A cura di Enzo Bacciardi – Area Contenzioso Internazionale
Scarica l’articolo in formato stampabile .pdf
Ci vengono sottoposti con crescente ricorrenza casi di frodi informatiche poste in essere da hacker che prima dirottano e poi trafugano pagamenti internazionali.
Le tecniche ad oggi più utilizzate per dirottare il pagamento dall’acquirente al venditore sono il phishing, l’installazione di virus (es. trojan) e la tecnica del c.d. man in the middle.
Più ricorrentemente, l’hacker (man in the middle) si inserisce nel rapporto tra venditore e acquirente:
- entra nel sistema del venditore che deve ricevere un pagamento dall’acquirente;
- si appropria e/o riproduce l’account di posta elettronica del venditore;
- scrive un’email all’acquirente, apparentemente proveniente dal venditore, comunicandogli che il venditore ha modificato e/o sostituito il proprio conto corrente, e fornisce un nuovo IBAN, chiedendo di eseguire il pagamento alle nuove coordinate;
- nel comunicare la modifica del conto corrente l’hacker adduce solitamente ragioni di apparente credibilità.
Di conseguenza, l’acquirente esegue le nuove istruzioni di pagamento ma, una volta effettuato il bonifico al nuovo e sostitutivo IBAN, il venditore non riceve l’accredito.
Perché l’acquirente truffato che ha pagato risulta inadempiente
La ragione del mancato accredito è riconducibile al fatto che l’email contenente le istruzioni di pagamento non è stata trasmessa dall’account del venditore, bensì da un account fittizio appositamente creato dall’hacker che dissimula quello del venditore. Il pagamento perviene, infatti, al nuovo conto corrente nella disponibilità dell’hacker e per l’ignaro acquirente risulterà molto difficile recuperare l’ammontare bonificato sul conto corrente del falso venditore, in quanto, di solito, l’hacker ritira immediatamente o trasferisce su conto estero il denaro ricevuto.
Dal punto di vista legale – senza addentrarci in complesse analisi normative sulla legge applicabile alla fattispecie – il mancato accredito al venditore integra quasi sempre un inadempimento contrattuale imputabile all’acquirente truffato, che non è liberato in forza del pagamento eseguito all’hacker, per cui sarà tenuto ad eseguire un nuovo pagamento per estinguere la propria obbligazione nei confronti del venditore.
Come si riduce il rischio di hackeraggio
E quindi quali sono le misure da adottare per eliminare o ridurre il rischio di intrusione da parte di hacker e, conseguentemente, il rischio di dirottamento dei pagamenti?
La precauzione più immediata, semplice ma efficace, nel caso in cui si riceva da una propria controparte contrattuale un’email contenente una comunicazione di variazione dell’anagrafica di pagamento o una richiesta di pagamento su un conto corrente diverso da quello usuale, è quella di accertare per via telefonica la genuinità dell’email ricevuta e della modifica delle disposizioni di pagamento.
Quando si verifica l’addebito di responsabilità in capo al venditore
Va, in ogni caso, tenuto presente che il venditore non sarà sempre e completamente esentato da responsabilità nei confronti dell’acquirente truffato.
Infatti, nel caso in cui sia stato hackerato il sistema informatico del venditore, ovvero nel caso in cui l’hacker abbia fatto intrusione nel sistema del venditore e abbia prelevato i dati utilizzati per perpetrare la truffa nei confronti dell’acquirente, lo stesso acquirente potrebbe invocare la responsabilità, concorrente o esclusiva, del venditore per non aver sufficientemente protetto i dati dell’acquirente e aver reso possibile l’intrusione dell’hacker e la perpetrazione della truffa.
A fronte di tale responsabilità, l’acquirente potrebbe rifiutarsi di reiterare il pagamento dirottato dall’hacker.
Il suddetto addebito di responsabilità è supportato dall’art. 1189 codice civile, secondo il quale “Il debitore che esegue il pagamento a chi appare legittimato a riceverlo in base a circostanze univoche, è liberato se prova di essere stato in buona fede”; e a maggior ragione il debitore è liberato, qualora a determinare il suo errore nell’identificazione del creditore apparente sia stato un fatto e/o un comportamento colposo addebitale al creditore effettivo, come quello di non avere sufficientemente protetto i dati del proprio sistema informatico.
Infatti, l’art. 82 del GDPR prevede che chiunque subisca un danno causato da una violazione del Regolamento ha diritto al risarcimento del danno.
Quali sono le tutele da adottare
Per tale ragione è oltremodo necessario che le aziende si dotino di efficaci strumenti di cybersecurity nonché di procedure operative particolarmente stringenti, anche per evitare di incorrere in gravi violazioni della normativa sulla privacy (GDPR) e di subire, oltre al danno della truffa, anche l’irrogazione di una possibile sanzione per violazione di dati personali (data breach).
La responsabilità della banca
Altre linee di tutela potrebbero essere rivolte da parte dell’acquirente truffato nei confronti della banca in cui l’hacker ha aperto il nuovo conto corrente e sul quale l’acquirente truffato ha eseguito il pagamento.
In base alle previsioni della normativa bancaria, la banca non è responsabile della mancata o inesatta esecuzione del pagamento se l’acquirente, che ordina il bonifico, fornisce un IBAN inesatto o altre informazioni inesatte.
Ma l’acquirente potrebbe chiedere conto, alla banca in cui l’hacker ha aperto il nuovo conto corrente, del livello di diligenza profuso nell’esecuzione di tutte le verifiche e accertamenti, a cui la banca stessa è tenuta al momento di aprire un conto corrente bancario.
In proposito, è importante verificare le seguenti fasi in sequenza:
- l’hacker richiede l’apertura per conto di un diverso soggetto – il venditore – qualificandosi per tale;
- la banca deve verificare la corrispondenza e veridicità dell’identità dichiarata dall’hacker;
- la banca deve richiedere una serie di documenti, in particolare in conformità alla normativa antiriciclaggio;
- la banca deve richiedere e accertare i poteri di legale rappresentanza in capo all’hacker che richiede l’apertura di un conto corrente.
Alla luce della suddetta sequenza, sembrerebbe addirittura impossibile che un hacker possa falsificare tutti gli elementi sopra elencati e soprattutto che una banca possa farsi ingannare su tutti gli elementi sopra elencati.
Come Studio, stiamo sempre più spostando e intensificando la ricerca di responsabilità in capo alla banca che, con comportamento incauto, apre il conto all’hacker, per perseguire il recupero delle somme trafugate, anche invocando copiosa giurisprudenza che impone alla banca “la diligenza dell’accorto banchiere” (Cass. 13777/2007; Cass. 806/2016).