Il tribunale di Milano (VI Sezione Civile) ha condannato a un ingente risarcimento economico un importante istituto bancario italiano e uno dei principali operatori di telefonia in relazione a un’operazione di phishing commessa attraverso il cosiddetto SIM Swap, cioè l’ottenimento di una copia della SIM della vittima e il conseguente dirottamento dei codici di autenticazione e sicurezza sullo smartphone del truffatore.
Le vittime del raggiro, difese dagli avvocati Andrea Monti e Lorenzo Vigasio, hanno subìto un danno di circa 200mila euro e la sentenza (che è comunque ancora appellabile) è importante soprattutto perché mette nero su bianco alcuni punti fondamentali:
- che l’autenticazione via smartphone adottata dalla banca coinvolta era “il minimo indispensabile” per garantire la sicurezza dell’accesso ma non “il massimo possibile” (si poteva fare decisamente meglio, detto in parole povere);
- allo stesso modo, lo standard delle procedure adottate dall’operatore telefonico per rilasciare il duplicato della SIM non era sufficiente per stabilire se il richiedente ne avesse davvero diritto (se fosse la persona che diceva di essere, insomma), cosa che ha permesso al malintenzionato di rubare l’identità delle vittime e commettere la frode.
Ancora, come si capisce leggendo il testo del pronunciamento: non sarebbe sufficiente avere messo in piedi campagne informative sul phishing e sui rischi che si corrono online perché “tali comportamenti, benché indispensabili per la creazione di una cultura che renda i consumatori più avveduti rispetto ai pericoli connessi con l’operatività bancaria e in particolare con l’operatività online, sono inidonei a evitare la perpetrazione di questo tipo di frodi, tenuto conto di come la mail o l’informativa sul sito del fornitore del servizio di pagamento delle modalità di esecuzione delle frodi online non dà alcuna garanzia di lettura e comprensione effettiva da parte del cliente né dà garanzia del riconoscimento effettivo dei tentativi di truffa”.
Semplificando: non basta mandare ai clienti o pubblicare sul proprio sito pagine e pagine di informazioni sulle possibili truffe (informazioni che fra l’altro la stragrande maggioranza delle persone nemmeno legge) per dire che si è fatto il possibile per proteggere i propri clienti dal crimine informatico. Non è sufficiente, secondo quanto stabilito dalla giudice.
Come è noto, in Italia ogni caso fa storia a sé, quindi non è che questa sentenza crei un precedente. E però almeno un campanello d’allarme dovrebbe farlo suonare: la decisione è importante perché fissa criteri molto chiari sugli obblighi di sicurezza che dovrebbero essere osservati da chi custodisce la vita digitale delle persone, non solo negli aspetti economici, ma anche e soprattutto in quelli legati all’interazione con i servizi digitali di amministrazioni ed enti. Pensando in particolare a IT Wallet e al Fascicolo Sanitario Elettronico e alla possibilità di conservare online molta parte dei nostri documenti o dei nostri dati sensibili, il punto è passare da strumenti e procedure di protezione che sono “il minimo indispensabile” ad altri che siano davvero “il massimo possibile”. Che è una cosa che fra l’altro stabilisce pure il garante della Privacy.
Fonte : Repubblica