e per evitare che si verificassero situazioni come quella portata alla sua attenzione.

Non è stata l’avventatezza del correntista a mettere al sicuro l’ente creditizio, poiché la stessa avventatezza non sarebbe stata sufficiente, se l’ente a sua volta non avesse realizzato (e non fosse stata in grado di dimostrare) quella resilienza dei sistemi informatici richiesta dal regolamento UE 679/2016 (GDPR) che ha fatto affermare che sì, la banca aveva fatto tutto quanto in suo potere per evitare fatti dannosi a carico dei clienti e che pertanto da lì in poi non poteva essere ritenuta responsabile.

L’ente possedeva «un sistema di sicurezza certificato da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionali, tale da impedire l’accesso ai dati personali del correntista da parte di terzi; poiché l’attività bancaria e finanziaria è di per sé considerata pericolosa «in considerazione delle sempre più frequenti truffe informatiche (c.d. Phishing), miranti a carpire fraudolentemente i suddetti dati per il compimento di operazioni illecite, per lo più finalizzate, come nel caso di specie, all’accesso ai dati personali del correntista per il trasferimento di somme dal conto corrente dello stesso a quello di terzi», la Corte ha inoltre rilevato come dall’esame del contenuto dei documenti prodotti in giudizio, l’utilizzazione del servizio on line potesse avvenire «esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale della banca» e che l’operazione, eseguita per via telematica di bonifico di 6.000 € dal conto corrente di cui erano titolari i correntisti protagonisti della vicenda, ad altro conto intestato a terzi, non potesse che «essere avvenuta grazie all’utilizzo dei codici identificativi personali».

Inoltre, sia sul sito sia nei locali dell’ente, erano presenti frequenti e idonee informative, che a chiare lettere avvertivano i correntisti che per nessun motivo alcun soggetto dipendente della banca avrebbe mai richiesto loro i codici di accesso.

Conclusioni

Alla luce di quanto sopra, il principio statuito dalla Suprema Corte non può che considerarsi condivisibile e ancora una volta ci porta a quello che l’Ente può/deve fare per proteggere i dati dei propri interessati e conseguentemente andare esente da rischi di multe, sanzioni e richieste risarcitorie, anche gravose: adottare tutte le misure tecniche ed organizzative adeguate, in considerazione del proprio rischio e del proprio contesto di azione e riferimento, a garantire la corretta tutela dei dati, il loro trattamento secondo i principi del trattamento, la loro adeguata protezione e la resilienza del sistema informatico su cui i dati transitano, ed essere in grado di dimostrare di averlo fatto.

Non avere una lista di prescrizioni da seguire può rendere più oneroso un compito che già di per sé non è semplice, ma viste e considerate le conseguenze e visto anche la Suprema Corte sta assumendo e che, non dubitiamo, verrà ripreso non solo da successive pronunce, ma anche da diversi organi collegiali giudicanti, è uno sforzo che vale la pena di intraprendere, con il giusto aiuto ed adeguata consulenza, per minimizzare (non azzerare, come sappiamo) un rischio che al nostro ente potrebbe costare molto caro.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

Cybersecurity - Luisa Di GiacomoL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

Scrivi un commento

Accedi per poter inserire un commento