giovedì 14 luglio 2011

Phishing forense ...

Diceva una canzone di De Andrè che:
"una notizia un po' originale non ha bisogno di alcun giornale, come freccia che dall'arco scocca, vola veloce di bocca in bocca ...".

In Internet si trovano spesse di queste notizie "originali" ... è il suo bello.

Così alcuni mesi fa trovo la notizia di una sentenza "rivoluzionaria" in tema di differenze tra phishing e pharming (in realtà il comunicato pubblicato sui vari siti, che porta bene in evidenza i nomi dell'avvocato e del giudice, poi dimostra di non sapere che phishing non si scrive con la "f" ...).

Letta attentamente, la notizia si rivela per quello che è: un comunicato dal sapore vagamente pubblicitario, ma che si basa su affermazioni di fatto per lo meno discutibili per cui finisce con l'affermare che, mentre nel "fishing è il cliente viene ingannato da e-mail che lo inducono a fornire spontaneamente i propri dati e coordinate bancarie e quindi non si configura responsabilità dell’istituto di credito", nel pharming "l’unica responsabilità è da addebitare alla banca che utilizza sistemi vulnerabili nei quali si verificano intrusioni di terzi che sottraggono dati e fondi dei clienti. L’hacker entra nel sistema informato dell’istituto di credito e sovrappone una pagina fittizia, identica a quella originale e quando il correntista inserisce dati e numero di conto, i pirati informatici li registrano e possono effettuare tutte le operazioni".

I primi commenti sono improntati all'incredulità, se non all'incredulità e la notizia 'muore' lì.

Poco fa viene pubblicata, questa volta su un sito specializzato, quello di IPOSOA, una nuova "novità", la sentenza  del Giudice di Pace di Asti del 28 aprile 2011, che ravvisa la responsabilità della banca nel fatto che la stessa "non fornisce alcuna prova di aver consegnato ... [ai correntisti] il codice “Bic-Swift” nonostante gli attori avessero fin dall’inizio contestato l’inadempienza contrattuale dell’istituto di credito, con la conseguenza di dover ritenere provata la doglianza".

Non so che abbia capito il Giudice di Pace (e il redattore che ha ritenuto di pubblicare la notizia con il roboante titolo "home banking - per le operazioni abusive risponde l'istituto"), ma i codici "Bic" ("Business Identifier Code") e "Swif" ("Society for Worldwide Interbank Financial Telecommunication") non sono codici segreti fornite dalla banca ai correntisti per consentire di effettuare bonifici, ma le coordinate bancarie (l' "indirizzo bancario" del conto di destinazione) che il correntista deve conoscere per "piazzare" correttamente il bonifico.

Non si tratta certo di dati segreti: sono disponibili in Internet in quanto servono per impartire i bonifici.  A differenza dell'IBAN, che identificano anche il conto corrente, SWIFT e BIC identificano solo la banca e lo sportello di destinazione de bonifico.

Una sentenza per lo meno "frettolosa" ..... 

Strano però che pronunce meno frettolose (o forse meno prone ad inghiottire le "esche" lanciate dagli avvocati di parte...), come quelle dell'Arbitro Bancario Finanziario (sistema di risoluzione delle liti tra i clienti e le banche creato con il patrocinio di Banca d'Italia) hanno ottenuto minor risonanza.

 Riporto un passo della relazione, decisamente più meditata:
"il Cliente ha l’obbligo di diligente custodia della carta di pagamento e dei codici
identificativi. È stata, ad esempio, riconosciuta la responsabilità del cliente nel caso in cui i codici e la carta sono stati conservati unitamente, oppure nel caso abbia comunicato a un terzo il numero della propria carta di credito. Il cliente deve essere consapevole della delicatezza del mezzo telematico e della possibilità che attraverso di esso siano perpetrate frodi, anche nella forma del cd. phishing, attuando le cautele necessarie nei confronti di comunicazioni anomale che richiedono fraudolentemente la digitazione dei propri codici identificativi personali.
L’intermediario che offre alla propria clientela servizi di pagamento o telematici ha il dovere di adempiere il proprio obbligo di custodia dei patrimoni dei clienti con la diligenza professionale e qualificata richiesta dall’art. 1176, comma 2, del codice civile, predisponendo misure di protezione adeguate rispetto agli standard esistenti, anche sotto il profilo dei presidi tecnici adottati. Ad esempio, è stata riconosciuta la responsabilità dell’intermediario per non avere predisposto sistemi automatici di blocco delle operazioni anomale disposte tramite internet (nel caso di specie si trattava di una serie di ricariche telefoniche su numeri diversi, per un importo elevato, nel giro di poche ore), ovvero nel caso in cui non era stato adottato un terzo livello di protezione come le serie numeriche casuali generate da dispositivi automatici, ovvero per non avere previsto l’invio di sms di avviso dell’esecuzione dell’ordine
".
In molti di questi casi l'Arbitro ha riconosciuto il concorso di colpa tra la banca e il cliente evidenziando che entrambi hanno un obbligo di diligenza e che se per un phishing la leggerezza del cliente è necessaria, spesso non è sufficiente ....

2 commenti:

bruno saetta ha detto...

Ahahah, bic e swift.... ahah
In che mani è la giustizia........

herr doktor ha detto...

e pensa al sito IPSOA che ha pubblicato la sentenza come una novità .. ;-)

Creative Commons License
I testi di questo blog sono pubblicati sotto una Licenza Creative Commons.