L’home banking, o sportello bancario digitale, è ormai diventata una pratica entrata nella quotidianità di quasi tutti i titolari di conto corrente in Italia. Questa tecnologia, attraverso processi di verifica a due fattori o altri meccanismi di sicurezza, permette di effettuare diverse operazioni bancarie, come fosse una filiale, senza però il fastidio di doversi sorbire ore di fila agli sportelli delle banche fisiche. Oltre agli indubbi vantaggi, questa tecnologia (come del resto ogni tecnologia informatica) nasconde delle vulnerabilità e delle insidie, essendo esposta ad attacchi informatici di ogni tipo da parte di malintenzionati interessati ai nostri risparmi. Una volta ottenuto l’accesso alla nostra app di home banking, infatti, per gli hacker sarà semplice effettuare le stesse operazioni che possiamo fare noi, prosciugando in un attimo il conto corrente di tutto il suo contenuto. 

Il meccanismo più gettonato da parte dei malintenzionati e dai criminali informatici è la tecnica del phishing, un tipo di truffa particolarmente diffuso fra messaggi di testo come gli SMS, le mail e i link fasulli. In particolare, gli hacker inviano alle loro vittime, ovviamente correntisti, messaggi di posta elettronica fasulli, in tutto e per tutto somiglianti agli originali del proprio istituto di credito (il più “piratato” è senza dubbio Poste Italiane); l’utente ignaro, persuaso dal contenuto del messaggio, che spesso chiede di inserire le proprie credenziali online per una presunta (quanto fasulla) problematica di carattere finanziario, clicca sul link. Il collegamento, tuttavia, non porta sul vero sito della banca, ma su un portale truffa creato sul calco dell’originale, su cui il correntista inserisce le proprie credenziali. Una volta cliccato sul pulsante di conferma, l’hacker che ha creato il sito fake riceve queste credenziali sul proprio dispositivo, potendole utilizzare liberamente per prosciugare il conto corrente del malcapitato. 

Cosa può fare la vittima della truffa per ottenere indietro il proprio denaro? Ci si può rivalere contro il proprio istituto di credito per questo genere di furti informatici? La sentenza n. 806/2016 della Corte di Cassazione ha configurato le fattispecie di questa possibilità, riconoscendo determinate responsabilità imputabili a quelle banche i cui correntisti sono state vittime di phishing. I clienti degli istituti di credito hanno diritto al rimborso di quanto sottrattogli da un hacker, a condizione di riuscire a dimostrare in sede di giudizio che la propria banca ha omesso di attivare sistemi idonei di prevenzione del furto nella modalità di gestione digitale del conto corrente. È dunque pieno diritto del correntista chiedere il rimborso della somma al proprio istituto di credito in via stragiudiziale e, in subordine, è possibile rivolgersi al tribunale competente qualora tale diritto non gli venga riconosciuto.  

L’unico dovere in capo al cliente della banca è quello di dichiarare, all’interno della denuncia, l’utilizzo non autorizzato da parte di terzi delle proprie credenziali online. La banca, oltre risarcire il correntista, è tenuta a rispondere dell’uso improprio dei dati sensibili del proprio cliente. Per l’istituto di credito, l’unica possibilità di negare il rimborso al proprio cliente è dimostrare che questi abbia diffuso incautamente le proprie credenziali nonostante i meccanismi di sicurezza messi in atto. 

Tweet