Phishing: la banca ha l’obbligo di consegnare al correntista i file di log

Scritto il

Capita sempre più spesso di essere vittime di truffe informatiche. Il metodo d’attacco preferito, è il messaggio o l’email. Il mittente del messaggio sembra un’organizzazione attendibile, come la banca o la posta. Il testo ci avvisa che c’è un problema relativo al nostro account, in genere legato alla sicurezza. Per risolverlo ci invita a cliccare su un link che, però, riporta a un sito fittizio controllato dal truffatore. Difficile accorgersi della differenza, dato che la pagina riproduce fedelmente il portale dell’istituto bancario o della posta. Così l’utente inserisce i propri dati, senza rendersi conto che li sta regalando al criminale. Non solo, una volta entrati sul sito fasullo, è possibile che il nostro dispositivo venga infettato da virus, come trojan horse e malware.

Come si fa a raccogliere il materiale probatorio per riavere i soldi che il truffatore ci ha carpito con l’inganno? Che tipo di ostacoli possiamo incontrare i questa “raccolta di prove”? Vediamo di rispondere a queste domande analizzando un fatto reale.

  A seguito di un attacco di phishing portato a segno ai danni di una piccola impresa, quest’ultima ha richiesto, ai sensi dell’art. 117, commi 1 e 3, e 119, comma 1, TUB, la documentazione informatica relativa alle operazioni disconosciute, con particolare riferimento ai tracciati informatici integrali in quanto costituenti l’elemento dal quale può essere tratto il reale flusso di avvenimenti che si sono manifestati in occasione della frode.

Tuttavia, l’istituto di credito non aveva dato alcun riscontro alla richiesta e allo spirare del novantesimo giorno, così come previsto dalla normativa, l’impresa_correntista si è rivolta all’Autorità Giudiziaria al fine di ottenere la rendicontazione che la Banca avrebbe dovuto inviarle.

  Il Tribunale di Napoli (Trib. Napoli, Sez. II, 22 giugno 2023), letto il ricorso ed esaminata la documentazione ha ritenuto sussistenti i requisiti di cui agli artt. 633 e seguenti cpc (atteso che del credito è stata data prova scritta), sicché con decreto ingiuntivo munito di formula esecutiva, ha intimato (all’Istituto di credito) a consegnare i seguenti documenti:

  • I file di log firmati digitalmente e marcati temporalmente relativi all’episodio c.d. “man in the browser” subito in data 03.02.2021 dal medesimo sul proprio conto corrente;
  • Elenco storico degli accessi e delle pre-autorizzazioni, anche se non andate a buon fine relative al conto corrente indicato in oggetto;
  • Dichiarazione se sia stato da qualcuno richiesta una modifica anagrafica del cliente e in che modo tale richiesta sia stata avanzata;
  • Identificativo utente non direttamente riconducibile alla persona fisica intestataria dell’utenza; Giorno e ora della navigazione;
  • Indirizzo IP del mittente del messaggio Indirizzo IP del destinatario

  La peculiarità di detto provvedimento monitorio, consiste nel fatto che il Tribunale di Napoli ha equiparato la richiesta di produzione di un file di log relativo ad una operazione eseguita con modalità a distanza ad una “copia delle documentazione inerente singole operazioni” bancarie (art. 119, co 4 TUB).

Per comprendere meglio il provvedimento monitorio è necessario ricordare che le procedure di logging sono quelle attività attraverso cui un sistema operativo o un’applicazione registrano gli eventi e li memorizzano. Queste registrazioni sono chiamate, per l’appunto, file di log. La riga di un file di log inizia sempre con l’indicazione del momento in cui viene effettuata la registrazione, il nome del computer su cui gira il programma che ha generato il log e spesso anche il nome del programma stesso (a seconda del sistema di logging, cambia la tipologia di informazioni).

Riportando questa definizione al caso concreto e in estrema sintesi poiché con il log si ha una semplice rappresentazione di un pagamento eseguito con modalità digitali che sarà annotato nel conto corrente del correntista, talvolta, gli istituti di credito rifiutano la consegna dei file di log richiesti invocando non ben precisate disposizioni di protezione dei dati sensibili, in quanto questi file possono concorrere a dimostrare la vulnerabilità del sistema e implicare quindi una responsabilità della banca. Sul punto si deve richiamare l’art. 10 Decreto Legislativo 27 gennaio 2010, n. 11 (Prova di autenticazione ed esecuzione delle operazioni di pagamento) che recita: “1. Qualora l'((utente)) di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga  che questa non sia stata correttamente eseguita, è onere del  prestatore di servizi di pagamento provare  che  l’operazione  di  pagamento  è stata autenticata, correttamente registrata e  contabilizzata  e  che non ha subito le conseguenze  del  malfunzionamento  delle  procedure necessarie per la sua esecuzione o di altri inconvenienti”.

Questo significa che qualora il correntista neghi di aver autorizzato una operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sulla banca e pertanto il correntista ha il diritto di chiedere e ottenere, dall’istituto di credito, la restituzione dell’importo ottenuto dal truffatore.

In conclusione il decreto ingiuntivo del Tribunale di Napoli costituisce un importante decisione a favore di tutti i correntisti che in futuro dovranno ottenere dalla propria banca i documenti utili a dimostrare la non genuinità dell’operazione bancaria che sta alla base della restituzione dell’importo versato al truffatore.

(immagine web)

Pubblicato da evasimola

Il blog è diretto dalla dottoressa Eva Simola presidente dell'Associazione "Legalità Sardegna" [email protected] codice fiscale 91027470920 Cellulare +393772787190

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Privacy Policy - Personalizza tracciamento pubblicitario