Ebay: è ricettazione se il bene è contraffatto.

Attenzione agli acquisiti su eBay. Il prezzo eccessivamente basso, la provenienza del prodotto e le caratteristiche rese palesi dall’annuncio, possono determinare la contestazione del reato di ricettazione.

Lo spiega la bene la Corte di Cassazione, nel mese di novembre, confermando una condanna disposta nei confronti di un acquirente del noto sito di aste online tra privati, ritenuto pienamente consapevole della provenienza delittuosa dei beni (nella specie, 15 paia di scarpe Nike, grossolanamente contraffatte, provenienti dalla Malesia).

Sono interessanti le diverse conclusioni cui perviene la Corte, che delineano i confini delle norme applicabili alla contrattazione mediante tale tipologia di piattaforma.

Innanzitutto la Corte evidenzia che il contratto stipulato è da considerarsi un’offerta al pubblico, ai sensi dell’art. 1336 CC, essendo diretta ad una moltitudine indifferenziata di possibili acquirenti, sulla base di un contratto per adesione, che consente solo di decidere se aderire o rinunciare all’acquisto. (in realtà, l’opzione “proposta di acquisto” lascia spazio ad una pur minima contrattazione ma nel caso in esame non avrebbe determinato alcun cambiamento nella decisione).

Sebbene il contratto si perfezioni nel momento in cui il venditore riceve la conferma dell’accettazione dell’offerta da parte dell’acquirente (situazione che determinerebbe la competenza del giudice malese), il diritto penale italiano contiene il principio di cui all’art. 6, co. 2, CP, per il quale è sufficiente che una parte della condotta si sia verificata in Italia per radicare la competenza del giudice italiano.

Risultano poi determinanti, ai fini della valutazione della condotta dell’imputato, la grossolana contraffazione dei beni e l’irrisorio prezzo di acquisto, che escludono la possibilità di contestare l’incauto acquisto (decisamente più vantaggioso in termini di pena) e di ritenere tenue e penalmente irrilevante il fatto.

Si possono trarre dalla citata sentenza le seguenti conclusioni. Acquistare su eBay è sinonimo di risparmio e consente certamente di andare alla ricerca di prezzi inferiori a quelli di mercato, soprattutto nel caso di stock di merce e di collezioni (per parlare di calzature e abbigliamento) degli anni passati, ma l’acquirente deve comunque considerare che un prezzo eccessivamente basso può essere indicatore di un prodotto non originale. Se poi tale contraffazione appare evidente alle caratteristiche desumibili dalle informazioni riportante nell’annuncio e della provenienza del bene da un paese notoriamente attivo nel campo della contraffazione, viene meno anche la possibilità di giustificare un incauto acquisto ed è inevitabile l’accusa di ricettazione (che prevede una pena da 3 a 8 anni di reclusione).

La differenza sta nel fatto che l’incauto acquisto presuppone che il consumatore sia stato tratto in errore dalle condizioni di vendita e possa addebitarglisi la responsabilità di non aver adeguatamente valutato la situazione, mentre nella ricettazione vi è piena consapevolezza della provenienza illecita del bene o, quantomeno, l’accettazione del rischio che il bene possa rivelarsi contraffatto. Elementi che la Corte ha ritenuto desumibili dal prezzo irrisorio, dalla quantità acquistata, dalla provenienza da un paese noto per l’attività di contraffazione.

Chissà cosa ne pensano, di questo articolo, tutte quelle signore che, nella bella stagione, acquistano, in spiaggia o nei mercatini, prodotti d’alta moda a prezzi irrisori.

Fonte: Key4biz

Sicurezza negli acquisti on-line

Internet e i social network hanno ampliato in modo smisurato le occasioni di incontro tra domanda e offerta di beni e servizi, consentendo a produttori e consumatori di portare a termine transazioni commerciali senza tener conto della distanza, fatta eccezione per i costi di spedizione di eventuali beni materiali.
Alcune aziende, come Amazon, hanno fatto del commercio elettronico il loro core business e possono vantarsi di non avere mai avuto negozi fisici sul territorio.
Altre, come Apple, nate con una rete commerciale fisica, hanno lentamente integrato la vendita con il Web e utilizzato i social network come strumento di fidelizzazione della clientela e stimolo all’acquisto.
Attraverso la registrazione nell’area clienti – sempre più semplificata utilizzando procedure SSO (Single Sign On) grazie alle credenziali di accesso a Facebook o Twitter, ovvero, per le aziende che richiedono un’identificazione fisica di tipo KYC (Know Your Customer) – la base degli utenti che accedono sempre più spesso all’offerta online sta crescendo in modo esponenziale, al punto che è ormai normale, in qualsiasi città, notare corrieri che consegnano pacchi confezionati da Amazon o da IBS.
L’acquisto di beni materiali o immateriali comporta la necessità di affidare al negozio online i propri dati anagrafici e quelli che deriveranno dall’analisi degli acquisti effettuati, che potranno essere utilizzati non solo al fine di adeguare le scorte e le procedure al consumo generale ma, anche, per studiare il profilo psicologico e commerciale dei singoli consumatori, per poter adeguare l’offerta ai loro gusti e per poter orientare i loro acquisti verso i prodotti che l’azienda vuole sostenere sul mercato.
Nel primo caso, si pone un problema di semplice sicurezza dei dati, finalizzata a impedire che soggetti estranei al sistema informativo dell’azienda possano accedervi, ma anche che soggetti normalmente autorizzati possano utilizzarli per finalità diverse da quelle dichiarate e accettate dal cliente.
Si pone, quindi, un problema di sicurezza interna e un altro di sicurezza esterna, mentre l’adeguamento delle scorte ai consumi della totalità degli acquirenti non crea problemi di profilazione, poiché i dati possono essere trattati in forma anonima.

Proteggere la privacy, evitare le frodi
Quando, invece, l’azienda effettua la profilazione del cliente, per adeguare l’offerta commerciale ai suoi gusti e indirizzarlo verso determinati prodotti, ovvero quando l’azienda, nel realizzare il profilo psicologico del consumatore, intende cedere tali dati a terzi interessati ad acquistarli, sorge il problema dell’acquisizione del consenso al trattamento di tali dati che, essendo facoltativo e potendo essere revocato in qualsiasi momento, necessita anche di un sistema di memorizzazione e storicizzazione delle scelte del cliente.
L’insieme dei dati così acquisiti pone al titolare del trattamento una serie di problemi di sicurezza direttamente connessi all’attività di commercio elettronico.
La sicurezza delle transazioni, infatti, deve essere coordinata con la sicurezza dei database ed entrambe devono garantire fluidità di utilizzo per non appesantire l’utilizzo del sistema di vendita online.
Occorre, inoltre, ricordare che il trattamento dei dati personali è soggetto all’inversione dell’onere probatorio ai sensi dell’art. 2051 CC ed è, quindi, necessario poter dimostrare, per non essere costretti a risarcire il danno, di aver adempiuto correttamente a un’obbligazione di tipo professionale e che l’evento lesivo si è verificato per fattori esterni imprevedibili.
Se poi si considera che, sempre più spesso, a tale sistema di vendita è affiancato un sistema di fidelizzazione che prevede, ad esempio, la gestione di una carta multifunzione intestata al cliente, che può essere utilizzata sia come carta di credito che come fidelity card per l’accumulo di punti omaggio, ulteriori database devono essere collegati a quello principale, che contiene le anagrafiche e i consensi rilasciati dall’interessato.
Occorre, inoltre, prevedere procedure di prevenzione di eventuali disguidi e smarrimenti, che consentano al cliente di tracciare l’evasione dell’ordine, la spedizione e la consegna alla persona effettivamente destinataria del pacco, evitando ogni possibile frode mediante sostituzione di persona.
Ma non basta. Quando l’acquisto di beni e servizi riguarda un bene immateriale, le misure di sicurezza del sistema devono prevedere anche la tutela del diritto d’autore, evitando la duplicazione dell’opera dell’ingegno tramite DRM (Digital Right Management) e la facoltà dell’acquirente di scaricare nuovamente il prodotto in caso di interruzione del download o di danneggiamento delle sue memorie elettroniche, backup incluso.
Ciò comporta la necessità di storicizzare anche gli acquisti effettuati e di mantenerli collegati all’anagrafica principale.
Al tempo stesso, l’utilizzo di servizi in streaming deve prevedere l’ascolto o la visione ma non il download del contenuto, con ulteriori misure di sicurezza che appesantiscono il sistema e complicano la vita al venditore e al consumatore.

Modalità di pagamento
Una delle problematiche più sentite nel mondo del commercio elettronico è, indubbiamente, la sicurezza nelle modalità di pagamento.
A oggi, le più diffuse sono il bonifico bancario anticipato (poco gradito all’utente), il contrassegno (poco gradito al venditore anche per il costo elevato) e il pagamento con la carta di credito o con sistemi che svolgono il ruolo di intermediari, come PayPal, che permettono di non affidare i dati degli strumenti di pagamento al venditore.
Inizialmente il trasferimento delle informazioni e dei dati personali tra venditore e cliente avveniva in chiaro, cioè senza alcun sistema di protezione rispetto a eventuali tentativi di intercettazione da parte di soggetti terzi, che avrebbero potuto inserirsi nella trasmissione dei dati tra acquirente e venditore, entrarne in possesso e, successivamente, utilizzarli per perpetrare truffe ai danni di entrambi.
Oggi, questa pratica di trasferimento delle informazioni è stata abbandonata in favore di sistemi più sicuri, che garantiscono una maggiore riservatezza e permettono di tenere sotto controllo la sicurezza delle transazioni e quella degli strumenti di pagamento utilizzati.
Alla base di ogni sistema di protezione c’è, attualmente, la crittografia, ossia la scienza che protegge le informazioni rendendole illeggibili a chi non possiede la chiave per decodificarle e renderle nuovamente disponibili.
Il sistema SSL (Secure Socket Layer), abbinato al normale protocollo di comunicazione HTTP (Hyper Text Transfer Protocol), consente di garantire la sicurezza della comunicazione (HTTPS) attraverso l’invio delle informazioni sotto forma di pacchetti cifrati.
Nell’utilizzo tipico di un browser da parte dell’utente finale, l’autenticazione è unilaterale, poiché è il server del venditore che si accredita presso il computer del cliente, attraverso un certificato garantito da un soggetto terzo (solitamente una società privata che attesta l’affidabilità del venditore).
Con tale tipo di procedura il cliente è sicuro dell’identità del fornitore ma non avviene il contrario, per cui il venditore deve garantirsi attraverso uno strumento di pagamento certo, in cui sia stato un altro soggetto affidabile ad identificare il cliente.
È il caso dell’utilizzo della carta di credito o del bonifico bancario, in cui è l’Istituto di emissione delle carte di credito o la banca presso cui è acceso il conto corrente a garantire per il cliente.
Il browser, nell’accedere al server del fornitore, controlla che il certificato scaricato dal sito sia valido sul server della Certificate Authority, utilizzando una cifratura a chiave pubblica.
Dopo questa autenticazione il browser indica che la connessione è sicura mostrando solitamente l’icona di un lucchetto.

Protocolli di cifratura
Il protocollo SSL permette anche un’autenticazione bilaterale, tipicamente utilizzata in applicazioni aziendali, grazie alla quale entrambe le parti si autenticano in modo sicuro, scambiandosi i relativi certificati.
Questa autenticazione reciproca (definita mutual authentication) richiede che anche il cliente possieda un proprio certificato digitale, cosa molto improbabile in un normale scenario B2C.
A oggi il sistema SSL è sicuramente il più utilizzato, in quanto supportato dalla maggior parte dei browser disponibili sul mercato e particolarmente vantaggioso perché non necessita di alcun software o credenziali specifiche.
Le pagine protette da questo protocollo sono facilmente riconoscibili, in quanto la scritta “https” precede l’indirizzo del sito protetto e le sue pagine vengono contrassegnate da un lucchetto visualizzato dal browser.
Accanto al protocollo SSL si sta diffondendo il sistema SET (Secure Electronic Transaction), nato dalla collaborazione tra Visa e Mastercard allo scopo di rendere più sicure le transazioni online.
Tale sistema solitamente non sostituisce il protocollo SSL ma si sovrappone a esso, generando un secondo livello di autenticazione, basato sulle credenziali e certificati di cui è in possesso l’utente.
Per utilizzare questo sistema è, però, necessario che il venditore disponga sul suo server dei software di collegamento con il sistema centrale dei circuiti internazionali di pagamento Visa e Mastercard e che il compratore sia in possesso del PIN (Personal Identification Number) della carta di credito.
In questo modo anche il venditore può verificare l’identità dell’acquirente, giacché difficilmente il truffatore potrebbe essere in possesso del PIN della carta, salvo che l’interessato non abbia avuto la brillante idea di annotarlo sulla carta stessa.

Password dispositive e firma elettronica
Per garantire maggiore sicurezza a ogni transazione risulta importante anche la procedura di registrazione dell’utente da parte del venditore, che non ha solo la finalità di fidelizzare il cliente e studiarne il comportamento ma anche quella di inserire un ulteriore livello di autenticazione a monte della transazione, per rendere ancora più difficoltosa l’attività di sottrazione delle credenziali da parte di eventuali malintenzionati.
È questa la ragione per cui, sempre più spesso, nel commercio elettronico viene preferita e incentivata la transazione previa registrazione dell’utente a quella diretta con lo strumento di pagamento.
Si tratta di un sistema di sicurezza mutuato dal mondo dell’home-banking, che oggi ha anche differenziato l’accesso all’area riservata dalle password dispositive, introducendo, per il primo sistema – di autenticazione – una password da modificare obbligatoriamente ogni tre mesi e, per il secondo sistema – di autorizzazione delle transazioni – una seconda password dispositiva da abbinare a una password usa e getta, che viene sostituita ogni volta che si accede oppure entro un limite temporale ridottissimo (di solito, 30 secondi o un minuto).
Sebbene la disciplina riguardante il commercio elettronico sia volta soprattutto alla tutela del consumatore, non bisogna dimenticare l’equivalente diritto del venditore a operare sul mercato in maniera serena.
Una delle principali problematiche che interessa colui che decide di offrire un bene o un servizio online è sicuramente quella di evitare il ripudio della transazione da parte dell’acquirente.
In questa direzione opera l’utilizzo della firma elettronica, che impedisce al consumatore di disconoscere un contratto firmato con un sistema di identificazione e sottoscrizione digitale.

Fonte: Sicurezza magazine

Pagamenti elettronici e sicurezza

La vicenda processuale trae spunto dalla sottrazione, al legittimo titolare, di una tessera Bancomat, successivamente utilizzata dagli imputati per l’acquisto di beni all’interno di un negozio.
Acquisto non andato a buon fine poiché la carta era stata tempestivamente bloccata.
La difesa ha sostenuto in giudizio l’insussistenza del reato in quanto “impossibile”, stante l’intervenuta inutilizzabilità della carta di pagamento per il blocco disposto dall’Istituto di Credito a seguito della segnalazione del titolare.
La Corte, tuttavia, ha rigettato tale tesi difensiva, evidenziando che, contrariamente all’ipotesi di carta di credito utilizzata dopo la data di scadenza, l’intervenuta disabilitazione dello strumento di pagamento per l’intervento del titolare integra ugualmente il reato previsto dall’art. 12, L. 197/1991 – e sanzionato dall’art. 55, L. 231/2007, legge 143/91 – poiché il sistema di pagamento è ancora attivo, ma bloccato.
La norma, infatti, pur richiedendo il fine di profitto, non prevede che l’operazione illecita vada a buon fine, ma anticipa il momento di consumazione del reato al semplice utilizzo della carta.
Chiaramente, nell’utilizzo illecito rientra anche l’inserimento della stessa in uno sportello automatico per prelevare denaro contante, così come la condotta consistente nel porgerla a un negoziante per effettuare il pagamento.
La fattispecie penalmente rilevante, in sostanza, risulta costruita dal Legislatore come reato di pericolo presunto, per la cui integrazione è sufficiente il possesso dello strumento creditizio – già idoneo di per sé a ledere il bene giuridico protetto dalla norma – individuato nella facoltà del titolare di poterne disporre in modo esclusivo.

Responsabilità dell’Istituto di Credito?
Se la soglia di punibilità così elevata costituisce un deterrente certamente più efficace della punizione della sola condotta dell’utilizzo andato a buon fine, la sentenza porta comunque a riflettere sulla sicurezza dei sistemi di pagamento e sulla facilità con la quale è possibile appropriarsene e utilizzarli, perché basati su tecnologie poco affidabili.
L’onere di segnalare la sottrazione della carta di pagamento – sia essa di debito o di credito – grava sul titolare, il quale, tuttavia, viene posto in una condizione di grave inferiorità nel confronti dell’Istituto di Credito emittente, sul quale non grava alcun obbligo normativo di utilizzare sistemi tecnologicamente sicuri.
Invero, si potrebbe invece ipotizzare una responsabilità dell’Istituto di Credito per non aver adottato quelle misure tecnologiche di protezione che sono ritenute efficaci per la prevenzione del crimine e che dovrebbero necessariamente essere utilizzate per garantire il rispetto del rapporto fiduciario tra il cliente e la Banca.
Così come l’Istituto ha l’obbligo di informare correttamente il cliente del rischio connesso all’uso di determinati strumenti finanziari, adottando le opportune contromisure per evitare prevedibili perdite – alla luce del sempre più frequente utilizzo di sistemi di clonazione della banda magnetica e di sottrazione del codice PIN e della tessera al legittimo titolare – ha l’obbligo di adottare ogni possibile cautela per evitare i rischi connessi a un uso illecito, senza limitarsi ad attendere la segnalazione di furto o smarrimento per procedere al blocco della carta.
E infatti, molti Istituti, prendendo evidentemente spunto da quanti sostengono la sussistenza di una posizione di garanzia del cliente in capo alla Banca, hanno da tempo iniziato ad adottare sistemi di protezione passiva e attiva sugli sportelli automatici, a promuovere costanti campagne di informazione e sensibilizzazione della clientela, a sollecitare gli esercenti a richiedere i documenti di identità agli utilizzatori delle carte di pagamento.
Tuttavia, nonostante la sempre maggiore diffusione di sistemi di clonazione facilmente occultabili sugli sportelli automatici e all’interno dei dispositivi elettronici che permettono i pagamenti (POS), la maggior parte delle carte di credito e di debito sono ancora basate sulla banda magnetica e solo di recente sono state introdotte le carte chip, che solo in alcune condizioni richiedono l’uso del codice numerico (PIN) associato alla lettura del microchip anziché della banda magnetica.
Benchè non esista una tecnologia assolutamente sicura, risulta evidente che l’utilizzo di un sistema basato su una chip-card e su un codice noto solo all’utente, insieme all’obbligo di identificazione del titolare tramite documento di identità, ridurrebbe di molto la possibilità di clonazione e sottrazione, dato che sarebbe comunque impossibile utilizzare lo strumento di pagamento senza possedere anche il codice.
La carta potrebbe comunque essere utilizzata dopo averla sottratta al titolare e avergli carpito il codice segreto, ma l’ipotesi sarebbe sicuramente residuale e, soprattutto, si escluderebbero tutte le ipotesi di frode on line, che attualmente sono possibili proprio perché i sistemi di autenticazione richiedono solo il codice di tre cifre presente sul retro della carta di credito e non associano in alcun modo lo strumento di pagamento al Chip o al codice PIN.
La circostanza appare incomprensibile se si considera che un lettore di carta chip – da collegare alla presa USB del computer o alla porta di comunicazione del cellulare – ha un costo industriale di pochi euro, che potrebbe essere agevolmente sostenuto dagli Istituti di Credito, vista l’onerosità delle condizioni economiche solitamente applicate alla clientela.
Ma, evidentemente, il rischio di dover risarcire il cliente derubato è ancora economicamente meno elevato dello sforzo necessario a convertirsi a tale tecnologia.
Né sarebbe impossibile adottare sistemi di riconoscimento biometrico – ormai presenti anche su molti dispositivi elettronici – che escluderebbero completamente l’ipotesi di indebito utilizzo.
Ma in questo caso emergerebbero problemi legati alla riservatezza del dato che, probabilmente, complicherebbero oltremodo l’utilizzo concreto.

Utilizzo incauto da parte del titolare
Un discorso a parte merita l’incauto uso dello strumento di pagamento da parte del titolare, fonte della maggior parte dei procedimenti che giungono al dibattimento.
Mentre le carte di credito, solitamente, assurgono agli onori della cronaca quando viene attaccato il database di una grande compagnia commerciale (che non si comprende per quale ragione non sia cifrato), i processi più tradizionali hanno a oggetto solitamente le tessere del Bancomat, sottratte al titolare insieme al codice segreto che permette di utilizzarle.
Le casistiche più diffuse riguardano la sottrazione del borsello o della borsa, nella quale, incautamente, il titolare conservava anche il codice PIN su un appunto, o memorizzato sul telefonino sotto la voce “Bancomat”, o addirittura annotato con un pennarello indelebile direttamente sulla carta.
Ma non manca chi si rende protagonista di un furto con destrezza dopo aver carpito il codice PIN grazie a una microcamera nascosta in prossimità dello sportello o semplicemente guardando il titolare che lo digita sulla tastiera.
Ad essere maggiormente esposte a tale tipologia di aggressione sono ovviamente le persone più anziane, che hanno più difficoltà nell’utilizzo degli strumenti elettronici di pagamento e raramente riescono a difendersi dalla sottrazione della borsa o del portafogli.
Una soluzione ottimale non sembra poter essere rapidamente raggiungibile e probabilmente l’uso dei dispositivi biometrici creerebbe più problemi di quanti ne risolverebbe, senza considerare il rischio – in un periodo di crisi come quello attuale – di vedersi tagliare un dito dal malfattore intenzionato a utilizzare liberamente la nostra carta di pagamento.

Fonte: Sicurezza magazine