Un’interessante sentenza della Corte Suprema di Cassazione – resa in data 26 novembre 2012 – induce a riflettere sulla sicurezza degli strumenti di pagamento elettronici e sulla necessità di accorgimenti di natura tecnica per arginare l’utilizzo illecito dei dispositivi di autenticazione.
Gianluca Pomante
Avvocato esperto in tema di Privacy e IT
La vicenda processuale trae spunto dalla sottrazione, al legittimo titolare, di una tessera Bancomat, successivamente utilizzata dagli imputati per l'acquisto di beni all'interno di un negozio.
Acquisto non andato a buon fine poiché la carta era stata tempestivamente bloccata.
La difesa ha sostenuto in giudizio l'insussistenza del reato in quanto “impossibile”, stante l'intervenuta inutilizzabilità della carta di pagamento per il blocco disposto dall'Istituto di Credito a seguito della segnalazione del titolare.
La Corte, tuttavia, ha rigettato tale tesi difensiva, evidenziando che, contrariamente all'ipotesi di carta di credito utilizzata dopo la data di scadenza, l'intervenuta disabilitazione dello strumento di pagamento per l'intervento del titolare integra ugualmente il reato previsto dall'art. 12, L. 197/1991 - e sanzionato dall'art. 55, L. 231/2007, legge 143/91 - poiché il sistema di pagamento è ancora attivo, ma bloccato.
La norma, infatti, pur richiedendo il fine di profitto, non prevede che l'operazione illecita vada a buon fine, ma anticipa il momento di consumazione del reato al semplice utilizzo della carta.
Chiaramente, nell'utilizzo illecito rientra anche l'inserimento della stessa in uno sportello automatico per prelevare denaro contante, così come la condotta consistente nel porgerla a un negoziante per effettuare il pagamento.
La fattispecie penalmente rilevante, in sostanza, risulta costruita dal Legislatore come reato di pericolo presunto, per la cui integrazione è sufficiente il possesso dello strumento creditizio - già idoneo di per sé a ledere il bene giuridico protetto dalla norma - individuato nella facoltà del titolare di poterne disporre in modo esclusivo.
Responsabilità dell'Istituto di Credito?
Se la soglia di punibilità così elevata costituisce un deterrente certamente più efficace della punizione della sola condotta dell'utilizzo andato a buon fine, la sentenza porta comunque a riflettere sulla sicurezza dei sistemi di pagamento e sulla facilità con la quale è possibile appropriarsene e utilizzarli, perché basati su tecnologie poco affidabili.
L'onere di segnalare la sottrazione della carta di pagamento - sia essa di debito o di credito - grava sul titolare, il quale, tuttavia, viene posto in una condizione di grave inferiorità nel confronti dell'Istituto di Credito emittente, sul quale non grava alcun obbligo normativo di utilizzare sistemi tecnologicamente sicuri.
Invero, si potrebbe invece ipotizzare una responsabilità dell'Istituto di Credito per non aver adottato quelle misure tecnologiche di protezione che sono ritenute efficaci per la prevenzione del crimine e che dovrebbero necessariamente essere utilizzate per garantire il rispetto del rapporto fiduciario tra il cliente e la Banca.
Così come l'Istituto ha l'obbligo di informare correttamente il cliente del rischio connesso all'uso di determinati strumenti finanziari, adottando le opportune contromisure per evitare prevedibili perdite - alla luce del sempre più frequente utilizzo di sistemi di clonazione della banda magnetica e di sottrazione del codice PIN e della tessera al legittimo titolare - ha l'obbligo di adottare ogni possibile cautela per evitare i rischi connessi a un uso illecito, senza limitarsi ad attendere la segnalazione di furto o smarrimento per procedere al blocco della carta.
E infatti, molti Istituti, prendendo evidentemente spunto da quanti sostengono la sussistenza di una posizione di garanzia del cliente in capo alla Banca, hanno da tempo iniziato ad adottare sistemi di protezione passiva e attiva sugli sportelli automatici, a promuovere costanti campagne di informazione e sensibilizzazione della clientela, a sollecitare gli esercenti a richiedere i documenti di identità agli utilizzatori delle carte di pagamento.
Tuttavia, nonostante la sempre maggiore diffusione di sistemi di clonazione facilmente occultabili sugli sportelli automatici e all'interno dei dispositivi elettronici che permettono i pagamenti (POS), la maggior parte delle carte di credito e di debito sono ancora basate sulla banda magnetica e solo di recente sono state introdotte le carte chip, che solo in alcune condizioni richiedono l'uso del codice numerico (PIN) associato alla lettura del microchip anziché della banda magnetica.
Benchè non esista una tecnologia assolutamente sicura, risulta evidente che l'utilizzo di un sistema basato su una chip-card e su un codice noto solo all'utente, insieme all'obbligo di identificazione del titolare tramite documento di identità, ridurrebbe di molto la possibilità di clonazione e sottrazione, dato che sarebbe comunque impossibile utilizzare lo strumento di pagamento senza possedere anche il codice.
La carta potrebbe comunque essere utilizzata dopo averla sottratta al titolare e avergli carpito il codice segreto, ma l'ipotesi sarebbe sicuramente residuale e, soprattutto, si escluderebbero tutte le ipotesi di frode on line, che attualmente sono possibili proprio perché i sistemi di autenticazione richiedono solo il codice di tre cifre presente sul retro della carta di credito e non associano in alcun modo lo strumento di pagamento al Chip o al codice PIN.
La circostanza appare incomprensibile se si considera che un lettore di carta chip - da collegare alla presa USB del computer o alla porta di comunicazione del cellulare - ha un costo industriale di pochi euro, che potrebbe essere agevolmente sostenuto dagli Istituti di Credito, vista l'onerosità delle condizioni economiche solitamente applicate alla clientela.
Ma, evidentemente, il rischio di dover risarcire il cliente derubato è ancora economicamente meno elevato dello sforzo necessario a convertirsi a tale tecnologia.
Né sarebbe impossibile adottare sistemi di riconoscimento biometrico - ormai presenti anche su molti dispositivi elettronici - che escluderebbero completamente l'ipotesi di indebito utilizzo.
Ma in questo caso emergerebbero problemi legati alla riservatezza del dato che, probabilmente, complicherebbero oltremodo l'utilizzo concreto.
Utilizzo incauto da parte del titolare
Un discorso a parte merita l'incauto uso dello strumento di pagamento da parte del titolare, fonte della maggior parte dei procedimenti che giungono al dibattimento.
Mentre le carte di credito, solitamente, assurgono agli onori della cronaca quando viene attaccato il database di una grande compagnia commerciale (che non si comprende per quale ragione non sia cifrato), i processi più tradizionali hanno a oggetto solitamente le tessere del Bancomat, sottratte al titolare insieme al codice segreto che permette di utilizzarle.
Le casistiche più diffuse riguardano la sottrazione del borsello o della borsa, nella quale, incautamente, il titolare conservava anche il codice PIN su un appunto, o memorizzato sul telefonino sotto la voce “Bancomat”, o addirittura annotato con un pennarello indelebile direttamente sulla carta.
Ma non manca chi si rende protagonista di un furto con destrezza dopo aver carpito il codice PIN grazie a una microcamera nascosta in prossimità dello sportello o semplicemente guardando il titolare che lo digita sulla tastiera.
Ad essere maggiormente esposte a tale tipologia di aggressione sono ovviamente le persone più anziane, che hanno più difficoltà nell'utilizzo degli strumenti elettronici di pagamento e raramente riescono a difendersi dalla sottrazione della borsa o del portafogli.
Una soluzione ottimale non sembra poter essere rapidamente raggiungibile e probabilmente l'uso dei dispositivi biometrici creerebbe più problemi di quanti ne risolverebbe, senza considerare il rischio - in un periodo di crisi come quello attuale - di vedersi tagliare un dito dal malfattore intenzionato a utilizzare liberamente la nostra carta di pagamento…
