Si chiama “man in the middle” la nuova frontiera delle frodi informatiche.

Mediante l’accesso abusivo al sistema informatico aziendale, hacker esperti si frappongono tra due soggetti, assumendo l’identità di uno di essi, con l’obiettivo dapprima di acquisire informazioni e, successivamente, di intercettare e distrarre i vari pagamenti.

All’ignaro interlocutore viene inviata, da un indirizzo creato ad hoc, una falsa email identica nello stile, nel tono, nei caratteri tipografici, con cui si chiede di effettuare un pagamento, relativo solitamente ad un rapporto commerciale che l’azienda ha in essere, su un nuovo IBAN, diverso da quello utilizzato abitualmente nelle transazioni.

Il debitore adempie così la propria prestazione credendo di effettuare bonifici a fornitori, creditori, partners commerciali. I pagamenti, tuttavia, non vengono accreditati ai reali destinatari, ma dirottati su conti appositamente creati e svuotati ancor prima che il malcapitato possa accorgersene.

Cosa può fare l’azienda vittima di una frode informatica per tutelarsi?

Può innanzitutto agire in sede penale mediante una denuncia alla Polizia Postale.

Tali condotte, infatti, integrano il reato di cui all’art. 640 ter c.p., che punisce con la reclusione da sei mesi a tre anni e con la multa da € 51,00 a € 1.032,00 chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno.

Può però divenire complicato individuare i colpevoli, qualora le connessioni fraudolente risultino originate in Paesi stranieri.

Ma è dal punto di vista civilistico che si pone l’interrogativo forse più spinoso per le aziende: se il pagamento è stato effettuato ad un soggetto non legittimato a riceverlo, il debitore potrà ritenersi liberato o sarà comunque tenuto a pagare al reale creditore quanto dovuto?

Per rispondere a tale interrogativo, occorre esaminare la nozione di “creditore apparente”. Secondo l’art. 1189 comma 1 c.c., infatti, “il debitore che esegue il pagamento a chi appare legittimato a riceverlo in base a circostanze univoche, è liberato se prova di essere stato in buona fede”.

Il principio di apparenza e di legittimo affidamento implicano che il debitore venga liberato qualora adempia verso chi si presenti come il proprio creditore.

La giurisprudenza, a questo proposito, ha precisato che il pagamento fatto al creditore apparente libera il debitore in buona fede, che non dovrà quindi pagare due volte. Ciò, a condizione che lo stesso fornisca la prova di avere confidato senza sua colpa nella situazione apparente, ma anche che il suo erroneo convincimento sia stato determinato da un comportamento colposo del creditore, che abbia fatto sorgere una ragionevole presunzione sulla facoltà del destinatario di ricevere il pagamento.

Un’efficace strategia di contrasto al crimine informatico non può, inoltre, trascurare la cybersecurity.

In proposito, è fondamentale che le aziende prendano consapevolezza dell’importanza del tema, allocando una parte del proprio budget all’ammodernamento ed all’implementazione dell’architettura IT, guardando anche alle nuove tecnologie ed investendo nell’innovazione.

Dovranno, quindi, essere adottate adeguate misure di sicurezza tecnico-informatiche (anche in ottemperanza a quanto previsto dal Regolamento UE n. 679/2016, c.d. GDPR), facendo altresì attenzione agli aspetti organizzativi, mediante un’idonea formazione del personale sulle cautele da adottare nell’utilizzo degli strumenti aziendali.