Dalla Direttiva NIS alla NIS 2: cybersicurezza, frodi bancarie e responsabilità delle banche nel nuovo quadro europeo

Negli ultimi anni il numero di frodi informatiche ai danni dei correntisti è cresciuto in modo esponenziale: email apparentemente provenienti dalla banca, SMS ingannevoli, telefonate da falsi operatori, link a siti clone perfettamente identici agli originali.
Dietro ciascun episodio si nasconde un sofisticato meccanismo tecnico e psicologico che sfrutta la vulnerabilità umana prima ancora di quella informatica.

Ma fino a che punto la banca può essere ritenuta responsabile di tali episodi?
E in che modo le nuove direttive europee sulla cybersicurezza — NIS e NIS 2 — incidono sull’obbligo degli istituti di credito di prevenire, rilevare e gestire gli incidenti digitali?

La Direttiva NIS 1 (2016/1148/UE): la prima risposta europea alla cybersicurezza

La Direttiva NIS, acronimo di Network and Information Security Directive, approvata nel 2016, è stata il primo atto normativo dell’Unione Europea volto a stabilire un livello comune di sicurezza delle reti e dei sistemi informativi degli Stati membri.

Il suo obiettivo principale era quello di garantire la resilienza delle infrastrutture digitali da cui dipendono i servizi essenziali per la collettività: energia, trasporti, sanità, infrastrutture digitali e amministrazioni pubbliche.

Gli obblighi principali introdotti dalla NIS 1 erano:

• l’adozione di misure tecniche e organizzative per la protezione dei sistemi informativi;

• la notifica obbligatoria degli incidenti significativi alle autorità competenti;

• la designazione di punti di contatto nazionali e di un Computer Security Incident Response Team (CSIRT).

In Italia, la direttiva è stata recepita con il Decreto Legislativo n. 65/2018, che ha istituito il Computer Security Incident Response Team – Italia e definito i soggetti obbligati.

Tuttavia, la NIS 1 ha mostrato presto i suoi limiti: ambito ristretto, disomogeneità nell’applicazione tra Stati membri e insufficiente copertura dei nuovi settori critici emersi con la digitalizzazione.

• La Direttiva NIS 2 (2022/2555/UE) e il D.lgs. 138/2024: il nuovo paradigma della sicurezza digitale

  Per colmare le lacune della precedente disciplina, l’Unione Europea ha adottato la Direttiva (UE) 2022/2555, nota come NIS 2, recepita in Italia con il Decreto Legislativo n. 138 del 2024.

  La NIS 2 amplia notevolmente l’ambito soggettivo e oggettivo della normativa.
  Oltre ai settori tradizionali, entrano ora nel perimetro i servizi postali, la gestione dei rifiuti, la produzione alimentare, la manifattura, la pubblica amministrazione e — punto essenziale per il nostro tema — le banche e gli intermediari finanziari.

  La NIS 2 distingue due categorie di operatori:

  • Enti essenziali, che includono soggetti la cui interruzione comporterebbe gravi effetti sulla collettività (come banche, ospedali, gestori energetici);

  • Enti importanti, che svolgono comunque attività rilevanti ma di impatto più limitato.

  Gli obblighi principali introdotti dalla NIS 2

  • Attuazione di un sistema di gestione del rischio informatico (Cyber Risk Management);

  • Adozione di misure tecniche e organizzative adeguate allo “stato dell’arte” tecnologico;

  • Piani di continuità operativa e risposta agli incidenti (Incident Response Plan);

  • Segnalazione degli incidenti significativi entro 24 ore al CSIRT o all’Autorità nazionale competente, in Italia l’Agenzia per la Cybersicurezza Nazionale (ACN);

  • Sanzioni severe: fino a 10 milioni di euro o al 2% del fatturato annuo globale per le imprese inadempienti.

  .

Quando una frode ai correntisti può diventare un “incidente” ai sensi della NIS 2

Il concetto di incidente nella Direttiva NIS 2 è ampio e ricomprende qualsiasi evento che comporti:

• interruzione o degrado significativo dei servizi;

• compromissione della disponibilità, integrità o riservatezza dei dati;

• impatti economici o reputazionali rilevanti.

Phishing e frodi bancarie: un caso di confine

Le truffe ai correntisti tramite phishing (email ingannevoli), smishing (SMS fraudolenti) o vishing (chiamate telefoniche) rientrano di norma tra gli attacchi diretti al cliente, non ai sistemi bancari.
Tuttavia, la linea di confine non è sempre netta.

Se, ad esempio:

• il phishing sfrutta una vulnerabilità della piattaforma online della banca;

• o la frode passa inosservata per mancanza di sistemi di allerta e monitoraggio comportamentale;

• o ancora, la banca non blocca tempestivamente un’anomalia evidente (es. accesso da IP esteri, operazioni non coerenti con le abitudini del cliente);

allora l’evento può essere qualificato come incidente informatico significativo, da segnalare ai sensi della NIS 2 o del Regolamento DORA.

La responsabilità della banca nei confronti del correntista

Sul piano civilistico e bancario, la responsabilità della banca è disciplinata da due norme cardine:

1. Articolo 1176, comma 2, del Codice Civile, che impone all’intermediario una diligenza qualificata nell’esecuzione dei servizi bancari, parametrata alla natura professionale dell’attività.

2. Articolo 10 del Decreto Legislativo n. 11/2010, di attuazione della Direttiva (UE) 2015/2366 sui servizi di pagamento (Payment Services Directive 2 – PSD2), che stabilisce che, in caso di operazione di pagamento non autorizzata, la banca deve rimborsare immediatamente il cliente, salvo che dimostri dolo o colpa grave di quest’ultimo.

La giurisprudenza è ormai consolidata:
la banca risponde della frode se non prova di aver adottato sistemi di sicurezza “forti” e proporzionati, come:

• autenticazione a più fattori (cosiddetta Strong Customer Authentication);

• sistemi di rilevazione automatica di anomalie (monitoraggio comportamentale);

• notifiche in tempo reale al cliente;

• procedure di blocco immediato delle transazioni sospette.

Cassazione civile, Sez. I, sentenza n. 2950 del 6 febbraio 2021
“La banca è responsabile delle operazioni non autorizzate se non dimostra che le stesse sono state eseguite mediante strumenti di autenticazione forti e che non vi sono state falle nei propri sistemi di sicurezza.”

In altre parole, l’onere della prova grava sulla banca, non sul cliente.
L’istituto deve dimostrare che l’operazione è stata correttamente autenticata e che i propri sistemi non presentavano vulnerabilità note o facilmente prevenibili.

Il ruolo della digital forensics nella prova tecnica

Nelle controversie relative a frodi informatiche bancarie, la digital forensics riveste un ruolo decisivo.
Attraverso l’analisi tecnica dei dispositivi, dei log di rete e dei sistemi di autenticazione, è possibile ricostruire con precisione:

• gli indirizzi IP da cui sono partite le operazioni;

• i timestamp e le sequenze temporali di accesso;

• i device ID utilizzati per l’autenticazione;

• gli eventuali alert interni che avrebbero potuto (o dovuto) attivare la risposta antifrode;

• le modalità con cui la banca ha gestito la segnalazione o il blocco della transazione.

Strumenti tipici in questa fase sono:

• l’acquisizione forense dei log server;

• la verifica degli hash e dell’integrità dei file di sistema;

• l’analisi timeline delle attività digitali;

• la verifica del catena di custodia (chain of custody) dei dati probatori.

La perizia forense, dunque, non serve solo a ricostruire il danno, ma a valutare il livello di diligenza tecnica dell’istituto di credito.
Un mancato monitoraggio o un ritardo nella reazione all’attacco possono costituire elemento di colpa professionale.

Cosa copre la NIS 2 e cosa è invece disciplinato da altre norme

Conclusioni: verso una sicurezza “responsabile”

La Direttiva NIS 2 e il Regolamento DORA rappresentano un cambio di paradigma:
non si limitano a imporre standard tecnici, ma introducono un modello di accountability, in cui la sicurezza è una responsabilità gestionale e non solo informatica.

Per gli istituti di credito questo significa:

• dotarsi di sistemi di monitoraggio continuo e risposta automatizzata agli incidenti;

• formare il personale interno sulla gestione delle minacce digitali;

• coordinarsi con i fornitori esterni per garantire la sicurezza della filiera ICT;

• integrare le procedure di digital forensics nei processi di audit e compliance.

Per i professionisti forensi, queste evoluzioni aprono nuove frontiere: la capacità di tradurre un’anomalia tecnica in un elemento probatorio utile in sede giudiziaria sarà sempre più determinante.

In sintesi

• Le banche rientrano pienamente tra i soggetti obbligati ad adeguarsi alla NIS 2.

• Le frodi ai correntisti possono configurare incidenti informatici se coinvolgono carenze nei sistemi di sicurezza della banca.

• L’onere di dimostrare la diligenza e l’adozione di misure adeguate grava sull’istituto di credito.

• La digital forensics rappresenta il ponte tra la dimensione tecnica e quella giuridica della responsabilità bancaria.

✒️ Nota sull’autore

Domenico Moretta è criminalista forense, consulente tecnico specializzato in digital forensics, audio forense e trascrizioni giuridiche. Esperto in Diritto della Società Digitale. Autore di volumi divulgativi e professionali, affianca all’attività peritale un percorso di formazione universitaria in diritto della società digitale.
Con il progetto www.acquisizioneprovedigitali.it, promuove una cultura integrata tra scienze forensi e tutela dei diritti nell’ambiente digitale.

CLICCA QUI PER RICHIEDERE MAGGIORI INFORMAZIONI