Tutto è iniziato con un bonifico online di 15.000 euro, diretto ad un fornitore storico. Una prassi consolidata, eseguita tramite il portale di home banking aziendale, apparentemente senza alcuna anomalia. Nessun messaggio di errore, nessun comportamento sospetto. Eppure, la somma non è mai arrivata a destinazione. Solo alcuni giorni dopo, a seguito della segnalazione del fornitore, si è appreso che l’IBAN era stato modificato ed i fondi trasferiti su un conto estero riconducibile a soggetti sconosciuti.

Ma com’è stato possibile? L’interfaccia della banca mostrava i dati corretti. E il pagamento era stato autorizzato esattamente come sempre. La società non aveva motivo di sospettare nulla.

Una successiva analisi forense ha rivelato la dinamica: un malware annidato nel browser, installato presumibilmente tramite un allegato e-mail o un sito compromesso, aveva intercettato e manipolato la transazione in tempo reale. Nessuna notifica, nessun allarme. L’attacco si è poi “auto-disattivato”, lasciando pochissime tracce. Il tutto senza violare i sistemi della banca, né infrangere apparentemente il perimetro di sicurezza informatica aziendale.

L’ episodio, purtroppo tutt’altro che raro, solleva interrogativi fondamentali: Chi è responsabile in casi simili? Il cliente, per non aver predisposto adeguate difese sul proprio dispositivo? O la banca, che non ha rilevato una modifica anomala a un dato così critico come l’IBAN, diretto verso un conto estero del tutto nuovo?

Da un lato, è vero che l’impresa non aveva implementato alcune misure minime di protezione, come l’uso di software antivirus aggiornato e controlli periodici sui dispositivi utilizzati per operazioni critiche. Dall’altro, l’istituto bancario non aveva attivato alcun sistema di controllo sulle operazioni atipiche, né richiesto una doppia conferma per un cambiamento tanto significativo.

La questione legale si articola attorno alla valutazione della diligenza; la diligenza dell’utente nell’uso dello strumento informatico; quella dell’intermediario finanziario, obbligato,  anche alla luce della normativa europea, a garantire la sicurezza delle transazioni e la protezione dei dati.

Ma voglio fare un passo indietro: cos’è, esattamente, il Man-in-the-Browser? È un attacco informatico che sfrutta un malware attivo all’interno del browser per intercettare, modificare o deviare le informazioni che l’utente invia o riceve, soprattutto in contesti critici come l’online banking. A differenza del più noto Man-in-the-Middle, che agisce a livello di rete, il MitB agisce dall’interno del dispositivo, rendendosi invisibile agli occhi dell’utente e  spesso anche agli strumenti di protezione standard.

Quali insegnamenti si possono trarre dalla vicenda sopra narrata?

Per le imprese, è fondamentale adottare un approccio preventivo e strutturato alla cybersecurity, che includa: aggiornamento continuo dei sistemi e dei browser; utilizzo di antivirus e firewall professionali; formazione sui rischi del phishing e dei malware nascosti.

Per le banche e gli intermediari, è necessario rafforzare i sistemi di rilevamento comportamentale ed attivare procedure di verifica aggiuntiva per operazioni a rischio, come previsto dal quadro normativo europeo in tema di sicurezza dei pagamenti digitali.

In ultimo quanto accaduto dimostra, ancora una volta, che la sicurezza informatica non è solo una questione tecnica, ma un tema che tocca tutti e direttamente. E che quando il danno si verifica, il tempo è un fattore decisivo, perchè agire tempestivamente, con il supporto di legali e di tecnici specializzati, può fare la differenza tra il recupero e la perdita definitiva.

Avv. Simona Maruccio

simona@maruccio.it

🔗 Link articolo Milano Post