Corte d'appello federale Banca d'assalto contro la sicurezza online scadente

Una società di costruzioni statunitense potrebbe avere una maggiore possibilità di recuperare parte dei $ 345.000 dollari persi con bonifici fraudolenti che incolpa sulle scarse pratiche bancarie online della sua banca.

Patco Construction Company, con sede a Sanford, nel Maine, ha citato in giudizio Ocean Bank, ora denominata People's United Bank, dopo che i truffatori hanno effettuato sei bonifici utilizzando il sistema di trasferimento Automated Clearing House (ACH) che ammontava a più di $ 588.000 nel maggio 2009. Circa $ 243.000 sono stati recuperati.

Nel suo caso, Patco ha affermato tra le altre affermazioni che la sicurezza online di Ocean Bank non era commercialmente ragionevole ai sensi dell'articolo 4A del Codice commerciale uniforme (UCC), un codice federale che disciplina le controversie contrattuali che È stato adottato nella maggior parte delle leggi degli Stati Uniti.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

L'UCC non ammette reclami come negligenza, frode e violazione del contratto. Il codice rende potenzialmente costoso per le piccole imprese citare in giudizio le istituzioni finanziarie per frodi legate alla criminalità informatica. Anche se una piccola impresa vince una causa, sotto il codice i danni finanziari sono limitati solo ai soldi rubati più gli interessi.

In una svolta significativa, un pannello di corte d'appello federale di tre giudici ha trovato martedì che le misure di sicurezza online di Ocean Bank non erano "commercialmente ragionevoli", annullando una sentenza della corte inferiore da maggio 2011.

Ciò non significa che Patco sarà rimborsato. La corte d'appello ha affermato che saranno necessarie ulteriori audizioni per determinare quali responsabilità Patco potrebbe aver dovuto proteggersi durante le transazioni bancarie online. La corte ha anche avvertito che, nonostante la sentenza, Patco e Ocean Bank potrebbero voler cercare di risolvere la questione in via extragiudiziale.

Ma l'ultima sentenza è un segnale che le piccole imprese stanno avendo maggiore successo nel trasferire la responsabilità nei confronti delle banche nella sicurezza online crolli, compresi gli accordi extragiudiziali.

Patco sostiene che i trasferimenti fraudolenti sono stati causati dal malware Zeus, che può acquisire credenziali di autenticazione che consentono ai truffatori di avviare i propri trasferimenti illegittimi.

Nella sua decisione, la corte d'appello citata un errore critico commesso da Ocean Bank come frode ACH era diventato più diffuso. Nel giugno 2008, Ocean Bank ha deciso di avviare "domande di sfida" per tutte le transazioni per i suoi clienti valutate a oltre $ 1.

Le domande di sfida sono spesso utilizzate nei sistemi di autenticazione e richiedono all'utente di inserire ulteriori informazioni oltre a un accesso o una password , come il nome della prima strada su cui una persona viveva o il modello della prima vettura.

Poiché le risposte alle domande della sfida venivano visualizzate ogni volta che Patco effettuava un trasferimento, questo "aumentava il rischio che tali risposte fossero compromesso da keylogger o altro malware che catturerebbe tali informazioni per usi non autorizzati ", secondo la sentenza.

La corte ha anche rilevato che Ocean Bank non stava monitorando le sue transazioni per frode né notifica ai clienti prima che una transazione sospetta potesse procedere, entrambe le capacità che possedeva con il suo sistema di sicurezza.

Patco usava il sistema ACH per elaborare il suo libro paga settimanale in quantità che non eccedevano mai $ 37.000. I trasferimenti fraudolenti, tuttavia, erano molto più alti: $ 56.594, $ 91,959, $ 99,068, $ 111,963, $ 113,647 e $ 115,620.26.

Tutte le transazioni erano "insolite in quanto inviavano denaro a numerose persone a cui Patco non aveva mai inviato fondi , erano per importi maggiori rispetto alle ordinarie transazioni di terzi di Patco, sono stati inviati da computer che non erano riconosciuti dal sistema di Ocean Bank e provenivano da indirizzi IP che non erano riconosciuti come indirizzi IP validi di Patco ", ha affermato la sentenza.

Invia suggerimenti e commenti a [email protected]