I fatti che stiamo per raccontare risalgono all’estate del 2020 e, come riporta Il Sole 24 Ore, la Sezione VI del Tribunale di Milano è giunta a riconoscere la responsabilità in solido di Bper Banca e Tim. Al momento in cui stiamo scrivendo la sentenza non è ancora reperibile online.

In sintesi, il Tribunale di Milano ha ribadito che la responsabilità della sicurezza delle piattaforme di home banking è oggettiva e la banca, per essere sollevata dall’obbligo di rimborso, deve dimostrare il dolo o la colpa grave dei clienti vittime di truffa.

Ciò che è accaduto è un caso limite ma il risultato rientra in una certa canonicità: due imprese milanesi hanno subito una serie di truffe per un totale di 163mila euro e, nello spiegare perché il Tribunale ha dato torto a Bper e a Tim, ci avvaliamo del parere di Salvatore Lombardo, funzionario informatico ed esperto ICT.

La diatriba e il ruolo di Bper e Tim

La giustizia ritorna ciclicamente sulle responsabilità delle banche in materia di truffe online, nel caso specifico, però, gli attori coinvolti sono due, ossia l’istituto di credito e TIM.

Non è chiaro se le credenziali d’accesso al servizio bancario (codice utente e password) siano state trafugate magari con tecniche di phishing o siano state consegnate volutamente ai truffatori, la parte più interessante riguarda il modo in cui questi ultimi sono entrati in possesso di una Sim telefonica per ricevere i codici Otp – i codici utilizzabili una sola volta – per completare la procedura di accesso alla piattaforma bancaria.

I malfattori si sono recati presso un punto di assistenza Tim e hanno ottenuto una copia della Sim presentando dei documenti falsi. L’operatore telefonico non ha preteso né la restituzione della vecchia Sim né la copia della denuncia di smarrimento e, a partire dal momento in cui la nuova Sim è diventata operativa, i codici OTP sono stati trasmessi direttamente ai truffatori.

Un’anomalia che una dipendente delle due aziende truffate ha comunicato al servizio clienti della banca ricevendo risposte non risolutive quali la necessità di reinstallare l’app per ripristinarne il funzionamento.

Telco e comparto bancario dovrebbero trainare il Paese e, come questo caso dimostra, sono a volte compartecipi nel mantenerlo saldamente nella parte bassa di qualsiasi graduatoria internazionale abbia a che fare con il digitale.

Peggio ancora: Bper a processo ha invocato la responsabilità dei clienti sostenendo che diversi dipendenti disponevano delle credenziali d’accesso alla piattaforma di home banking. Una teoria che il Tribunale ha rigettato in virtù della sentenza della Cassazione 10638/2016 per la quale la banca viene sollevata dalle responsabilità soltanto se sono attuate “tutte le misure idonee a evitare il danno secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle caratteristiche specifiche del trattamento”.

Inoltre, sottolinea il Tribunale meneghino, la banca era stata avvertita più volte dell’anomalia riscontrata e questo toglie ossigeno alla teoria della responsabilità delle aziende clienti, per altro completamente abbandonate a loro stesse sia da Bper sia da Tim.

Bper aveva proposto un rimborso del 50% dei 163mila euro sottratti e ancora peggio è riuscita a fare Tim, disposta a erogare un contribuito di 325 euro (lo 0,002% della somma).

Quali considerazioni trarre e come difendersi

Quello esposto sopra è un caso limite, non giustifica allarmismi ma esige consapevolezza.

L’invio di codici OTP via smartphone è l’anello debole che ha permesso ai truffatori (complice la leggerezza del punto di assistenza TIM) di arricchirsi. Un token fisico, quei dispositivi hardware con un piccolo display che rilasciano un numero utile alla procedura di login alle piattaforme, avrebbe evitato il peggio.

Con il supporto di Salvatore Lombardo entriamo nei meandri delle politiche attuate dalle banche: “Per quanto riguarda l’uso degli smartphone per l’invio dei codici OTP, ci sono diversi fattori in gioco che ne favoriscono l’impiego rispetto all’uso di token fisici:

• La comodità: gli smartphone sono sempre a portata di mano e la maggior parte delle persone li utilizza quotidianamente.
• Il costo: implementare e distribuire token fisici come RSA SecureID può essere costoso per le banche.
• L’accessibilità: Non tutti gli utenti potrebbero essere a proprio agio con l’uso di token fisici, mentre gli smartphone sono ormai diffusi.

Detto questo, alcune banche stanno comunque iniziando a offrire opzioni più sicure con app di autenticazione. Resta comunque sempre una buona idea chiedere alla propria banca quali misure di sicurezza aggiuntive possa offrire”.

Emerge, ancora una volta, un problema culturale. Gli utenti vogliono la comodità e, se dal punto di vista pratico non c’è niente di sbagliato, la vera comodità è la certezza di non essere alleggeriti dai truffatori. I token fisici hanno le dimensioni di un accendino, non necessitano cavi e si usano premendo un pulsante. Non corrispondono in alcun modo a qualcosa di veramente scomodo.

È certamente vero che implementare un sistema di sicurezza basato su token fisici rappresenta un costo per le banche e, anche questo, rientra nella sfera della cultura della cyber security che è sì un costo così come lo è ogni investimento.

Inoltre, nel caso specifico di Bper Banca, devono essere considerati due elementi. Il primo riguarda la scarsa assistenza data alle imprese clienti che, pure avendo avvertito dell’anomalia, non sono state ascoltate. Anche il servizio clienti è un costo e più i clienti vengono abbandonati a loro stessi, più il costo appare ingiustificato.

Non da ultimo, se Bper avesse dotato i propri clienti di token fisici, il dibattimento in aula avrebbe preso una piega diversa, perché sarebbe stato più facile dimostrare una certa negligenza da parte delle aziende truffate.

Infine, Salvatore Lombardo spiega come limitare i rischi: “Confidando sempre nell’attuazione di più servizi di sicurezza possibili messi in atto dai gestori di telecomunicazione (con regole più stringenti per ottenere una sostituzione Sim), per proteggersi e ridurre le possibilità di cadere vittima di una truffa Sim swap, è consigliabile limitare la condivisione in rete di informazioni personali, evitando di pubblicare estremi, contatti e dettagli di vita quotidiana e di riconsiderare le modalità di autenticazione 2FA con conferme Sms/chiamate sostituendole quando possibile con altre basate su app oppure dispositivi hardware, più difficili da compromettere”.