La truffa informatico-bancaria c.d. “man in the browser”

Recentemente, in ambito bancario, si sta assistendo al riproporsi di una minaccia informatica particolarmente insidiosa, in grado di realizzare una truffa capace di sorprendere anche gli utenti più esperti.

Un virus informatico (malware) può infettare i browser utilizzati dagli utenti per accedere ai sistemi di “home banking” di specifici istituti di credito e dirottare indebitamente i fondi trasferiti nell’ambito di transazioni associate a disposizioni di pagamento.

L’azione del malware, dotato di sofisticate capacità di occultamento ed elusione dei sistemi antivirus, è quella di interporsi nel dialogo informatico tra l’utente e l’istituto di credito, alterando i dati inviati e ricevuti.

L’utente è convinto di autorizzare la propria disposizione di pagamento, in realtà il malware ne altera i contenuti (nome del beneficiario, IBAN del beneficiario e causale) e sfruttando l’autenticazione dell’utente, sottopone la transazione manipolata all’istituto di credito che la recepisce come corretta.

Il beneficiario finale è evidentemente un prestanome, complice della truffa che, prontamente allertato, provvede ad occultare i fondi indebitamente sottratti.

Il malware è in grado di alterare anche le conferme rilasciate dall’istituto di credito (comprese le contabili prodotte all’esito dell’operazione) e, pertanto, l’utente è lecitamente convinto che la propria transazione sia andata a buon fine.

Quando l’utente assume cognizione dell’accaduto (per avviso da parte del creditore o per verifica del proprio estratto conto), anche all’esito di una querela contro ignoti presentata alle Autorità competenti e del disconoscimento dell’operazione di pagamento presentato all’istituto di credito, si avvia un difficile rapporto per il ristoro dei fondi dirottati.

L’istituto di credito provvede inizialmente al riaccredito dei fondi, “salvo buon fine” delle verifiche interne sui propri sistemi informatici che, tipicamente, hanno esito negativo in quanto, come già indicato, l’istituto di credito ha elaborato una transazione correttamente autenticata dall’utente e non può aver cognizione che i dati al suo interno siano stati alterati ad opera di un malware, pertanto non ammette che il proprio sistema di sicurezza sia stato compromesso.

L’istituto di credito, a questo punto, propone un ristoro parziale dei fondi (tra il 40% ed il 60% dell’ammontare complessivo dell’operazione).

Prima di accettare, l’utente deve essere correttamente informato che la disciplina bancaria (D.Lgs. 11/2010 successivamente modificato dal D. Lgs. 218/2017) prevede, in particolare all’art. 10, 1° comma, che «qualora l’utente dei servizi di pagamento (cliente) neghi di aver autorizzato un’operazione di pagamento, è onere del prestatore di servizi (istituto di credito) provare che l’avvenuta operazione di pagamento (…) non ha subito il malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti».

Inoltre il 2° comma, prosegue specificando che «è onere dell’intermediario (istituto di credito) fornire la prova della frode, del dolo o della colpa grave in capo all’utente».

Sul tema la stessa Banca d’Italia si è espressa, evidenziando che un malware “man in the browser” è «capace di sorprendere la buona fede anche di un pur normalmente attento fruitore del servizio» così da risultare «difficilmente individuabile e neutralizzabile anche dai più evoluti ed efficienti sistemi antivirus».

Pertanto in questi casi «deve ritenersi che il correntista sia caduto in una “trappola” particolarmente insidiosa e sicuramente ardua per poter essere rilevata da un soggetto non particolarmente esperto (ABF Collegio di Roma, decisione n. 516 del 28/01/2013), il che esclude il la sussistenza della fattispecie di “colpa grave” a carico del correntista» (ABF Collegio di Milano, decisione n. 1363 del 7/3/2014).

Per approfondimenti  sulla tematica e per una consulenza specifica, è possibile contattarci compilando il form