Professionisti e Mobile Banking: cos’è, gli obblighi, i rischi, gli accorgimenti

Dal 5 giugno 2019 non è più possibile accedere al proprio conto corrente online - di qualsiasi banca o istituto di credito si tratti - con il pc e/o chiavetta O-Key, ma solo con smartphone. Apriti cielo: ma è sicuro? Come funziona? E soprattutto quali sono i rischi dell’office-banking via smartphone o altrimenti detto mobile-banking? 

computer.jpg

Il mobile banking (l'accesso al conto corrente, per le varie operazioni bancarie, da remoto, ossia via Internet) è argomento che interessa tutti, professionisti tecnici compresi. Ancor di più adesso che è ufficialmente entrata nel vivo l’attuazione della Direttiva sui pagamenti, in vigore dal 13 gennaio 2018.

I cambiamenti, finora poco tangibili alla maggior parte della clientela bancaria, stanno iniziando a coinvolgere milioni di correntisti che, in queste ultime settimane, stanno ricevendo lettere di comunicazione dalle banche per un adeguamento dei sistemi di autenticazione che talvolta modificano anche le condizioni contrattuali in termini di costi.

La rivoluzione tecnologica è necessaria per essere adeguati al regolamento delegato 389/2018 che si applicherà dal 14 settembre 2019.

Sistemi di accesso all’office banking: cos’è cambiato dal 5 giugno 2019

Una delle novità principali è "l’autenticazione forte dei clienti”, individuata dall’Eba (l’Authority bancaria europea) che definisce, tra le altre cose, gli standard di utilizzo, le esenzioni dall’autenticazione forte (quando si è in presenza di transazioni di modesto importo).

E’ importante sapere che la sostituzione “obbligatoria” dei sistemi di accesso OTP (One Time Password) comunemente noti come “chiavette” con un sistema di accesso differente – e maggiormente sicuro - è conseguenza del recepimento da parte del nostro Paese della sopracitata Direttiva Europea conosciuta come PSD2 (2366/2015): ricapitolando, entro il prossimo settembre 2019 tutte le banche italiane dovranno adeguarsi e non si tratta di una scelta discrezionale della banca.

Attenzione però, sfatiamo subito il primo 'falso mito': NON è VERO CHE NON SI PUO’ PIU’ ACCEDERE al conto corrente o spedire bonifici ed effettuare altre operazioni bancarie con il PC. E’ invece vero che E’ NECESSARIO POSSEDERE UNO SMARTPHONE per poter operare, in quanto, in funzione della cd. autenticazione forte (customer strong authentication), i nuovi sistemi di identificazione dell’utente - che possono transitare attraverso l’invio di un codice sullo smartphone, ma possono persino prevedere l’identificazione attraverso dati biometrici quali l’impronta digitale o l’iride -  elevano gli standard di sicurezza a vantaggio del correntista. 

Ora, ogni consumatore/cliente della banca valuterà la convenienza economica e la comodità nell'esecuzione di poche operazioni accedendo personalmente allo sportello bancario in confronto alla necessità di dotarsi di uno strumento idoneo per continuare a fruire dei servizi di accesso telematico al proprio rapporto bancario. Tradotto: resto nel mobile banking o no?

Entriamo nello specifico: come funziona il mobile banking

Il mobile banking permette di gestire il proprio conto tramite un’applicazione dedicata, attraverso la quale è possibile consultare il saldo, disporre bonifici, effettuare pagamenti, stampare visure e tanto altro.

Per i clienti in possesso di uno smartphone, le banche più innovative - a dire il vero quasi tutte, ormai - mettono a disposizione delle applicazioni (App) per il Mobile banking. Le App possono essere scaricate dall’App Store se si ha un iPhone e da Google Play per gli smartphone Android.

Generalmente, grazie a queste applicazioni, è possibile: consultare il saldo movimenti, disporre bonifici, giroconti, ricaricare il cellulare e pagare bollettini postali bianchi (modelli 123 e 451), premarcati (modelli 674 e 896) e MAV, RAV e REP.

I rischi del mobile banking (pishing) e le regole per stare più sicuri

Uno smartphone non è per sempre ma sa sempre tutto o quasi, di noi, compresi gli accessi ai nostri conti correnti. I rischi sono dietro l’angolo, in primis il cd. pishing: si tratta di siti fasulli, realizzati più o meno bene per riprodurre la pagina di login di una banca, che invitano a consegnare direttamente nelle mani dei truffatori i propri dati sensibili.

E’ chiaro che, a livello di privacy e sicurezza, i rischi ci siano ma esistono anche gli accorgimenti. Vediamoli:

  1. Installare soltanto le app necessarie ed esclusivamente dallo Store ufficialeE’ meglio non fidarsi delle app dalla reputazione scarsa o delle raccomandazioni di persone che non conoscete. Prima di installare un’app raccogliete informazioni sul fornitore, se non lo conoscete già. Di tanto in tanto controllate quali app usate ancora, e disinstallate quelle obsolete e quelle che non usate più: ogni app è una potenziale falla di sicurezza in più. Se è disponibile, meglio utilizzare l’app per l’e-banking ufficiale del proprio istituto finanziario piuttosto che accedere dal browser, cosa ovviamente possibile anche da postazione fissa (o da tablet).
  2. Limitare i diritti d’accesso: quando vi chiedono di "accedere a", antenne dritte. Non serve che ogni singola app acceda ai dati della posizione, alla rubrica o allo stato del telefono. Ergo, è consigliabile valutare con occhio critico se i diritti d’accesso sono realmente necessari per l’esecuzione delle funzioni e, se possibile, disattivare tutti i diritti non indispensabili. In definitiva: meglio non diffondere la propria posizione ed evitare, quindi, i servizi di localizzazione e non memorizzare le informazioni sulla posizione nelle foto che si caricano su Internet, perché potrebbero essere sfruttate da ladri e hacker.
  3. Proteggere il dispositivo mobile dagli accessi non autorizzati. Meglio attivare le impostazioni di sicurezza disponibili, ossia: blocco dello schermo tramite codice, password, impronta digitale o riconoscimento del volto. Inoltre, è consigliabile crittografare i dati presenti sul dispositivo mobile. Così facendo si impedisce alle persone non autorizzate di accedere ai vostri dati e alle vostre app con un cavetto USB. Differenziamo tra Apple e Android?
    - iPhone / iPad: in Impostazioni/Utente/Password e sicurezza potete proteggere il dispositivo con un codice numerico o una password. In Impostazioni/Touch ID e codice potete registrare le vostre impronte digitali e proteggere il dispositivo con questo sistema. Sull’iPhone X si può configurare anche il riconoscimento del volto (Impostazioni/Face ID e codice). Sull’iPhone o iPad i dati vengono memorizzati automaticamente in forma crittografata;
    - Android: a seconda del dispositivo potete configurare il blocco con codice all’interno di Impostazioni/Sicurezza. Tra le impostazioni di crittografia e dati d’accesso attivate anche la crittografia dei dati.
  4. Non memorizzare dati riservati sul dispositivo o nel cloud. Non salvate mai sul dispositivo mobile i vostri dati d’accesso, come PIN, TAN e password. Meglio disattivare anche il salvataggio automatico delle password nel browser e nello Store, oltre che il backup di questi dati nel cloud. Il backup automatico nel cloud è una funzione comoda, ma non dovrebbe comprendere le informazioni riservate. Gli altri dati, invece, come le foto, andrebbero sempre salvati su un PC/Mac o in un archivio cloud, così da non perderli in caso di smarrimento del dispositivo o infezione da malware.
  5. Consentire solo le connessioni necessarie e affidabili. Lo smartphone o il tablet possono connettersi in diversi modi alla banca o agli altri dispositivi: Wi-Fi o WLAN, NFC, Bluetooth, infrarossi, 3G/4G/5G, USB ecc. Mentre ci si connnette al servizio di e-banking è meglio disattivare tutti i tipi di connessione non necessari, compresa la localizzazione GPS. Per le connessioni WLAN utilizzate uno standard WPA2 o WPA3. Disattivate l’impostazione "Accettazione automatica delle chiamate", che potrebbe essere sfruttata per instaurare una connessione a insaputa dell’utente. E l’USB? Meglio collegare il dispositivo mobile soltanto a computer affidabili per evitare la trasmissione di malware.
  6. Bloccare immediatamente lo smartphone in caso di smarrimento. Varie app permettono di bloccare in remoto i dispositivi persi o rubati. L’operazione cancella dal dispositivo i dati personali, che quindi non saranno più consultabili. Attenzione però: questi comandi possono essere utilizzati anche da terzi malintenzionati. Quindi anche a questo proposito accertatevi di rivolgervi a un fornitore affidabile. Dopo aver bloccato il dispositivo, è consigliabile contattare anche l’operatore per far bloccare la scheda SIM.
  7. Ripristino corretto prima della vendita o della dismissione. I vostri dati non spariscono assieme allo smartphone, per cui se non volete che i dati che avete memorizzato nel dispositivo cadano nelle mani sbagliate quando lo vendete o buttate, cancellate in modo sicuro tutti i supporti di archiviazione. Naturalmente si deve anche rimuovere la scheda SIM e, se non intendete continuare a utilizzarla, distruggerla.

Frode informatica: un esempio recente. Risarcimento danni e responsabilità della banca

Riceviamo una mail dalla nostra banca (c'è il logo ufficiale) che ci chiede un aggiornamento dei dati, clicchiamo, ci autentichiamo come sempre, effettuiamo delle operazioni (nello specifico, tre bonifici per l'importo complessivo di 22.000 euro) e la frittata è fatta. Un classico caso di pishing è quello trattato dal Tribunale di Napoli nella recente sentenza 5895/2019 dello scorso 7 giugno.

Nel 'nostro' caso, i tre bonifici andati a buon fine erano stati preceduti da due bonifici di rilevante importo ma rifiutati dalla banca, tutti con lo stesso destinatario/beneficario. Una volta scoperti gli illegittimi e non autorizzati addebiti, è scattata immediata la denuncia presso le autorità competenti, che hanno dato l'avvio ad un procedimento penale, conclusosi con la condanna del responsabile per il reato di frode informatica.

Ma la colpa di chi è? Della banca? In questo caso pare di si. I danneggiati hanno proposto ricorso per risarcimento danni nei confronti dell'istituto bancario, per "l'omessa predisposizione dei sistemi di sicurezza ed attivazione delle cautele necessarie ad impedire accessi impropri al sistema informatico".

Alla fine il giudice ha dato ragione ai 'frodati', condannando la banca alla estituzione delle somme addebitate, in quanto "nel rapporto contrattuale di home-banking la banca ha la veste di contraente qualificato, che, non ignaro delle modalità di frode mediante pishing da tempo note nel settore, è tenuto ad adeguarsi all'evoluzione dei nuovi sistemi di sicurezza". 

Qui, insomma, i bonifici sono stati autorizzati "senza le dovute misure di cautela e senza assicurarsi - come doverosamente richiesto al bonus argentarius - che le disposizioni provenissero dai titolari del conto, tramite ad esempio il controllo dell'indirizzo IP normalmente utilizzato per le operazioni on line".

E ancora: secondo la corretta interpretazione del d.lgs. 11/2010 (codice bancario), se l'utente nega di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade nel prestatore di servizio. Nel contempo "obbliga quest'ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode...".

Quindi, quando la banca non risponde per i danni da pishing? Solo se dimostra che "il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo". Insomma, se si verifica un accesso non autorizzato o l'impiego di dati raccolti per finalità non conformi alla legge, "il gestore risponde ex art. 2050 c.c. Si tratta di una forma di responsabilità oggettiva aggravata, in cui il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (cosiddetta 'prova liberatoria'), ma è tenuto a fornire la prova positiva di una causa esterna".

Nel caso specifico, i ricorrenti avevano peraltro depositato agli atti una schermata mail con la dicitura 'no reply', tipica delle comunicazioni delle imprese bancarie, che invitava ai fini di aggiornamento del sistema ad inserire nel link allegato le credenziali e quindi poteva indurre - secondo il Tribunale - in errore il titolare della posta elettronica. 

LA SENTENZA INTEGRALE DEL TRIBUNALE DI NAPOLI E' DISPONIBILE IN FORMATO PDF