Ha suscitato vivo interesse, non solo tra i giuristi, ma anche tra gli esperti di tecnologia e sicurezza dell’informazione, la recente sentenza depositata il 9 agosto 2024 dal Giudice monocratico del Tribunale di Milano, Sez. VI Civile, Dott. Anna Giorgia Carbone, nell’ambito di una controversia insorta due imprese lombarde che hanno convenuto in giudizio un istituto di credito e un operatore di telecomunicazioni.

Una sentenza che ha ulteriormente stimolato il dibattito sulla cyber sicurezza (qualunque cosa questo termine voglia significare) già acceso, in questa calda stagione estiva, non solo per l’approdo di diversi provvedimenti normativi e regolamentari, ma anche per l’attività giurisprudenziale che, con sempre maggior frequenza, è chiamata a pronunciarsi su casi concreti nei quali attacchi cyber colpiscono interessi individuali.

Mentre il legislatore europeo e nazionale ha mostrato, come è giusto che fosse, uno specifico interesse ad apprestare strumenti regolatori di tutela “sistemica”, riguardo agli impatti che incidenti di significativa portata possano arrecare ad interessi collettivi e di natura pubblica, disciplinando perciò regole applicabili a specifici soggetti – operatori di servizi essenziali, infrastrutture critiche, soggetti del “Perimetro della sicurezza cibernetica nazionale”, fornitori di servizi cloud per la Pubblica Amministrazione – il giudice ordinario è invece ingaggiato per risolvere questioni relative a lesioni di posizioni soggettive, prevalentemente nell’ambito di relazioni contrattuali.

SIM Swap e accesso abusivo all’internet banking: i fatti

I fatti di causa, risalenti al dicembre del 2020, riguardavano un accesso abusivo, operato da ignoti sui conti correnti online delle due società, il cui sistema di autenticazione multifattoriale era costituito dall’invio di un codice OTP “One Time Password” inviato attraverso un SMS sull’utenza mobile registrata sul sistema della banca.

La dipendente autorizzata ad operare sui conti correnti delle due società, dovendo effettuare alcune operazioni di fine anno, non riusciva ad accedere, non ricevendo il codice OTP via SMS e contattava immediatamente il numero verde della banca per segnalare l’anomalia, ricevendo solo indicazioni di disinstallazione e reinstallazione dell’applicazione di internet banking. Risultando vano questo tentativo, la dipendente si rivolgeva ripetutamente all’assistenza dell’operatore telefonico, che riconduceva il problema ad un guasto di sistema.

Con un accertamento successivo, emergeva che erano stati effettuati diversi bonifici, non autorizzati, per ingenti somme di danaro su entrambi i conti correnti interessati.

Le indagini, le accuse e la difesa

Le successive indagini, svolte dal Compartimento di Polizia Postale e delle Comunicazioni per la Lombardia permetteva di accertare che la frode era stata compiuta attraverso la sostituzione della SIM, richiesta da un ignoto, che ha impersonato un dipendente aziendale, e che era stata ottenuta dall’operatore telefonico senza un effettivo e reale accertamento dell’identità del richiedente.

Questo modello operativo criminale, tutt’altro che nuovo, conosciuto come “SIM swap”, ha permesso all’attore illecito di ricevere le notifiche degli OTP su un altro telefono in proprio possesso, permettendo quindi di accedere ai servizi di internet banking delle due società.

Le parti lese, quindi, oltre alla denuncia penale, decidevano di convenire in giudizio anche l’istituto di credito e l’operatore telefonico, con diverse e complesse argomentazioni: da un lato, verso il provider telefonico, per non aver adottato tutte quelle pratiche di diligenza, prudenza e perizia idonee ad evitare l’evento, in particolare accertando compiutamente l’identità del richiedente la sostituzione della SIM e la verifica della corrispondenza dell’impronta grafometrica della sottoscrizione; dall’altro nei confronti dell’istituto di credito, per diverse ragioni, che attengono sia alla violazione di principi dell’ordinamento bancario, ma anche per la violazione di specifici doveri che incombono sull’istituto di credito nella sua qualità di “titolare del trattamento dei dati personali”.

La difesa della banca ha opposto l’ipotesi di una sussistenza di una responsabilità dei clienti i quali, sebbene l’istituto avesse svolto più campagne informative per sensibilizzare alla cautela nell’utilizzo dei servizi di internet banking, avrebbero disatteso tali prudenze.

Il Tribunale di Milano, in prima istanza, ha condannato sia l’istituto di credito che l’operatore telefonico al risarcimento del danno.

L’attuale quadro normativo

Due precisazioni sul punto sono d’obbligo: la prima, è che si tratta di una sentenza di primo grado e, come tale, va analizzata nel rispetto della dialettica processuale; la seconda è che per l’ordinamento bancario europeo, a seguito dell’entrata in vigore della Direttiva UE 2015/2366[1], è stabilita una specifica responsabilità in capo agli istituti di credito e prestatori di servizi di pagamento che, per espressa volontà del legislatore comunitario, “sono responsabili delle misure di sicurezza”, precisando che “Tali misure devono essere proporzionate ai relativi rischi di sicurezza. È opportuno che i prestatori di servizi di pagamento stabiliscano un quadro per attenuare i rischi e mantenere procedure efficaci di gestione degli incidenti. È opportuno mettere in atto un meccanismo di segnalazione periodica in modo da garantire che i prestatori di servizi di pagamento forniscano periodicamente alle autorità competenti una valutazione aggiornata dei rischi di sicurezza cui sono confrontati e delle misure che hanno adottato per contrastarli. Inoltre, affinché i danni agli utenti, ad altri prestatori di servizi di pagamento o ad altri sistemi di pagamento, tra cui disfunzioni sostanziali di un sistema di pagamento, siano ridotti al minimo, è essenziale che i prestatori di servizi di pagamento siano tenuti a segnalare senza indugio i principali incidenti di sicurezza alle autorità competenti”.

Il giudice, richiamando precedenti di decisioni della Corte di Cassazione, successive all’entrata in vigore della Direttiva, ha condannato anche l’istituto di credito, con una motivazione che si può riassumere nei seguenti punti:

1. spetta al “prestatore del servizio” offrire la prova di aver adottato tutti i migliori accorgimenti della tecnica volti a scongiurare il rischio di impiego fraudolento degli strumenti di pagamento e del comportamento fraudolento o gravemente colposo dell’utilizzatore. In altri termini, se l’utilizzatore dei servizi di internet banking è stato gravemente negligente o ha operato con solo, ciò deve essere specificamente provato. Nel caso di specie, la banca non ha fornito alcuna prova né del dolo né della colpa grave del cliente, tanto più che, con la truffa “SIM Swap”, il cliente non ha ricevuto nessuna comunicazione né dalla banca, né dal provider di comunicazioni di operazioni in corso;
2. l’adozione di un’autenticazione OTP via SMS, operata dalla banca, di per sé non rappresenta il massimo delle cautele tecnologicamente possibili per contrastare fenomeni fraudolenti simili, bensì il minimo della cautela pretesa dal legislatore per evitare che il prestatore di servizi di pagamento risponda in ogni caso. Aspetto questo, cruciale proprio in relazione alle previsioni della Direttiva UE 2015/2366 e che si può riassumere in questi termini: l’attività di presidio della sicurezza richiede una verifica costante dei livelli di rischio e l’adeguamento tempestivo delle contromisure alla variazione dei livelli di minaccia e delle vulnerabilità riscontrate. Ove ciò non avvenga, la banca non può invocare una sua assenza di responsabilità, perché di fatto ha violato il principio fondamentale della gestione del rischio, a fronte della debolezza dell’autenticazione a mezzo OTP via SMS;
3. le campagne informative comunque messe in campo dalla banca, non sono idonee a trasferire sul cliente la responsabilità del danno, quando il cliente non abbia gli strumenti tecnici per completare tale monitoraggio. Nel caso di specie, inoltre, il cliente aveva avvisato, ripetutamente, la banca delle anomalie;
4. la banca ha fallito nel rispetto dei principi sul trattamento dei dati personali, omettendo quelle misure di sicurezza idonee a salvaguardare, nella sua qualità di titolare del trattamento, l’interesse del cliente. Il giudice, richiamando l’art. 8 comma 1 del D. Lgs. 11/2010[2], ha ricordato l’orientamento della Cassazione secondo cui “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” e che “ La responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell’utente”.

Fin qui l’aspetto più strettamente di diritto, sul quale è giusto attendere l’evoluzione del contenzioso. Ma che implicazioni può avere questa linea di ragionamento sul dominio della sicurezza delle informazioni?

Implicazioni sul dominio della sicurezza delle informazioni

L’evoluzione della società contemporanea vede un suo pilastro ormai irrinunciabile nel dominio digitale e gli aspetti di diligenza, correttezza, buona fede e affidamento, che da sempre caratterizzano i caposaldi delle relazioni contrattuali, si adattano a questa transizione digitale.

Ormai è irrinunciabile, nelle dinamiche di un mondo in rapidissima evoluzione, il consolidamento di un modello di gestione delle tecnologie basate su una effettiva e misurabile gestione del rischio, che è strumento tecnico operativo tanto della sicurezza delle informazioni, quanto della tutela dei dati personali.

Adottare misure di sicurezza non è un’attività statica

Proprio partendo dal caso giurisprudenziale esaminato, il principio che si trae è che l’adozione di misure di sicurezza non è un’attività statica, ossia una volta adottate determinate misure, esse sono valide per sempre, né che “una misura vale per tutti”.

Il caso dell’autenticazione a mezzo OTP via SMS è emblematico: quando fu adottato per la prima volta, ormai in tempi remoti, esso apparve come un argine agli accessi abusivi a sistemi informatici basati su autenticazione monofattoriale (UserID e password), ma ben presto anche quel sistema dimostrò i suoi limiti, anche per effetti delle frodi SIM Swap.

E per questo, pur rientrando in un astratto paradigma di “autenticazione forte”, non risultava più coerente con l’evoluzione della minaccia.

La security non deve essere un’operazione al ribasso

La sicurezza delle informazioni, dunque, non è soltanto un aspetto tecnologico: per richiamare l’insegnamento di Bruce Schneier, la security è un processo e non un prodotto e, se così è, non può essere un’operazione al ribasso, dove l’obiettivo è la minima spesa o l’immutabilità semieterna delle misure di sicurezza adottate.

La security è costante adeguamento dei processi di protezione alla realtà che cambia. Gli attori malevoli, rispetto ai difensori, hanno enormi vantaggi, incluso il fatto di non essere sottoposti a vincoli normativi.

Per questo, la security richiede un approccio realistico ed efficace al rischio ed alla capacità di monitoraggio sia delle minacce esterne quanto – e diremmo soprattutto – alla gestione delle vulnerabilità.

La protezione delle informazioni e dei dati personali non è negoziabile

Come dimostrato, ancora una volta, dalla prassi giudiziaria, la protezione delle informazioni – e in particolare dei dati personali – non è un’opzione negoziabile ma è parte integrante di un dovere di protezione oggi sempre più solido nella normativa esistente, da quella sulla tutela dei dati personali (es.: artt. 5 e 32 GDPR) che per specifici settori o qualifiche di operatori, di cui il mondo bancario e finanziario è solo un esempio.

“Non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo”, come recita l’art. 40 comma 2, troverà sempre più applicazione concreta, tutte le volte in cui la sicurezza delle informazioni è chiamata a presidio di diritti e posizioni giuridiche fondamentali nell’ordinamento giuridico.

Ed è sempre più consolidato un principio fondamentale, che è quello della “responsabilizzazione” (o accountability, per gli appassionati anglofoni) che riporta direttamente ai vertici delle organizzazioni, pubbliche e private, il dovere di protezione degli interessi anche pubblici che sono coinvolti nella protezione delle informazioni, dei dati personali, dei sistemi, delle reti e delle applicazioni, come leggiamo chiaramente nell’art. 32 paragrafo 6 della Direttiva 2022/2555 (NIS 2) e ancor di più nell’art. 23 del Decreto legislativo di recepimento, in attesa di pubblicazione in Gazzetta Ufficiale.

Ve n’è anche per le autorità di controllo, oggi sempre più chiamate a un ruolo attivo e determinante per assicurare che la sicurezza delle informazioni sia seriamente presa in considerazione dalle organizzazioni e non si risolva, invece, in un’architettura “cartonata”, un insieme di procedure esistenti sulla carta ma sostanzialmente inapplicate, da tenere in bella mostra per le sole necessità di certificazione.

Ed è anche un monito per gli enti di certificazione, affinché le verifiche iniziali in sede di rilascio e quelle periodiche di mantenimento vengano condotte con occhio reale alle misure della concretezza ed efficacia e veridicità dei sistemi di gestione oggetto di certificazione.

La sicurezza delle informazioni (e non solo la cyber security) diventa sempre più parte integrante del business, elemento fondamentale e caposaldo di quella nuova nozione di “responsabilità d’impresa”, che è solo elemento non solo etico ma anche giuridico e struttura portante degli obiettivi di sostenibilità, fatti propri dalla Commissione Europea e vincolo portante per gli Stati Membri, per le istituzioni e per le imprese come elemento fondamentale dei criteri ESG.

[1] Direttiva (UE) 2015/2366 del Parlamento Europeo e del Consiglio del 25 novembre 2015 relativa ai servizi di pagamento nel mercato interno, che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, recepita in Italia con il Decreto Legislativo 15 dicembre 2017, n. 218

[2] Decreto Legislativo 27 gennaio 2010, n. 11, Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, e che abroga la direttiva 97/5/CE