Sono stato stimolato ad occuparmi del tema della cybersecurity connessa al sistema bancario da un riferimento dell’amico e collega Jorge Morell Ramos di Terminos y Condiciones a un articolo di Alberto Fernandez Bonet, scritto per il mercato spagnolo ma riferibile a tutti i contesti e i mercati che mi sembra interessante commentare, con queste mie riflessioni.
Quando ed a quali condizioni si può parlare di responsabilità delle banche in caso di crimine informatico? Come sappiamo, alcune truffe informatiche che ingannano la vittima, quale utente-cliente bancario, allo stesso tempo eludono le misure di sicurezza degli istituti bancari peraltro il malfunzionamento dei meccanismi di protezione può comportare responsabilità per le banche. Va quindi effettuata una riflessione generale sul comparto di Cybersecurity degli istituti di credito, sulla esternalizzazione dei servizi, sulla compliance combinata di Cybersecurity e Data Protection, sulla periodicità degli audit tecnici in materia, sulla competenza dei CISO e dei Data Protection Officers DPO , degli Amministratori di sistema AdS e di qualsiasi soggetto coinvolto nella catena dei controlli deputati. Il reato tipico si basa sul furto di credenziali bancarie dell'utente per effettuare transazioni senza il suo consenso o per indurlo a pensare che la transazione sia corretta, mentre, tramite l'hackeraggio silente a distanza, è spesso lo stesso utente che agevola l'operazione illecita, effettuando transazioni anomale, inviando il denaro a un altro conto di destinazione che non è quello del destinatario-percettore auspicato. Quindi è l'utente che formalmente acconsente addirittura alla transazione erronea, mentre, in realtà ovvero essa è addirittura materialmente eseguita dal soggetto che ne subisce il pregiudizio, indotto dalla falsa rappresentazione creata dal malware, quando invece la sua manifestazione di volontà sostanziale è altra rispetto alla realtà formalizzata e distorta dal bug illecito insinuato nel sistema, che le misure di sicurezza della banca non sono state in grado di respingere. La banca è responsabile quando si verifica un crimine informatico o è responsabile la vittima? E' chiaro che il vero colpevole sia l'aggressore criminale, sicchè ogni azione legale, prima tra tutte quella delle Procure competenti, è innanzitutto finalizzata a perseguirlo. Sappiamo però delle difficoltà oggettive insite anche nella semplice individuazione soggettiva del criminale artefice della truffa. Ecco, quindi, che inevitabilmente il focus si sposta sugli operatori del mercato finanziario facilmente individuabili anche sulla scorta degli obblighi, proporzionali al ruolo che ricoprono e che devono rispettare per il corretto funzionamento del mercato. Lasciando quindi da parte l'ovvia reprimenda dell'aggressore, occorre parimenti analizzare se le azioni di compliance delle coinvolte istituzioni bancarie, finanziarie ma anche assicurative si pensi a versamenti di premi on-line che non giungano a destinazione e vengano sottratti al contraente-assicurato in casi di digital insurance siano state corrette, adeguate e sufficienti o se, al contrario, possono aver incoraggiato, favorito o permesso il verificarsi del danno. Responsabilità delle banche in caso di criminalità informatica La responsabilità in questo tipo di materia e nei confronti delle banche è di natura civile, per la maggior parte dei casi contrattuale, stante la qualità di correntista del cliente, ma è di minor rilievo e importanza il fatto che possa assumere anche profilo extracontrattuale, in primis, perché eventualmente le due responsabilità si cumulano e, in secondo luogo, perché l'effetto delle due cause di responsabilità è comunque il danno causato al patrimonio della persona e/o alla persona stessa danno biologico e morale derivante dalle conseguenze personali per lo shock di una forte perdita economica subita a causa dell'azione colposa costituita dal comportamento omissivo mancato controllo o commissivo insufficiente controllo cyber dell'istituto di credito. La responsabilità civile, è noto, può sorgere in molti modi diversi ed essere trattata in modo diverso a seconda dell'area di intervento o dell'evento pregiudizievole occorso. Pertanto, agli incidenti stradali o agli infortuni sul lavoro non si applicano le stesse regole della negligenza medica né a quest'ultima si applicano le stesse regole della frode informatica. La responsabilità delle banche quando si verifica quando un crimine informatico ha quale concausa comprovata la violazione di un obbligo imposto dalla legge a questi istituti di autenticare le transazioni di pagamento, assumendo la garanzia assoluta del fatto che il cliente abbia effettivamente acconsentito alla transazione. A questo soccorrono le misure di legge sui servizi di pagamento come ogni misura in materia finanziaria, ancor più in epoca di Fintech. In ogni caso. In linea di massima sussiste addirittura una sorta di responsabilità oggettiva del sistema bancario che comporta l'obbligo a restituire le somme rubate nei casi in cui siano stati trascurati determinati obblighi o non siano state applicate sufficienti misure di sicurezza. Manleva assicurativa limiti E' chiaro che il sistema bancario sia assicurato contro tali ipotesi di malversazione, ma il ragionamento va portato oltre, assumendo che spesso in caso di sinistro le obiezioni ed eccezioni della compagnia assicuratrice che deve risarcire siano sempre dietro l'angolo. A sua discolpa e per essere indennizzato dal sinistro, il prestatore di servizi di pagamento tenterà di dimostrare che l'operazione di pagamento è stata autenticata, accuratamente registrata e contabilizzata, e che non è stata influenzata da un guasto tecnico o da qualsiasi altra carenza ma la Compagnia potrà tentare di opporre eccezione circa la diligenza dell'assicurato Banca che doveva evitare-attenuare le conseguenze del sinistro non permettendo l'intrusione e le due parti discuteranno a lungo della risarcibilità o meno dell'evento, atteso pur sempre che le polizze normalmente coprono gli eventi colposi altrimenti non vi sarebbe copertura alcuna con il limite della colpa grave. Pertanto la Banca tenterà di dimostrare che l'abilità dell'hacker è andata oltre la dovuta diligenza professionale attesa e richiesta allo stesso istituto di credito, anche perché se così non fosse e ogni hackeraggio non fosse risarcito assicurativamente, non avrebbe senso la stipula di alcuna polizza. L'iperdiligenza è iper-responsabilità Pertanto, la semplice registrazione dell'uso dello strumento di pagamento per la Banca, di per sé oggetto della sua vigilanza interna, non è sufficiente per dimostrare che l'operazione di pagamento sia stata autorizzata da colui che paga e che quest'ultimo sia quest'ultimo ad aver agito in modo colpevole o negligente a sua volta tant'è che, di norma e per prassi, se viene eseguita un'operazione di pagamento non autorizzata, il prestatore di servizi di pagamento del pagatore rimborsa immediatamente al pagatore l'importo dell'operazione di pagamento non autorizzata e, se del caso, ripristina il conto di pagamento su cui è stata addebitata l'operazione di pagamento non autorizzata allo stato che sarebbe esistito se l'operazione di pagamento non autorizzata non fosse stata eseguita. Ovviamente questa sorta di responsabilità per dovuta vigilanza sui “gate” digitali, nell'epoca della contrattazione elettronica è divenuto un must che implica il potenziamento necessario delle attività di cybersecurity dell'istituto. In ogni nuovo contesto commerciale, sia a livello europeo che nazionale, è emersa con forza la necessità di rafforzare e implementare le misure di sicurezza che garantiscono l'identità del pagatore e l'autenticazione della transazione, generando nuovi ambienti sempre più sicuri e affidabili per gli utenti, implementandoli e migliorandoli in continuazione, sfruttando le innovazioni tecnologiche prodotte negli ultimi anni, innalzando così il quadro di responsabilità oggettiva per la banca. Le banche sono ormai tenute a garantire l'esecuzione di ordini di pagamento mediante autenticazione rafforzata a doppio fattore di controllo password e fattore biometrico o una chiave casuale inviata a token o a telefono mobile come one time password con modalità assolutamente implementate rispetto alle autenticazioni tradizionali del passato. Sono inoltre importanti i meccanismi di monitoraggio delle transazioni che consentano di rilevare flussi anomali e transazioni di pagamento non autorizzate o fraudolente. rilevare non solo se gli elementi di autenticazione password personali sono stati compromessi o rubati, ma anche semplicemente se sono stati eseguiti tentativi di accesso sospetti rilevare elementi di compromissione o di infezione da malware nel processo di autenticazione e in ogni sistema informatico, analizzare i modelli o le abitudini di consumo degli utenti per identificare transazioni sospette. rilevare se gli esercenti che ricevono la transazione sono sicuri. bloccare la transazione, se viene rilevata una frode o se vi è il grave sospetto che essa sia perpetrabile contattare l'utente-consumatore invitare la clientela ad essere proattiva per la propria sicurezza adottando misure cautelative quali, in primis, il cambio di password periodica. L'accountability oltre il GDPR Si discute quasi a sproposito se e quando i fattori sopra indicati siano adempimenti di legge in gran parte lo sono , quando in realtà ciò diventa irrilevante rispetto al fatto che tutte le accortezze di cui sopra diventano principi di accountability in materia di data protection e cybersecurity. Pertanto, la responsabilizzazione delle imprese porta con sé il principio che vi sia un obbligo indiretto e concreto a formalizzare una struttura di compliance confacente. Né vale la pena restringere il concetto superato di accountability allo stretto ambito dei dati personali solo perché il GDPR lo cita esplicitamente, in quanto lo stesso principio è espresso in tutti i contesti di compliance la prevenzione dei reati ex d.lgs. 231 è in accountability perché ognuno redige o non redige il proprio modello 231 l'AML è in accountability perché ognuno ha i propri sistemi di adeguata verifica della clientela e di segnalazione sospetta delle operazioni. Quindi anche la cybersecurity è in accountability perché ogni azienda organizza la propria rete di sbarramenti antifrode ed antihacker in ogni caso la cybersecurity è connessa al trattamento dei dati personali e parte del GDPR “misure tecniche” quindi a fortiori lo rispetta. Quindi, in caso di transazione fraudolenta, la banca deve dimostrare il rispetto di tutti questi obblighi e misure di sicurezza. In concreto, tuttavia, quando si verifica una truffa di phishing, la transazione, formalmente autenticata, registrata e contabilizzata dal cliente, è stata invece autorizzata sostanzialmente da un terzo. Legalmente, peraltro, le operazioni di pagamento si considerano autorizzate solo quando il pagatore ha dato il suo consenso e che questo consenso, come in tutti i casi nel nostro ordinamento giuridico, non sia viziato. Le misure di sicurezza non hanno solo lo scopo di proteggere la sicurezza degli ordini di pagamento emessi dai clienti, ma la formazione corretta del consenso in capo al cliente si pensi sempre più al Fintech odierno e futuro e l'inosservanza del dovere di vigilanza dà luogo a responsabilità per culpa in vigilando o responsabilità oggettiva che ha cagionato non tanto di per sé il malfunzionamento dei servizi bancari elettronici, ma – attraverso tale malfunzionamento, la distorsione della volontà del contraente, l'impossibilità per lo stesso di esprimersi liberamente, il furto della sua identità costituita anche dai dati personali-credenziali sottratti , la sostituzione di persona. Non è solo un fatto di violazione dei conti, ma di abuso che tocca la dignità personale, la libertà dell'individuo di poter agire. Anche in altre forme di compliance antiriciclaggio, anticorruzione, prevenzione dei reati dove gli istituti bancari devono applicare misure di compliance tese ad ovviare a disfunzioni di sistema ingresso nel sistema di fondi di origine illecita e commissione di varie tipologie di reati tra cui l'altro anche lo stesso riciclaggio , riaffiora lo stesso tipo di responsabilità oggettiva, nella misura in cui è esclusa solo in alcuni casi di dolo o colpa grave del cliente e nella misura in cui l'onere della prova di tali circostanze esonerative e della parallela inesigibilità di altre condotte a carico del soggetto professionale ricade in ogni caso su quest'ultimo. Da questo punto di vista non si può che evincere come la cybersecurity non è che una delle forme di compliance professionali che ricade nel composito alveo della legal compliance integrata, ossia in sistema di procedure e controlli interni che non solo si devono parlare tra loro per non contraddirsi, ma che si uniformano alle stesse regole di responsabilità, in onore anche del fatto che i comportamenti dell'istituto di credito discendono dalla stessa fonte in quanto la governance di un'azienda è una, composita, non trina o quadrupla ed a compartimenti stagni. Questa gravosa responsabilità emerge in tema di onere della prova, allorquando la Banca è tenuta a dimostrare una molteplice serie di situazioni quali il fatto che l'operazione di pagamento è stata presa adeguatamente presa in carico è correttamente autenticata, è accuratamente registrata e contabilizzata, non è influenzata da guasto tecnico o altre carenze nel servizio fornito, è esente da qualsiasi altro tipo grave negligenza è resa con la fornitura di meccanismi di autenticazione e supervisione rafforzati sufficienti a rilevare e prevenire l'uso fraudolento dei propri mezzi di pagamento tecnologie anti-phishing che rilevino pagine o link fraudolenti, impedendone l'accesso In ottica inversamente proporzionale rispetto a quanto sopra dedotto, è evidente che non sono i clienti a dover prevenire o accertare i tipi di rischio che il sistema comporta Essi non sono dotati di strumenti contro i rischi di consulenza specialistica l'utente non è tenuto a conoscere aspetti tecnici quali l'identificazione di un sito web falso tranne nei casi di evidente falsità o altri difetti tecnici le avvertenze generiche delle banche sul loro sito web non sostituiscono gli obblighi contrattuali delle parti, né l'attuazione di misure di sicurezza efficaci. Chiaramente, e a questo punto in forma residuale, occorre chiedersi quando sovviene una responsabilità dell'utente, pur sempre soggetto di diritto con diritti ma anche obblighi. Egli sarà responsabile se agisce in modo fraudolento, deliberatamente o per grave negligenza non è sufficiente una semplice o lieve mancanza di diligenza o non rispetta uno o più dei suoi obblighi. Pertanto, dato che, nella maggior parte dei casi, l'utente/vittima non avrà alcuna responsabilità per la transazione malevola, sarà arduo provare che egli ha smarrito lo strumento di pagamento e le credenziali, senza averlo denunciato tempestivamente. Conclusioni Il mercato finanziario è un settore iper-regolamentato al fine di renderlo sicuro per i consumatori e gli utenti e la normativa impositiva della predisposizione di misure di sicurezza deve garantire i consumatori da transazioni non autorizzate o indebitamente autorizzate con la conseguenza ad altissima percentuale che la banca debba provvedere alla restituzione degli importi, dato che l'esimente per l'istituto di credito si concreta solo in presenza di grave negligenza del cliente. L'onere della prova è a carico totale della parte contraente forte in quanto sia le misure di sicurezza applicate che la negligenza grave devono essere provate dalla banca. Pertanto, è sancita oltre ogni ragionevole dubbio il nesso tra cybercrime e misure tecniche di sicurezza che devono sventarlo con la loro adeguatezza, in quanto – indipendentemente da ogni legislazione speciale – l'onere di accountability generale incombe sulle banche costituendo una sorta di responsabilità oggettiva basata sulla necessità di adeguata strutturazione delle complessive conformità aziendale. L'ultima riflessione è la seguente premesso tutto quanto dedotto, la banca è sempre responsabile già per il solo fatto della violazione? Ciò è da escludere in quanto il principio di assunzione di una responsabilità oggettiva non significa immediata attivazione della stessa in capo al soggetto, a prescindere dalla valutazione del caso concreto. Proviamo a spiegarci con una analogia mutuata dal campo della 231. In materia di 231 la commissione dell'illecito penale non significa automatica responsabilità dell'Ente in quanto le “maglie” della struttura del modello organizzativo, delle procedure e dei soggetti preposti al controllo OdV possono essere di ottima fattura ed essere ugualmente violate del resto ci sono hackers che violano i siti di CIA ed FBI… . Analogamente una violazione dei sistemi di cybersicurezza della banca non comporta automatica fonte di responsabilità della stessa previo il fatto che vadano effettuate tutte le verifiche di cui sopra.