Phishing: la banca può essere considerata responsabile? - Le news più strane

Sono sempre più frequenti le mail di phishing, cioè quelle in cui truffatori inviano messaggi fingendo che il mittente sia la “vera” banca, allo scopo di farsi consegnare le password di accesso al conto, allo scopo di poter effettuare prelievi di denaro (ma a volte anche solo per farlo transitare, a scopo di riciclaggio).
Nel caso in cui i truffatori raggiungano il loro scopo, e sottraggano le password al cliente — magari usandole poi per fare dei prelievi — la banca può essere considerata corresponsabile? In alcuni casi sì, come mostra il caso riportato qualche settimana fa anche su Zeus News:

Un cliente di un importante istituto bancario, con sede di Parma, aveva ingenuamente risposto a un messaggio di posta elettronica che invitava il titolare del medesimo conto a fornire il proprio codice.
Il cliente, immediatamente dopo l’operazione effettuata, non riusciva più a entrare nel sito della sua banca, scoprendo che ignoti avevano prelevato dal suo conto una somma di denaro grazie all’uso del suo codice.
[…]
Il titolare del conto corrente, pur essendo stato riconosciuto in parte responsabile dell’accaduto per non avere diligentemente custodito il codice, è stato risarcito per non essere stato adeguatamente informato dalla società della quale era cliente in merito ai rischi connessi alle operazioni bancarie effettuate in via telematica.

Ai fini pratici, la responsabilità della diligente custodia delle credenziali di accesso è sempre a carico del cliente. La banca , nei casi di phishing può essere tenuta ad un risarcimento solo in due eventualità:

che non abbia informato dei rischi, come in questo caso — ma vale la pena sottolineare che questa è un’eventualità sempre più rara: infatti basta che ci sia qualche “riga piccola” dove viene detto che l’utente è responsabile della custodia delle password
che non abbia attivato sistemi di protezione adeguati. Username e password sono ormai insufficienti a fare sì che l’accesso sia sicuro: è preferibile la presenza di una password dispositiva, cioè da utilizzare per effettuare transazioni, e non utilizzata per il login. Anche i sistemi a doppio step di accesso, come quello adottato da Conto Arancio, possono essere efficaci: in questo caso, l’utente digita due codici (ad esempio, codice cliente e data di nascita) per essere portato in una seconda pagina dove gli viene mostrato che è stato identificato (e quindi si trova all’interno dell’ambiente legittimo, e non di una “copia”), mostrandogli dati personali ma non sensibili (nome e iniziale del cognome, nel caso di Conto Arancio), e dove inserisce la password per l’accesso effettivo al conto. Il metodo più sicuro è ad ogni modo quello del token, dato che generando codici “monouso”, anche in caso che questo codice fosse sottratto, sarebbe di nessuna utilità.

Banche e Risparmio [http://www.banknoise.com]

Cookie	Durata	Descrizione
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MarketGidStorage	session	This cookie is used to set an unique ID for the visitor which helps third-party advertisers to target the visitors with relevant advertisements. This facility is provided by the third party advertising hubs which provide real time bidding for the advertisers.
muidn	16 years 16 days 19 hours 14 minutes	This cookie is used to set an unique ID for the visitor. This helps third party advertisers to serve the visitor with relevant advertisement.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.

1 commento