Nuova truffa ai conti online “man in the browser”: come difendersi

Truffe on line ai danni del conto corrente con operatività on line: MITB e l’interposizione di un malware; la responsabilità della banca solo se non c’è la colpa grave del correntista.

Si chiama MITB o “Man in the browser” ed è la nuova frontiera degli hackers per rubare le credenziali di accesso ai conti correnti online. Il cyber criminale riesce a installare un codice maligno ”dormiente” all’interno del PC delle vittime; il codice trasmette, a chi lo comanda da lontano, tutte le informazioni riservate per accedere agli account online del malcapitato.

Facciamo un esempio: Tizio accede al proprio servizio di banca online per fare un bonifico a favore di Caio di 100 euro. A tal scopo egli accede alla homepage del proprio istituto di credito e digita le credenziali di accesso (username e password).

Tizio è convinto di interagire con i servizi bancari del proprio istituto di credito; in realtà, il browser con cui sta navigando in internet è infetto e riesce ad intercettare e a modificare le operazioni impartite alla banca online. Con la conseguenza che Tizio si vedrà addebitato sul proprio conto un bonifico di 5000 euro a favore di una società sconosciuta.

Tramite il browser infetto, Tizio ha disposto una transazione finanziaria a beneficio di Caio, ma il malware ha registrato e modificato le operazioni impartite da Tizio e inoltrato alla banca un diverso ordinativo.

L’ultima parte della truffa è un’opera d’ingegneria informatica. La banca riceve la disposizione di bonifico di 5000 euro e invia le consuete comunicazioni di riepilogo e la richiesta di conferma. Il malware le intercetta e le modifica, in maniera tale che a Tizio non se ne accorga e legga solo il riepilogo e la richiesta di conferma della sua operazione di 100 Euro.

Come difendersi

Una recente sentenza dell’Arbitro Bancario e Finanziario [1] ha chiarito quali sono, in questi casi, le responsabilità della banca e quali quelle del correntista.

Se il titolare di un conto corrente on line è vittima della truffa “Man in the Browser”, la banca è responsabile (e, quindi, deve restituire il denaro “trafugato” al proprio cliente) salvo che riesca a dimostrare, in giudizio, la colpa grave del titolare del conto [2].

Ma quando si può dire che vi è stata una “colpa grave” da parte del cliente?

Bisogna far riferimento a un criterio di “media diligenza” e porsi nella condizione di chi non è necessariamente un esperto del settore, dotato cioè di quelle cognizioni tecniche tali da poter riconoscere, immediatamente, una truffa online.

Per esempio: se si accerta che la truffa è avvenuta perché l’utente ha inserito la propria username e password non sulla pagina web della banca, ma su una maschera “fake” di login, che si è interposta fra il PC del cliente e la pagina stessa di login, allora – chiarisce l’ABF – si può ritenere che il correntista sia caduto in una trappola particolarmente insidiosa e sicuramente ardua per poter essere rilevata da un soggetto non particolarmente esperto del settore [3]. Ciò esclude che si possa parlare di “colpa grave” del correntista. Con la conseguenza che la banca è tenuta al risarcimento.

Se poi la banca, nell’ambito della gestione online dei conti correnti, ha attivato il cosiddetto servizio di “sms alert” deve renderlo operativo e perfettamente funzionante per il singolo correntista. Cosicché, l’eventuale mancata attivazione del servizio di sms alert costituisce un ulteriore indice della negligenza dell’istituto di credito nell’esecuzione della prestazione oggetto del contratto.

In pratica, è la banca che deve porre in essere tutte quelle attività strumentali necessarie ad evitare il pericolo di truffe e a garantire il cliente.