Accesso credenziali bancarie del cliente

Se un terzo ottiene l’accesso alle credenziali bancarie del cliente, in qualsiasi modo – salva la collusione con l’intestatario – così come se dovesse essere sottratta una carta di credito o di debito unitamente al PIN, il sistema di processamento dei pagamenti impiegato dalla Banca deve essere in grado di attivare in automatico una procedura per portare in evidenza l’anomalia di una transazione, sulla scorta dello storico operativo riguardante il profilo cliente

Accesso illecito

Può accadere, e in effetti dai fatti di cronaca risulta si sia verificato in più occasioni, che un utente riceva tramite la rete telefonica un messaggio “sms” apparentemente inviato dalla propria Banca di fiducia, in cui viene chiesto di accedere a un link per sbloccare l’utilizzo dei propri servizi, del tenore: “Gentile cliente, ìl suo conto e’ stato limitato. Sblocchi la sua utenza al seguente link ….” o similari.
Fuorviato dai riferimenti contenuti nel messaggio, l’interessato potrebbe essere indotto ad accedere alla pagina web utilizzando il link comunicato, avviando ed entrando in un processo comunicativo con lo scambio di informazioni che possono determinare la violazione dei propri dati personali e operativi in possesso dell’istituto di credito, nel convincimento di essere intrattenuto da un operatore della propria banca, per scoprire poi dopo qualche giorno di aver subito alcuni prelievi e addebiti nel suo conto corrente con movimentazioni eseguite in mancanza di qualunque disposizione da parte sua.
Gli autori di questo tipo di illeciti realizzano degli accessi carpendo in diversi modi i codici della clientela, ad esempio via phishing, smishing/vishing o tramite malware. Inoltre, possono manipolare l’SMS o la chiamata diretta all’utente finale, alterando il numero di telefono del mittente (utilizzando una tecnica denominata “spoofing”) e facendo risultare i messaggi e le chiamate come se fossero state effettuate dalla propria banca. In questo modo i malcapitati credono erroneamente di essere in contatto con la banca e comunicano le proprie credenziali a terzi.

Condotta della Banca

Sebbene non possa dirsi che il sistema informatico della banca sia stato direttamente violato, tuttavia la vicenda non è priva di implicazioni nei confronti di quest’ultima.
Va chiarito che in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), si deve ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti da non poter essere fronteggiati in anticipo. In particolare, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire sempre la prova della riconducibilità dell’operazione al cliente (Cass. Ord. 16417 del 2022).
Appare pertanto rilevante verificare se nel caso di specie sussistano elementi di valutazione indicativi dell’anomalia ed eccezionalità delle operazioni tali da imporre alla banca l’obbligo di intervenire immediatamente in occasione dell’iniziativa illecita, come di seguito indicato:
1) pattern di login (comportamento degli accessi) relativo alla location.
Se il cliente si è sempre connesso da un’area determinata e ad un certo punto il suo account risulta collegato da altra inusuale location, la reazione immediata deve essere che: “c’è qualcosa di cui dubitare e da prendere in considerazione”.
Va tenuto presente che la banca ha necessariamente la disponibilità dell’informazione riguardante l’indirizzo IP (indirizzo da cui viene effettuato il login) con il quale è stato effettuato l’accesso. Corrisponde a una condotta diligente dell’operatore professionale conservare uno “storico” degli indirizzi IP utilizzati per gli accessi. Si tratta di un adempimento del tutto ordinario che non comporta costi e che consiste solo nel conservare dei dati già acquisiti. Rilevata la variazione della posizione geografica da cui è stato effettuato l’accesso all’account, il conseguente comportamento, secondo ordinari e minimi criteri di diligenza, dovrebbe concretizzarsi nell’invio di un’immediata comunicazione al cliente. La condotta può risaltare come particolarmente grave ove, ad esempio, i prelievi risultino effettuati “cardless” (senza disponibilità materiale della carta) e in aree geografiche che la banca non ha mai avuto modo assolutamente di rilevare in precedenza.
2) Il comportamento di un cliente nell’utilizzo del suo conto corrente presenta dei caratteri che si mantengono costanti nel tempo, determinando così una zona di “comfort” (range) delle operazioni. Questo elemento è talmente spiccato da consentire alla banca di individuare con alta confidenza il proprio cliente associandolo al comportamento del sul conto corrente (il fenomeno si descrive con il nome di “fingerprinting”). Si tratta di modalità tecniche e operative adottate da molti anni e da ogni banca nei rapporti con il cliente, sia in ottica di prevenzione di anomalie pericolose come accaduto nel caso di specie, sia ai fini di rendere sempre migliore e più efficace la propria attività istituzionale.
In sostanza, ad esempio, se il cliente non ha nel suo pregresso richieste di emissione di bonifici nonché prelevamenti di grosse somme di denaro da ATM, la banca è nel possesso di precisi elementi di conoscenza che devono determinare un suo intervento diretto e tempestivo nell’interesse del cliente: è evidente che la banca non deve rimanere inerte in presenza di una rilevante anomalia delle movimentazioni rispetto alla condotta sempre mantenuta riguardo l’operatività del conto corrente.
3) Si ritiene che la banca a fronte di dati significativi in suo possesso debba agire secondo tre opzioni per assicurare tutela al suo cliente, senza dover sostenere alcun onere significativo né affrontare complessi adempimenti, ma limitandosi a gestire con diligenza delle informazioni che sono già tutte nella propria disponibilità. Perciò, sin dalla prima operazione la banca ha subito la possibilità di bloccare una transazione di denaro fraudolenta che si presenti con profili totalmente diversi rispetto alle modalità operative proprie e consolidate del cliente. In secondo luogo, qualora la banca avesse deciso di non impedire l’operazione, dovrebbe almeno aver cura di inviare una pronta comunicazione via e-mail o SMS al cliente, questo anche nel caso in cui lo stesso cliente avesse disabilitato le notifiche sull’operatività del proprio conto poiché si tratta di informazioni di primario interesse per il correntista. Come terza possibilità, ben potrebbe immediatamente informare l’interessato di aver rilevato un’operatività anomala sul conto e lasciargli l’onere, una volta che si è reso conto di che movimento si trattasse, di far autorizzare o meno la transazione critica.

Conclusioni

Sull’utilizzo diffuso del cd. “Pattern” e sul trattamento dei dati per estrarre precise e accurate informazioni sullo specifico comportamento dei correntisti, si cita ancora la pubblicazione “ABI Forum, Roma, 8 Aprile 2016”.
In definitiva, anche in considerazione di queste procedure e pratiche correnti, in caso di accesso e violazione delle credenziali personali, una condotta negligente della Banca può avere un ruolo causale nel determinare l’evento dannoso patito dal cliente, qualora questa decida di trattenere per sé e per finalità “sterili” per lo stesso dei dati fortemente significativi, che possono impedire l’abuso se valorizzati in modo tempestivo e ponderato, avendo come riferimento primario l’interesse del proprio cliente.

Dr. Cristiano G.