MigliorBanking 2012/ Giustizia è fatta. Furti online: ora i giudici condannano gli istituti

Leggi anche:
MigliorBanking 2012/ Ma che cos’è una banca? Ah, saperlo
MigliorBanking 2012/ E il vincitore è…
MigliorBanking 2012/ In linea con la bolletta
MigliorBanking 2012/ A tutta tavoletta
MigliorBanking 2012/ La filiale è (quasi) social
MigliorBanking 2012/ L’intervista. IWBank: “Siamo primi perché…”
MigliorBanking 2012/ I 10 migliori Smartphone, Tablet e Padfone

Mario Ianulardo, avvocato penalista, con studio a Napoli specializzato in “Diritto penale dell’Informatica” presso l'Università LUMSA di Roma, studioso, docente, autore di apprezzati lavori sul cybercrime, ha patrocinato processi di rilevanza nazionale tra i quali si citano “Eurololitas” e “Fabulinus” in tema di pedopornografia online. Socio fondatore, e già consigliere, dell’Associazione “Circolo Giuristi Telematici”, figura nell’elenco dei saggi esperti del mondo della ICT abilitati dalla Naming Authority alla conduzione delle procedure di riassegnazione dei nomi a dominio. È consulente legale di società che amministrano siti web e ha portato a termini approfonditi studi sui reati informatici, nonché le modalità di acquisizione e il valore delle prove digitali in ambito giudiziario: computer crime,computer forensics, best practice, digital forensics (vedi al sito www.codicieleggi.it). A Ianulardo, Of ha chiesto di fare il punto sulla sicurezza delle transazioni online, dal punto di vista della difesa legale dei clienti.

Of: E’ netta la sensazione che le truffe informatiche siano in deciso aumento. Cosa fa lo Stato, investigatori e magistrati, contro questa crescita della cybercriminalità?
Ianulardo:In realtà esiste un innegabile rapporto tra l’aumento delle transazioni bancarie online e l’aumento delle truffe informatiche. Infatti, con l'e-commerce destinato a crescere nel corso dei prossimi 10 anni, l’aumento dei casi di frode informatica appare come una logica conseguenza.

Of: Di fatto allora è impossibile debellare il fenomeno delle frodi?
Ianulardo:L'esperienza dimostra che è possibile rallentare la sua crescita mediante l'attuazione di protezioni nei punti critici di vulnerabilità.

Of: Che sono?
Ianulardo:Secondo una recentissima statistica che ha preso in considerazione il solo phishing…

Of: … in effetti tra le tipologie d’attacco per il furto delle credenziali si annoverano anche il man In the middle, il man in the browser e il man in the pc.
Ianulardo:… ma in questo caso si parla di phishing. Bene, è emerso che la quota percentuale relativa ai messaggi di phishing rilevati nel flusso globale delle email è aumentata di ben tre volte rispetto all'analogo valore riscontrato nei mesi precedenti, facendo pertanto segnare un indice pari allo 0,03% del volume complessivo di messaggi di posta elettronica circolanti in Rete. Tanto per dare un’idea del fenomeno, nel mese di maggio 2012 sono stati individuati file nocivi nel 3,2% dei messaggi email mentre nel mese di settembre 2012 sono stati individuati file nocivi nel 3,4% dei casi. Si pensi che dal 2010 al 2011 si è registrato un incremento del 26%.

Of: Quindi si ripone la domanda: cosa fanno investigatori e magistrati contro il dilagare del cybercrime?
Ianulardo:Con schiettezza posso affermare che non molto è stato fatto nel settore delle frodi informatiche da parte dello Stato che, a mio avviso, dovrebbe investire anzitutto su una diffusa ed efficiente attività di prevenzione, informazione, oltre che di investigazione. Quest’ultima appare, nonostante l’impegno profuso dagli addetti ai lavori, non molto efficace in virtù dell’ esiguo numero di investigatori esperti di computer forensics. La globalizzazione della rete, richiede, inoltre, che le legislazioni dei vari Paesi emettano norme comuni e di facile attuazione. ----

Of: Ciò non si è ancora verificato?
Ianulardo:Tale stato di cose pone seri problemi circa l’ acquisizione delle prove digitali e di interpretazione delle norme poste a presidio della salvaguardia delle transazioni bancarie e dei reati informatici in genere. A ciò si aggiunga che perfino i vari uffici della Procura della Repubblica vantano risorse e competenze che si assestano a differenti livelli.

Of: Questo vale anche per i magistrati chiamati a giudicare i reati?
Ianulardo: I magistrati giudicanti incontrano non poche difficoltà a comprendere la materia e applicare correttamente le norme dettate in tema di reati informatici. Tra l’altro, l’Italia non vanta, ancora, una giurisprudenza consolidata in materia e tale da consentire un inquadramento sistematico delle ipotesi criminose perpetrate sulla Rete. Contemporaneamente, la lotta contro la criminalità informatica risulta ostacolata anche dalla mancanza di cyber confini e da leggi troppo eterogenee tra loro e troppo poco tecniche.

Of: E quindi?
Ianulardo: Risultati accettabili potranno raggiungersi solo attraverso una maggiore cooperazione internazionale tra i vari Stati che coinvolga l’aspetto legale nonché quello tecnico e organizzativo. Solo alcune associazioni, tra le quali primeggia IISFA Italian Chapter, contribuiscono in maniera determinante alla formazione di tecnici e giuristi capaci di svolgere attività di accertamento e di contrasto alla criminalità informatica.

Of: Cosa può fare il cliente che vuole essere risarcito dalla banca dopo che si è visto prosciugato il conto corrente? Affidarsi al difensore bancario? Andare da un avvocato? Da una associazione di consumatori? Quanto costa, in media una azione per recuperare i soldi persi?
Ianulardo: Il cliente che si è visto prosciugare parte del conto bancario ha più azioni a disposizione. Può, oltre che affidarsi ad un avvocato o un’associazione di consumatori, rivolgersi all’Arbitro Bancario Finanziario (ABF) che rappresenta un sistema stragiudiziale di risoluzione delle controversie, tra i clienti e le banche e gli altri intermediari finanziari.

Of: E l’arbitrato…?
Ianulardo: No, l’ABF non va confuso con la conciliazione né con l’arbitrato. E’ un’alternativa più semplice, rapida ed economica rispetto al ricorso al giudice e non richiede la necessaria assistenza di un avvocato. Sotto il profilo economico, risulta decisamente meno impegnativa in quanto prevede il versamento di un contributo spese, pari a soli 20 euro, rimborsabile se il ricorso è accolto. Va precisato che il cliente può rivolgersi all’Arbitro solo dopo aver tentato di risolvere il problema direttamente con la banca o l’intermediario, presentando ad essi un reclamo. ----

Of: E se il cliente non condivide le decisioni dell’Arbitro?
Ianulardo: Può rivolgersi al giudice. In tale ultimo caso, che richiede tempi lunghi per la celebrazione del giudizio di risarcimento e di certo più oneroso sotto il profilo economico, si rivela determinante la scelta di un professionista, meglio ancora se un pool di professionisti, che vanti particolare esperienza nel settore. Non sempre, infatti, in caso di frodi informatiche, l’Istituto Bancario si rende parte diligente per la ricerca e l’acquisizione degli elementi di prova. Tra l’altro, l’accesso ad alcuni dati è riservato al solo Istituto Bancario che gestisce il conto corrente e le relative transazioni e non va sottaciuto che il cliente frodato non sempre ha l’opportunità di svolgere indagini difensive per l’acquisizione di prove digitali che, in virtù della stessa natura, vanno raccolte e cristallizzate nell’immediatezza dei fatti. Tout court, l’intervento di un tecnico, esperto di computer forensics, coadiuvato da un professionista esperto, risulta determinante non solo nel caso in cui il cliente risulti frodato ma anche nel casi, registrati sempre più frequentemente, di operazioni online generate da virus e attribuite all’incolpevole cliente costretto, suo malgrado, ad affrontare un giudizio penale per operazioni mai effettuate.

Of: Quale è l’orientamento prevalente della magistratura in caso di cybercrime: condannare la banca al risarcimento o mandarla assolta? Qualche tempo fa si diceva che i giudici erano propensi a dare ragione agli istituti di credito in base al principio che in generale il furto avviene sempre per un errore o una imprudenza commessa dal cliente, ad esempio rispondere a una falsa mail? E’ ancora così? Ci sono delle concrete possibilità per un cliente di vedersi risarcito?
Ianulardo: L’orientamento che sta prevalendo è quello della condanna della banca specie nel caso in cui non si riscontrano comportamenti ingenui da parte del cliente. In verità, non sono pochi i casi in cui il cliente, rispondendo incautamente alle fake email, fornisce sua sponte i codici d’accesso, e quindi le credenziali d’accesso riservate, agli autori del phishing finendo col contribuire massimamente alla riuscita della frode informatica o del furto d’identità digitale. Contemporaneamente, non sono nemmeno trascurabili i casi in cui si è lamentata una insufficiente protezione da parte dell’Istituto Bancario vuoi perché non si è prodigato per adeguare i sistemi di sicurezza a tutela delle transazioni online, vuoi perché non ha rispettato in maniera puntuale le procedure poste a tutela delle attività telematiche svolte dal cliente. Per quanto riguarda le frodi riguardanti le carte di credito diverse banche stanno intraprendendo campagne assicurative atte a risarcire, anche parzialmente, il cliente frodato.

Of: Lei è stato protagonista in molti processi contro la criminalità informatica. Qual è quello più difficile o complesso; o straordinario, che ha dovuto affrontare?
Ianulardo: Ho seguito vicende processuali particolarmente complesse in tema di privacy, quindi di illecito trattamento dei dati, frode informatica, phishing, accessi abusivi a sistemi informatici e telematici che hanno coinvolto importanti società. Generalmente, un processo con imputazioni relative a reati informatici risulta complesso in virtù della materia trattata e che risulta in re ipsa complessa.

Of: Ci sono troppe norme, nazionali e internazionali...
Ianulardo: Ma non sempre la complessità tecnico-giuridica connota la difficoltà di un processo. Esso può apparire particolarmente difficile anche nel caso in cui ci si rende conto che l’indagato risulta completamente estraneo ai fatti delittuosi addebitati. Ciò è accaduto in più di un processo avente ad oggetto reati di pedopornografia online e anche di frode informatica.

Of: Cioè, cosa è accaduto?
Ianulardo:In questi casi, ho dovuto assistere, tra non poche difficoltà, clienti assolutamente innocenti e finanche incapaci di usare il computer e di collegarsi a internet. A tal proposito, mi auguro che si lavori sempre più intensamente e seriamente per affinare le tecniche d’ indagine, rivelatesi spesso superficiali e fuorvianti. Infatti, l’assunzione di prove errate non può che influenzare, in maniera deleteria e pericolosa, l’evolversi dell’intero processo penale. Il paradosso è che si corre il rischio che il giudice, all’esito del giudizio avente ad oggetto reati informatici anche particolarmente gravi, condanni un soggetto del tutto innocente. ----

Of: Di recente un giudice ha condannato una banca perché a suo parere non aveva previsto un livello minimo di sicurezza sul sito di home banking. Livello minimo che il magistrato ha individuato nel token. La sentenza appare un punto di svolta: alcune banche non danno il token. Quali potranno essere a suo avviso le possibili conseguenze?
Ianulardo: Condivido la decisione del giudice in quanto, come appare logico, l’Istituto Bancario ha l’obbligo di tutelare nella maniera più efficace il patrimonio che viene ad esso affidato. A proposito del token e del livello minimo di sicurezza, va precisato che attualmente il token rappresenta, tra tutta una serie di variabili, soltanto uno dei livelli di sicurezza attivi.

Of: Cioè?
Ianulardo: Per semplificare, e tanto per citarne i primi tre: il 1° livello richiede l’uso di una password personale; il 2° livello coincide con l’uso del token o codifiche variabili attraverso la sincronizzazione di chiavi o una serie di codici che richiedono conferma dei codici riportati su una scheda in possesso dell’utente; il 3° livello prevede, al momento della transazione l’inserimento, in tempi rapidi compresi tra i 30 e i 60 secondi, di un codice composto da 6/8 cifre e che viene inviato a mezzo sms sul cellulare del cliente. Tale ultimo livello appare di certo il più sicuro. Infatti, l’operazione fraudolenta sarebbe possibile a patto che il cellulare su cui viene inviato l’sms sia stato sottratto al proprietario e che sia stata violata non solo la password ma anche la onetime password.

Of: Va anche detto che la situazione diventerà più complicata: le transazioni bancarie si stanno spostando sempre più verso i telefoni cellulari…
Ianulardo: È vero. Si assisterà ad uno sviluppo del mobile banking e quindi ad un aumento esponenziale di ipotesi di cybercrime sui cellulari che rappresenteranno il bersaglio privilegiato dei cybercriminali. Questo fenomeno sarà incentivato proprio dalla crescente popolarità dei servizi bancari attraverso smartphone e tablet, e dal fatto che molti dispositivi mobili non vantano l’installazione di efficaci sistemi di sicurezza. Più Internet è diffuso, anche in mobilità, più le attività dei pirati informatici si intensificano attraverso tecniche sempre più sofisticate e capaci di aggirare i sistemi di certificazione utilizzati dalle banche.

Of: Dal suo osservatorio di prima linea quale sarà l’evoluzione del crimine informatico?
Ianulardo: Sono certo che si assisterà a un inevitabile, costante aumento del crimine informatico al quale, a mio avviso, non corrisponderà, purtroppo, il dovuto impegno legislativo necessario all’emanazione di norme che rendano più fluida l’acquisizione di dati digitali necessari per portare avanti le complesse e delicate indagini necessarie a contrastare appunto la criminalità informatica. Si assisterà a una continua lotta tra coloro i quali progettano sicurezza e quelli che tentano di violarla. E non va affatto sottovalutata l’abilità dei cybercriminali che, sempre più spesso, raggiunge capacità inimmaginabili.

Of: Si ha la sensazione che oggi spesso i criminali si avvalgano anche di complicità all’interno delle società di telecomunicazione. Ci può raccontare qualche recente caso di nuova cybercriminalità? ----
Ianulardo: È possibile che agenti interni, e anche partner malevoli, operino in danno di società di telecomunicazioni eludendo i sistemi di rilevazione. L’economia sommersa legata alla cybercriminalità ha spostato, di recente, l’attenzione sul furto di capitale intellettuale aziendale che comprende tutto il valore derivante dalla proprietà intellettuale di una società: segreti commerciali, copyright, formule proprietarie, piani di marketing, risultati di ricerca e sviluppo e anche codici sorgente. Secondo recenti statistiche sono aumentati gli attacchi mirati agli archivi delle informazioni aziendali e si è registrato un notevole incremento di furto di dati.

Of: Ci sono dei dati?
Ianulardo: I casi registrati nell’anno 2010 ammontavano a 3.878.370. Sono divenuti 174.522.698 nell’anno 2011. Non meraviglia affatto come ciclicamente si registrino casi, alcuni dei quali ben noti alla cronaca, che coinvolgono dipendenti infedeli. Tra l’altro, si è giunti ad individuare proprio nei soggetti che godono della fiducia dell’organizzazione quelli con maggiori possibilità di sottrarre dati sensibili per finalità illecite. Vi è poi una buona probabilità che tali furti non vengano mai alla luce e il leggero declino della percentuale di agenti interni, emerso da recenti studi, è dovuto più all’aumento degli attacchi industrializzati piuttosto che alla riduzione degli illeciti commessi dal personale interno. In molti casi, inoltre, i reati commessi da agenti interni non vengono denunciati sia perché l’azienda ne è all’oscuro sia perché spesso decide, per ovvi motivi, di gestire in proprio la vicenda evitando di ricorrere a consulenti esterni per le indagini forensi e di denunciare il fatto alla polizia giudiziaria.
Le attività dannose poste in essere da personale interno possono essere classificate in tre comportamenti essenziali che potremmo definire deliberato e doloso, quindi improprio non doloso e infine, involontario. Negli ultimi tre anni, la quasi totalità delle violazioni perpetrate da agenti interni è risultata conseguenza di azioni deliberate e dolose, pari a circa il 90% annuo, a dispetto dell’esiguità di episodi dovuti ad errori involontari come nel noto caso del dipendente che ha pubblicato, inavvertitamente, sul Web talune informazioni che avrebbero dovuto restare riservate.

Of: In conclusione, da avvocato, come si deve comportare un cliente, prima ed eventualmente dopo un caso di furto informatico?
Ianulardo: Il cliente, al fine di scongiurare situazioni di pericolo o peggio ancora, di danno, deve rigorosamente attenersi alle regole comportamentali suggerite dagli stessi Istituti di Credito. Va ricordato che gli istituti bancari e le aziende non richiedono mai password, numeri di carte di credito o altre informazioni personali attraverso un messaggio di posta elettronica. Quindi, non bisogna mai rispondere, via email, a richieste di informazioni personali, pin, password, etc, anche se provenienti dal proprio istituto di credito. Nel dubbio, occorre telefonare all'Istituto Bancario per ottenere conferma dell’inoltro della email. Si suggerisce, vivamente, di verificare regolarmente i rendiconti bancari e della carta di credito. In caso di spese o movimenti bancari non autorizzati occorre informare immediatamente, anche via telefono, il proprio istituto bancario o la società emittente della carta di credito.

Of: Purtroppo, nonostante la diffusione di suggerimenti e la disponibilità di programmi implementati per scongiurare interferenze nelle transazioni online, ancora oggi numerosi utenti diventano vittime di attività illecite.
Ianulardo: In tal caso, il cliente vittima della frode, deve attivarsi immediatamente denunciando il fatto all’Istituto Bancario e deve presentare, anche per via telematica, una dettagliata denuncia alla Polizia Postale e delle Comunicazioni. Attualmente, molte banche ed aziende dispongono di un indirizzo di posta elettronico dedicato alla ricezione di denunce aventi ad oggetto la segnalazione di sospette operazioni online fraudolente.

Of: C’è da restare scoraggiati…
Ianulardo: Tutto quanto detto non deve scoraggiare. Occorre solo prestare molta attenzione per evitare di cadere nelle trappole dei cybercriminali i quali, oltre a mostrare, nella pluralità dei casi, innegabili capacità tecnico-informatiche ricorrono sempre più spesso alle più sofisticate tecniche di social engineering, che da sole inducono i clienti più ingenui a contribuire in maniera determinante alla commissione dei propositi criminosi.

Vai alla homepage dello speciale

© Of-Osservatorio finanziario – riproduzione riservata