di Andrea Monti – PC Professionale n. 213 dicembre 2008
Due provvedimenti del tribunale penale di Milano cominciano a mettere ordine in un fenomeno criminale complesso e ancora lontano dall’essere sconfitto. Nessun danno all’immagine e nessun risarcimento per gli investimenti in comunicazione e prevenzione può essere chiesto a chi ricicla i proventi del phishing.
Con due provvedimenti del 10 e del 15 ottobre 2008 il Giudice per le indagini preliminari di Milano ha stabilito alcuni importanti principi in materia di phishing, che sono estremamente utili sia per gli investigatori, ma soprattutto per gli utenti che hanno subito lo svuotamento del proprio conto corrente.
Con il primo provvedimento, il tribunale ha stabilito quali tipi di danni possono essere richiesti dalle banche dei correntisti vittime della truffa e dai correntisti stessi, mentre con il secondo ha affermato il principio che i “financial manager” (i soggetti che mettono a disposizione del phisher il proprio conto corrente per far sparire i soldi) devono essere processati nel luogo dove riesedono, rendendo quindi impossibile un processo unitario.
Come è noto il phishing si compone di tre parti: con la prima il malintenzionato prende conoscenza delle credenziali di accesso all’internet banking della vittima. Con la seconda il phisher trasferisce una somma sul conto del “financial manager” che – siamo alla terza fase – ritira i contanti e li spedisce da qualche parte tramite i servizi di money transfer.
Le indagini della Procura di Milano hanno fondamentalmente individuato i financial manager, ma non hanno raggiunto gli autori materiali della truffa. Dunque il processo in corso riguarda in concreto solo coloro che sono intervenuti successivamente alla sottrazione di denaro.
Nei confronti di questi soggetti, banche e correntisti hanno formulato pesanti richieste risarcitorie, ma mentre quelle dei clienti truffati sono state riconosciute valide senza problemi, quelle degli istituti di credito sono state accolte solo parzialmente.
In sede di costituzione di parte civile le banche presenti avevano richiesto il risarcimento del danno all’immagine, per l’uso illecito di nome, marchio, logo ecc., e quello per i costi sopportati per le campagne di informazione e prevenzione nei confronti della clientela.
Rispetto alla prima richiesta, il giudice ha ritenuto che il “financial manager” (o, più prosaicamente, il riciclatore di denaro sporco), intervenendo solo successivamente, non ha nessuna cognizione della provenienza dei fondi, e pertanto non può avere arrecato alcun danno all’immagine della banca. Sulla seconda domanda il tribunale ha ritenuto che “le spese sostenute dagli enti, invero, appaiono connesse al fenomeno generale ed alla obiettiva esistenza di possibilità di aggressione del patrimonio per via informatica, ma non sono di per sé riconducibili all’azione di singoli rei. Per analogia, sarebbe come sostenere che gli autori dei delitti di rapina in danno di istituti di Credito debbano rispondere civilmente delle spese sostenute per i dispositivi di sicurezza, gli allarmi, i servizi di vigilanza e simili.”. Per cui, prosegue l’ordinanza, “soltanto l’esistenza di un preciso obbligo contrattuale in capo all’istituto depositario di tenere indenne il cliente da ogni tipo – o quanto meno da questo tipo – di aggressioni alla provvista depositata potrebbe attribuire all’ente la qualità di danneggiato diretto dal reato.”. In altri termini, la banca può essere danneggiata direttamente solo se nei contratti dell’internet banking si è assunta la responsabilità di garantire il cliente da frodi informatiche (e nessuna banca lo fa, ovviamente). E’ pur vero, continua il giudice, che alcune banche presenti in giudizio hanno restituito delle somme ai correntisti, ma lo hanno fatto sulla base di valutazioni commerciali (es. conservazione del rapporto con il cliente) e non perchè avessero una qualche colpa dell’accaduto. E questo non è un danno risarcibile.
Con il secondo provvedimento il tribunale ha affrontato, invece, il problema della competenza territoriale per i processi a carico dei riciclatori e ha stabilito che ciascun imputato deve essere processato nel luogo dove si trova il suo domicilio. Il maxi processo milanese che vedeva coinvolte più di centocinquanta persone, dunque, si diluisce un una miriade di rivoli. La ragione della scelta sta, secondo il giudice, nel fatto che manca la prova di una qualche forma di “associazione strutturale” fra i phisher e i “financial manager” e pertanto costoro non possono essere processati in modo unitario perchè – allo stato – ci si trova di fronte a comportamenti individuale che dunque devono essere trattati uno per volta.
Quali indicazioni pratiche si possono trarre, soprattutto dal punto di vista del cliente truffato, da questi due provvedimenti?
La prima, molto chiara, è che la banca non è automaticamente obbligata a risarcire il correntista, a meno di uno specifico accordo contrattuale in questo senso. Anche se in realtà – ma il tribunale non entra in questo ambito – ci potrebbe essere una responsabilità della banca se le misure di sicurezza dell’internet banking non sono adeguate all’evoluzione degli attacchi.
La seconda, altrettanto evidente, è che pur denunciando la truffa subita, è difficile riuscire a ottenere la restituzione delle somme sottratte. Il phisher, infatti, è sistematicamente irreperibile (e nemmeno identificato), mentre il “financial manager” – l’unico “a tiro” degli investigatori – potrebbe non essere nelle condizioni di risarcire alcunché.
La terza, è che i costi dell’azione legale si preannunciano abbastanza consistenti e altrettanto non recuperabili, per cui c’è anche il rischio di aggiungere il danno di dover sopportare ancora spese, alla beffa di essere stati truffati.
Possibly Related Posts:
- Dentro il G-Cans
- Chatbot troppo umani, i rischi che corriamo
- Qual è il significato geopolitico del sistema operativo Huawei Harmony OS Next
- TeamLab Planets: da Tokyo la fuga verso i mondi della mente
- Chi ci protegge dal dossieraggio tecnologico?