Alle scuole elementari era un classico. Si faceva credere qualcosa a un compagno/a e quando questi era caduto nel tranello, partiva lo scherno: “ci hai creduto!!! Faccia di velluto”. Erano beffe per lo più infantili, il cui unico vero danno era magari ledere un po’ l’amor proprio del malcapitato.
Poi (purtroppo) si cresce e la burla da sola sembra essere poco appagante, anche soprattutto in termini economici… Meglio farla precedere ad un vero danno, magari economico.
Il caso di BancoPosta
È quanto successo qualche giorno fa con una sentenza della Corte di Cassazione (ordinanza #7214 del 2023).
L’origine è di oltre 10 anni fa: frode bancaria a mezzo phishing. I malcapitati correntisti si sono visti sottrarre 6.000 euro dal loro conto BancoPosta con un singolo bonifico. Hanno intentato causa a Poste Italiane S.p.a. e con sentenza del gennaio 2010 il Tribunale di Palermo gli ha dato giustizia: “Poste Italiane non ha adottato tutte le misure di sicurezza tecnicamente idonee a prevenire questo genere di danni per il cliente”.
Ovviamente Poste Italiane è ricorsa in appello. E dopo solo 5 anni la Corte d’appello di Palermo nel 2015 ha sentenziato “Poste Italiane adottò un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi” e ancora “i livelli di sicurezza dei sistemi informatici di Bancoposta on-line di Poste Italiane s.p.a. sono stati certificati da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionali”.
Insomma, il bonifico fraudolento non poteva avvenire senza i codici identificativi personali rilasciati ai correntisti, e pertanto – come indica la sentenza di appello – il correntista è rimasto “vittima di una delle sempre più frequenti truffe informatiche”. In sintesi, l’operazione illecita è avvenuta perché il truffatore era in possesso dei codici personali, forniti dallo stesso correntista.
Oltretutto nella sentenza di appello si evidenzia che Poste Italiane ha diligentemente cercato di informare preventivamente l’utenza, inserendo in uno spazio apposito del proprio sito, avvisi utili ad evitare le frodi informatiche quale il phishing.
In sostanza l’istituto di credito si è comportato in modo diligente, mentre la vittima è stata “imprudente e negligente”.
È stato poi il turno della vittima che è ricorsa in Cassazione, e dopo (solo) 8 anni arriva la sentenza definitiva che conferma quanto deciso in Appello: Poste Italiane S.p.a. non è imputabile dell’incuria del correntista e della sua incapacità di non cadere vittima di phishing.
Risultato? Oltre al danno anche la beffa
- Il danno: bonifico di 6.000 euro non rimborsato + pagamento delle spese legali (200 € di esborsi, 3.000 € per l’avvocato di Poste Italiane, 15% per spese forfettarie, IVA e CPA, contributo di circa 500 € per l’impugnazione della sentenza) e ovviamente il costo del proprio collegio di difesa e il non quantificabile costo del tempo perso nei quasi 15 anni.
- La beffa: ufficializzazione di essere incappati per imprudenza e negligenza in una banale attività di phishing e il vedere ufficializzato che l’istituto di credito si è comportato bene.
La cronaca è quotidianamente popolata da eventi di questo tipo, quindi apparentemente nulla di nuovo. Questa sentenza, invece, neppure troppo implicitamente, fa passare un chiaro messaggio: le banche non pagano per gli errori dei clienti. È di fatto un precedente rilevante in quanto stabilisce una difesa per gli istituti di credito in caso di phishing: è colpa del cliente.
In una nota l’ABI sottolinea come la sentenza stabilisca la correttezza del ribaltamento dell’onere probatorio sul cliente oggetto di truffa.
Insomma, non c’è condivisione del danno né della colpa, è tutto sulle spalle dei clienti.
Pur potendo comprendere quanto possa essere biasimevole la sproporzione delle forze in campo tra i soggetti della contesa, non mi sento di disapprovare quanto deciso.
In sostanza è sempre maggiormente diffusa la propensione a sottostimare o a non considerare quanto sia pericoloso il fenomeno del phishing.
Questo è ancor più vero anche per il fatto che il phishing, in quanto tecnica di Social Engineering, evolve e lo si ritrova veicolato anche su canali differenti oltre la classica email.
Tipologie di phishing
Tipologia di Phishing | Descrizione |
Phishing | Attacco veicolato via email. Abitualmente viene simulata l’email di un provider inserendo link a siti che carpiscono informazioni riservate (codici accesso, password…) |
Spear Phishing | Forma di Phishing via email ma indirizzato a gruppi o persone specifiche |
SMishing | Attacco effettuato attraverso il canale della messaggistica SMS. In questa categoria rientrano analoghi attacchi attraverso anche altri canali di messaggistica (whatsapp, telegram…) |
Vishing | Attacco effettuato attraverso telefonate, di solito simulando l’appartenenza a centri servizi o servizi di Help Desk |
Whaling | Attacco attraverso diversi canali ma indirizzato specificatamente ai C-level (amministratori, dirigenti) dell’Azienda vittima |
Pharming | Attacco perpetrato dirottando l’utente verso in server controllato direttamente dall’attaccante |
Nella prossima puntata presenterò un po’ di dati sul phishing e racconterò della lezione che abbiamo imparato da un test realizzato nella nostra azienda. Spero si riesca ad apprendere quanto sia necessario attivare l’unico metodo veramente capace di contrastare questo fenomeno: non sottostimare il rischio e tenere sempre la “guardia alta”.