Nicosia: la sentenza che mischia phishing, pharming e dati personali

Mi è appena giunta notizia di una sentenza emessa dal giudice civile del tribunale di Nicosia.  Leggendo sui giornali, in particolare su un comunicato emesso da agi leggiamo “precedente importante: differenza tra “pharming” e “phishing”, dopo l’iniziale sbigottimento continuo a leggere l’intera vicenda. La cosa mi puzza di bruciato,  non è tecnicamente possibile.

Per adesso  volutamente non scendo nei particolari, ma non posso credere che la storia si è volta  nei modi in cui è stata narrata dal comunicato agi che riporterò sotto per completezza.

Cominciano a chiarire che il “pharming” per essere considerato tale non deve prevedere un qualcosa che  per forza dia l’accesso fisico al server dei correntisti, per i più curiosi, uno degli esempi più classici,  sempre se andiamo oltre una banale googlata,  è  la tecnica denominata cache poisoning;  tale attacco estremamente obsoleto non prevede l’accesso fisico al sito web della banca, stiamo parlando di dns e quindi che caspita centra il sito web della banca ? ????????
e poi se ho già l’accesso al sito della banca a che mi serve “sovrapporre una pagina clone” ?

Concretamente si parla di  pharming quando un delinquente si impossessa di una subnet per propagare malware e ci troviamo in presenza di  una subnet infetta.

Qui si parla della sostituzione di una pagina con una copia per carpire i segreti del correntista.

Se ciò è avvenuto si tratta di “defacement” e non di pharming, ma anche questa è una situazione che non ha nulla a che vedere con il sistema dei conti,  ma volendo sposare questa fantasiosa ipotesi:  ammettiamo che siamo  in presenza di certificato ssl non valido è alquanto difficile entrare senza intercettare i pacchetti inviati. Chi è ad inviare i pacchetti ??? il cliente…

Morale della favola,  in sintesi  si è trattato per essere benevolo di una semplice vulnerabilità xss e sto facendo una ipotesi ,  o meglio ci troviamo di fronte ad un semplice caso di Phishing come tanti.

Lascio ai vostri occhi deliziarvi con il comunicato agi, diffuso in ogni dove:

Pirata informatico ruba da conto cliente, condannata la banca

Precedente importante: differenza tra “pharming” e “fishing”
Il giudice civile del tribunale di Nicosia (Enna) ha condannato una banca a risarcire il cliente vittima di «pharming». A pronunciare la sentenza contro il Banco di Sicilia, il giudice Marco Carbone che ha stabilito un precedente in una materia ancora controversa.

Il giudice ha condannato la banca a restituire circa 17mila euro, sottratti dai pirati informatici a una commerciante, oltre che a risarcire mille euro per il danno non patrimoniale.

La sentenza pone una demarcazione tra due diverse truffe informatiche sui conti correnti online.

Nel «pharming», ha ritenuto il giudice, l’unica responsabilità è da addebitare alla banca che utilizza sistemi vulnerabili nei quali si verificano intrusioni di terzi che sottraggono dati e fondi dei clienti. L’hacker entra nel sistema informato dell’istituto di credito e sovrappone una pagina fittizia, identica a quella originale e quando il correntista inserisce dati e numero di conto, i pirati informatici li registrano e possono effettuare tutte le operazioni.

Nel «fishing» è il cliente viene ingannato da e-mail che lo inducono a fornire spontaneamente i propri dati e coordinate bancarie e quindi non si configura responsabilità dell’istituto di credito.

Il giudice non ha inoltre ritenuto valida, nel caso del «pharming» la clausola di esonero di responsabilità della banca prevista dal contratto, dal momento che la cliente non ha impropriamente utilizzato i codici di accesso, ma qualcuno li ha carpiti direttamente inserendosi nel sistema della banca.

Il giudice Carbone, accogliendo le tesi dell’avvocato Filippo Giangrasso, difensore della commerciante, ha ritenuto la banca responsabile di violazione delle norme contrattuali che impongono un limite di spesa – in unica soluzione vennero prelevati 10 mila euro a fronte di un limite di 5 mila – «culpa in vigilando» inosservanza degli obblighi sul trattamento dei dati personali. (Agi)



Questa voce è stata pubblicata in Phishing e Truffe, sentenze e contrassegnata con , , , , , , , , , . Contrassegna il permalink.