Sempre più spesso i Giudici sono chiamati a pronunciarsi sulle responsabilità per i pagamenti fatti a seguito di attacchi “man in the middle” e della cossidettà “truffa dell’IBAN” che spesso ne consegue.

In questo articolo esamineremo come funziona questo tipo di minaccia, perchè è molto insidiosa, e soprattutto quali siano le conseguenze nei rapporti tra creditore e debitore in caso di truffa andata a buon fine, e, quindi, di pagamento a favore del truffatore.

Come funzionano gli attacchi “man in the middle”

Le fasi di un attacco “man in the middle” (MITM) sono essenzialmente tre:

  1. dapprima, gli attaccanti riescono a violare una casella di posta elettronica, spesso aziendale, assumendone il controllo. In questo modo, possono accedere al contenuto della casella postale e possono inviare messaggi di posta elettronica come se fossero proprietario della casella. Si tratta di un comportamento che configura il reato di accesso abusivo a sistema informatico (art. 615-ter c.p.);
  2. una volta studiato il contenuto dei messaggi, i criminali possono prendere contatto con colleghi, clienti o corrispondenti abituali del proprietario della casella violata. Potendo utilizzare le informazioni presenti nei messaggi già scambiati, i criminali possono carpire la fiducia del loro bersaglio, che sarà portato a credere che i messaggi che riceve dalla casella compromessa siano autentici. Si tratta di un comportamento che costituisce il reato di sostituzione di persona (art. 494 c.p.);
  3. una volta ottenuta la fiducia della vittima, possono chiederle realizzare le più diverse attività. Normalmente, si tratta di disporre pagamenti o di effettuare acquisti a beneficio dei truffatori. Si tratta di un comportamento che configura il reato di truffa o frode informatica (art. 640 c.p.).

Truffa dell’IBAN, attacchi “man in the middle” e responsabilità per i pagamenti

Una delle declinazioni di questo modello è la cosiddetta “truffa dell’IBAN”, molto diffuso tra imprese e professionisti.

In questa forma di attacco, i criminali, sfruttando la casella di posta elettronica violata, inviano alla vittima un finto messaggio che la informa che il codice IBAN del mittente è cambiato. Come nuovo codice viene indicato l’IBAN di complici oppure di persone terze, dei quali i truffatori sono riusciti a prendere il controllo.

Così facendo, inducono la vittima ad effettuare i pagamenti delle fatture emesse dall’azienda a cui appartiene la casella violata verso le nuove coordinate bancarie comunicate.

Se l’accredito va a buon fine, i truffatori riescono così ad impossessarsi del denaro.

La vittima, normalmente, si accorge della truffa quando riceve dall’impresa che ha emesso la fattura il sollecito di pagamento. Si scopre così che è avvenuto un attacco “man in the middle”, e, solitamente, si apre la questione su chi sia responsabile per i pagamenti effettuati.

Le posizioni, normalmente, sono due:

  • la vittima della truffa sostiene che la colpa sia dell’azienda creditrice che ha subito la violazione della casella di posta elettronica, traendola in inganno, e non vuole normalmente ripetere i pagamenti già effettuati al truffatore;
  • l’azienda creditrice invece sostiene di non aver ricevuto il pagamento dovuto, e continua pertanto pretenderlo dalla socità debitrice vittima della truffa, anche laddove l’attacco sia stato facilitato dalla violazione di una sua casella di posta elettronica aziendale.

Sul punto, come si è detto, i Tribnali hanno avuto modo di pronunciarsi in diverse occasioni, giungendo a definire alcuni principi sul riparto delle responsabilità per i pagamenti effettuati a seguito di un attacco man in the middle.

La responsabilità nei rapporti tra creditore e debitore

Nei rapporti tra il creditore ed il debitore, la giurisprudenza ha ritenuto che i pagamenti effettuati per effetto di un attacco man in the middle possano essere ricondotti all’art. 1189 del Codice civile, relativo al “pagamento al creditore apparente”.

Questa previsione del Codice civile stabilisce che il debitore “paga bene” (ossia estingue il proprio debito) anche se paga ad un soggetto che non era in realtà legittimato a ricevere il pagamento nell’interesse del debitore (ossia il truffatore), al verificarsi di alcune condizioni.

In particolare, quindi,  il debitore truffato non sarà tenuto a pagare nuovamente la società creditrice se:

  • il pagamento deve essere stato effettuato a soggetto che, sulla base di circostanze univoche, sembrava effettivamente legittimato a riceverlo;
  • il debitore che effettua il pagamento deve dimostrare di essere in buona fede, ovvero deve essere stato diligente nello svolgimento della propria attività;
  • il creditore non deve aver contribuito con colpa o negligenza a indurre il debitore in errore su chi fosse legittimato a ricevere i pagamenti.

La diligenza del debitore nei casi di “truffa dell’IBAN”

Nei casi di “truffa dell’IBAN”, i giudici hanno esaminato qual era stato il comportamento dei debitori davanti al tentativo di truffa, e non hanno generalmente mai ritenuto che il debitore fosse stato pienamente diligente. Infatti:

  • in alcuni casi, il debitore si era limitato a prendere atto dei messaggi di posta elettronica e non aveva chiesto conferma al creditore tramite altri canali (es. telefono o PEC);
  • l’IBAN comunicato dai truffatori riguardava un conto acceso presso filiali lontane dalla sede dell’impresa creditrice e intestati a soggetti diversi dal creditore;
  • la vittima non aveva prestato attenzione ad alcuni indici sospetti, come per esempio lo stile sgrammaticato della mail-truffa.

In altre parole, la giurisprudenza ha ritenuto che il debitore debba sempre essere in grado di dimostrare di essere stato prudente e di aver compiuto adeguate verifiche sulla genuinità del messaggio al centro del tentativo di truffa. Questo anche in considerazione del fatto che si tratta di una truffa molto diffusa, della quale professionisti ed imprese dovrebbero essere consapevoli.

La colpa del creditore

Nei casi di “truffa dell’IBAN”, il debitore deve inoltre essere in grado di dimostrare che il creditore, con comportamenti negligenti e colpevoli, ha attivamente contribuito a fondare il convincimento sulla genuinità del messaggio inviato dati truffatori.

Allo stato, la giurisprudenza non sembra ritenere sufficiente il fatto che la violazione della casella di posta sia avvenuta a causa della negligenza del creditore. Ciò in quanto la negligenza nell’adottare adeguate misure tecniche ed organizzative di sicurezza informatica, pur avendo permesso ai criminali di prendere il controllo della casella di posta elettronica e sferrare l’attacco, non è di per sé una causa immediata e diretta del pagamento fatto all’IBAN inviato dai truffatori.

In effetti, si potrebbe ritenere che la colpa del creditore potrebbe essere più evidente qualora, ad esempio, non rispondesse in modo esaustivo o tempestivo alle richieste di chiarimento del debitore.

Su chi ricade quindi la responsabilità per i pagamenti a seguito di attacchi “man in the middle”?

In sintesi, nell’applicare tutti i principi sopra descritti, la giurisprudenza normalmente ritiene che, nel caso di pagamenti fatti nell’ambito di un attacco “man in the middle”, la responsabilità ricada tendenzialmente sul debitore. Di conseguenza, il debitore non è liberato dal pagamento fatto ai truffatori, e dovrà pertanto ripetere il pagamento a favore del creditore (così, ad esempio, si sono pronunciati il Tribunale di Milano nella sentenza del 13 giugno 2024 o il Tribunale di Treviso nella sentenza del 26 giugno 2024).

Come sopra evidenziato in dettaglio, è pertanto necessario assumere sempre la massima cautela, sia nell’approntare le necessarie difese informatiche, sia seguendo adeguate procedure operative volte a scongiurae il rischio di essere tratti in inganno facilmente.