«Lo studio professionale per cui lavoro non ha ricevuto un pagamento perché il cliente, dopo aver ricevuto un’e-mail apparentemente proveniente da un nostro indirizzo, ha eseguito il versamento su un conto estero. Dobbiamo rinunciare alla somma?», chiede un lettore di Sicurezza.
Risponde Gianluca Pomante, avvocato cassazionista esperto di Data Protection.
La frode tramite la tecnica dell’intrusione nelle comunicazioni (man in the middle) è purtroppo ormai molto diffusa, soprattutto a causa dell’uso promiscuo di smartphone e tablet per finalità lavorative e ludiche, che agevola l’attività dei criminali informatici.
Generalmente, l’utente medio non presta particolare attenzione alle misure di sicurezza di tali dispositivi, che avrebbero bisogno innanzitutto di antivirus e antimalware, come qualsiasi altro sistema informatico, e anche le app realizzate per i dispositivi ultraleggeri sono, troppo spesso, scarsamente studiate per garantire la sicurezza delle comunicazioni e dei dati trattati. Sono utili e funzionano bene, ma ciò non significa che siano sicure. Il frequente ricorso a punti di accesso pubblici a Internet, senza precauzioni come un buon programma di VPN, contribuisce all’insicurezza dell’intero sistema, per la facilità con cui è possibile leggere i dati in transito sull’infrastruttura di rete.
Frodi via e-mail, mai abbassare la guardia
È una buona pratica quella di utilizzare un dispositivo per le questioni personali (social network, giochi, navigazione su Internet, foto, filmati e musica) e uno per le attività lavorative, distinguendo ulteriormente tra l’uso di app bancarie e finanziarie, maggiormente a rischio per le perdite economiche, e quelle più gestionali, come la posta elettronica, il CRM e la messaggistica.
Tornando al caso specifico, occorre preliminarmente verificare se il cliente ha ricevuto un’e-mail fasulla (fake mail) con il mittente mascherato (della quale avrebbe potuto verificare l’intestazione o header e comprendere che proveniva da un indirizzo diverso da quello palesato) o se invece, come sta purtroppo accadendo con maggiore frequenza da qualche mese nelle frodi via e-mail, è stata compromessa una casella (mailbox) di posta elettronica dello studio professionale.
In tale secondo caso, il cliente ha correttamente effettuato il versamento, ritenendo attendibile il mittente, e l’unico addebito che sarà possibile muovergli (tesi molto debole in un eventuale giudizio) è quello di non aver verificato, telefonicamente o tramite altro canale di comunicazione, la fondatezza della richiesta.
