Il mondo del web è in evoluzione tanto costante quanto vorticosa: un mondo che cambia di continuo, che rinnova le sue offerte, e che vede crescere di giorno in giorno le minacce che veicola! Frodi, furto di dati sensibili e molto altro. Sono comportamenti ormai noti come phishing!
Phishing: capiamo di cosa si tratta
Il riferimento alla “pesca” utilizzato in questo frangente è quantomai calzante, in quanto il criminale non attende altro che la sua vittima cada nella rete che lui ha gettato.
Per questo motivo è necessario essere consapevoli e formati nell’ambito della navigazione online, evitando di lasciare i nostri codici di accesso, password personali e altri dati in siti non sicuri, per non cadere nella rete del… phishing!
Proteggersi dalle truffe online, dal phishing, è possibile
Ci sono delle semplici regole di comportamento da seguire, condivise dal Garante della Privacy.
Innanzitutto, per “Phishing” si intende una tecnica illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda – username e password, codici di accesso, numeri di conto corrente, dati del bancomat – con l’intento di compiere azioni fraudolente.
Dove avvengono le truffe?
Di solito via e-mail, ma possono avvenire anche tramite sms, chat e social media. In genere il «ladro di identità» si presenta come un soggetto autorevole. Una banca, un gestore di carte di credito, un ente pubblico o altro. Invita poi a fornire dati personali per risolvere particolari problemi tecnici del conto bancario o con la carta di credito. Questo per accettare cambiamenti contrattuali, per gestire una cartella esattoriale e molto altro.
Un messaggio di phishing si riconosce perché solitamente si viene invitati a fornire direttamente i propri dati personali oppure, tramite un link, a compilare un form. I dati carpiti in questo modo possono essere utilizzati per fare acquisti a spese della vittima, prelevare denaro dal suo conto o addirittura compiere attività illecite utilizzando il suo nome e le sue credenziali.
Come comportarsi in caso di phishing: i passi fondamentali!
Ricorda alcune cose fondamentali.
- Banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali tramite sms, e-mail. Le comunicazioni avvengono tramite canali ufficiali, ad esempio con l’applicazione della Banca.
- Non cliccare sui link contenuti in questi messaggi sms o e-mail: contengono spesso virus o programmi non sicuri.
- Se leggi da computer, un’accortezza è quella di posizionare sempre il puntatore del mouse sui link prima di cliccare. In molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati.
- Presta attenzione ad errori grammaticali, loghi sbagliati e formattazione strana, potrebbe essere indice di una traduzione automatica fatta da altre lingue.
- “Se non rispondi immediatamente alla presente mail il tuo conto bancario verrà bloccato”. Un tono eccessivamente intimidatorio può essere indice di una subdola strategia per spingere il destinatario a fornire informazioni personali.
- Come è noto, le password alfanumeriche complesse rendono più sicura la navigazione.
- Per gli acquisti online è indicato usare carte di credito prepagate. Vanno bene anche altri sistemi di pagamento che evitano la condivisione di dati del conto bancario o della carta di credito.
- Attiva un sistema di alert automatico che ti possa avvisare di ogni operazione effettuata.
- Se ti rimane il dubbio, chiama direttamente la banca o l’azienda che pensi ti stia contattando, attraverso un canale di comunicazione conosciuto e affidabile.
Truffa online, ecco cosa dice la legge
La legge, in attuazione di una specifica direttiva europea relativa ai servizi di pagamento nel mercato interno, norma il comportamento degli istituti. Prevede infatti che l’utilizzatore di un servizio di pagamento, il cliente, debba comunicare al prestatore del servizio lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne abbia conoscenza. Se il cliente nega di aver effettuato l’operazione, il prestatore del servizio, la Banca, dovrà dimostrare che l’operazione è stata correttamente effettuata.
Anche se la Banca riuscisse a dimostrare tale circostanza, sarebbe comunque responsabile nei confronti del cliente. Infatti quella sola circostanza non sarebbe sufficiente a dimostrare che è stato il cliente ad autorizzare il pagamento.
L’articolo 82 del GDPR, il Regolamento Generale sulla Protezione dei Dati, si occupa di determinare che tipo di responsabilità abbia il titolare del trattamento dei dati. Nel nostro esempio, sempre la Banca. Si prevede che, chiunque subisca un danno, materiale o immateriale, causato da una violazione del GDPR, ha diritto al risarcimento del danno stesso. Questa disposizione non alleggerisce l’onere probatorio gravante sull’istituto di pagamento, ossia titolare del trattamento dei dati. In parole povere, la banca dovrà comunque dimostrare la correttezza dell’operazione, in quanto il GDPR è permeato dal principio di accountability.
Il principio di accountability enuncia chiaramente che spetta al titolare dimostrare il pieno rispetto delle previsioni del Regolamento. Si include in questo, ad esempio, la liceità dei trattamenti effettuati, l’adozione di idonee misure di sicurezza e via dicendo.
L’opinione della Corte di Cassazione sul phishing
Una recente sentenza della Corte di Cassazione (HL Cass. Civ. Sez. VI, Ordinanza n. 9158/2018) chiarisce ulteriormente il concetto. La Cassazione ha definito che la responsabilità del prestatore di servizi trova fondamento nella posizione di garanzia che l’istituto di credito riveste nei confronti del cliente. Per cui al prestatore dei servizi è imposta una diligenza qualificata nell’adempimento dei propri obblighi.
Nel caso di specie, due correntisti agivano in giudizio contro un prestatore di servizi di pagamento per il rimborso di quanto sottratto a seguito di un episodio di phishing.
La Corte ha ritenuto che fosse ragionevole
“ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo; ne consegue che la banca, cui è richiesta una diligenza di natura tecnica da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente”
Si potrebbe concludere che sull’istituto di credito grava una responsabilità di tipo semi-oggettivo. Sarà infatti tenuto a provare, da un lato, di aver adottato tutte le misure idonee a garantire la sicurezza del sistema di pagamento. Dall’altro, che l’operazione sia riconducibile al cliente. Si tratta di una circostanza tutt’altro che agevole da dimostrare, se non vera e propria probatio diabolica.
Cadere nelle frodi online è davvero semplicissimo, tanto che spesso ce ne accorgiamo solo a mesi di distanza.
Farsi seguire da un legale, in questi casi, è sempre la migliore soluzione. Se pensi di essere vittima di phishing, contatta il nostro studio: tutela i tuoi diritti!
Articolo realizzato in collaborazione con la dottoressa Marta Michelon