0 Flares 0 Flares ×

Sono sempre più frequenti le mail di phishing, cioè quelle in cui truffatori inviano messaggi fingendo che il mittente sia la “vera” banca, allo scopo di farsi consegnare le password di accesso al conto, allo scopo di poter effettuare prelievi di denaro (ma a volte anche solo per farlo transitare, a scopo di riciclaggio).

Nel caso in cui i truffatori raggiungano il loro scopo, e sottraggano le password al cliente — magari usandole poi per fare dei prelievi — la banca può essere considerata corresponsabile? In alcuni casi sì, come mostra il caso riportato qualche settimana fa anche su Zeus News:

Un cliente di un importante istituto bancario, con sede di Parma, aveva ingenuamente risposto a un messaggio di posta elettronica che invitava il titolare del medesimo conto a fornire il proprio codice.

Il cliente, immediatamente dopo l’operazione effettuata, non riusciva più a entrare nel sito della sua banca, scoprendo che ignoti avevano prelevato dal suo conto una somma di denaro grazie all’uso del suo codice.

[…]

Il titolare del conto corrente, pur essendo stato riconosciuto in parte responsabile dell’accaduto per non avere diligentemente custodito il codice, è stato risarcito per non essere stato adeguatamente informato dalla società della quale era cliente in merito ai rischi connessi alle operazioni bancarie effettuate in via telematica.

Ai fini pratici, la responsabilità della diligente custodia delle credenziali di accesso è sempre a carico del cliente. La banca , nei casi di phishing può essere tenuta ad un risarcimento solo in due eventualità:

  • che non abbia informato dei rischi, come in questo caso — ma vale la pena sottolineare che questa è un’eventualità sempre più rara: infatti basta che ci sia qualche “riga piccola” dove viene detto che l’utente è responsabile della custodia delle password
  • che non abbia attivato sistemi di protezione adeguati. Username e password sono ormai insufficienti a fare sì che l’accesso sia sicuro: è preferibile la presenza di una password dispositiva, cioè da utilizzare per effettuare transazioni, e non utilizzata per il login. Anche i sistemi a doppio step di accesso, come quello adottato da Conto Arancio, possono essere efficaci: in questo caso, l’utente digita due codici (ad esempio, codice cliente e data di nascita) per essere portato in una seconda pagina dove gli viene mostrato che è stato identificato (e quindi si trova all’interno dell’ambiente legittimo, e non di una “copia”), mostrandogli dati personali ma non sensibili (nome e iniziale del cognome, nel caso di Conto Arancio), e dove inserisce la password per l’accesso effettivo al conto. Il metodo più sicuro è ad ogni modo quello del token, dato che generando codici “monouso”, anche in caso che questo codice fosse sottratto, sarebbe di nessuna utilità.

Banche e Risparmio [http://www.banknoise.com]

Comments

Comments are closed.