Attacco a Unicredit, il giorno dopo. E’ il momento dell’analisi. Quali rischi corre uno dei 400.000 clienti della banca i cui dati sarebbero stati violati dall’intrusione informatica ai danni dell’istituto di piazza Gae Aulenti?
Unicredit ha precisato “che non è stato acquisito nessun dato, quali le password, che possa consentire l’accesso ai conti dei clienti o che permetta transazioni non autorizzate. Potrebbe invece essere avvenuto l’accesso ad alcuni dati anagrafici e ai codici Iban”.
Cosa si rischia
Secondo gli esperti di cybersicurezza, attraverso i dati anagrafici e i codici Iban l’accesso ai conti correnti non è effettivamente possibile, ma tali dati rendono possibile il cosiddetto phishing, ossia che le persone vengano contattate via mail o telefono da soggetti che fingendosi la banca chiedono di inserire le proprie credenziali (come username e password) in un sito dalle fattezze che ricordano quello originale delle banca, ma che in realtà è un sito civetta. Una volta in possesso delle credenziali, per tali soggetti sarebbe molto più facile effettuare l’accesso ai conti, anche se non esattamente un gioco da ragazzi, visto che ogni funzione dispositiva viene abilitata da un codice generato istantaneamente in favore esclusivo del cliente al momento dell’operazione.
Gli esperti segnalano comunque come occorra essere molto più guardinghi rispetto a qualsiasi comunicazione che arrivi dalla banca via telefono o via mail, ma anche eventualmente attraverso la posta tradizionale se tra i dati trafugati vi dovessero essere anche gli indirizzi fisici.
Chi è responsabile
L’orientamento della giurisprudenza è piuttosto unanime nel ritenere la banca responsabile in caso di danni a clienti derivanti da intrusioni informatiche. Ecco di seguito la sintesi di una serie di sentenze in proposito, selezionate tra quelle raccolte dal sito laleggepertutti.it:
- Trib. Roma, sent. n. 16221/16 del 31.08.2016
Se l’hacker riesce ad entrare nel conto corrente della vittima e a provocare ammanchi, sfruttando l’inesperienza di quest’ultima, la banca è responsabile per non aver predisposto sistemi di controllo e di prevenzione ed è, pertanto, tenuta a rimborsare la somma sottratta al proprio cliente. - Cassazione sent. n. 10638/2016
Al correntista abilitato a svolgere operazioni online che agisca per l’abusiva utilizzazione delle sue credenziali informatiche, spetta soltanto la prova del danno riferibile al trattamento del suo dato personale.
[…]
Se il correntista riesce a provare il danno subito riferibile al trattamento del suo dato personale e disconosce le operazioni bancarie scatta sull’istituto bancario l’obbligo di dimostrare l’adeguatezza del proprio sistema informatico se non vuole risarcire i danni.
[…]
L’istituto bancario risponde, invece, quale titolare del trattamento, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d’accesso del correntista, ove non dimostri che l’evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore. - Codice della Privacy
Nei casi di phishing, chiunque causi un danno per effetto del trattamento dei dati personali è tenuto al risarcimento dei danni anche se non ha alcuna colpa o non è in malafede (responsabilità oggettiva per il solo fatto di svolgere l’attività di gestione del risparmio online). - Trib. Caltanissetta sent. n. 495/2014 del 3.11.2014
Una parziale eccezione è stata rilevata dal Tribunale di Caltanissetta nel 2014, che ha chiarito che il cliente deve comunque avere la diligenza di accorgersi di ammanchi particolarmente rilevanti in modo da richiedere immediatamente il blocco del servizio di home banking.