News
Giugno 11, 2025
Con l’aumento dell’uso delle app cresce anche il rischio di frodi digitali e di attacchi mirati al furto di dati o alla clonazione delle app ufficiali dei brand. Ignorare la prevenzione anti-frode mette a repentaglio la brand protection dell’azienda e può esporre a sanzioni pesanti e a responsabilità legali. In questo articolo analizziamo che cosa rischia un’azienda che non avvisa i propri clienti sui rischi delle app malevole, quali settori sono obbligati per legge a informare l’utenza e come proteggere il marchio e i clienti.
Negli ultimi anni, le autorità di vigilanza europee hanno inasprito gli obblighi di informazione e sicurezza per proteggere i consumatori.
PSD2 (Settore pagamenti): le banche e i Payment Service Provider (PSP) devono avvisare i clienti quando un incidente ICT può compromettere i loro interessi finanziari. In caso di omessa o ritardata comunicazione, possono scattare multe da parte di Banca d’Italia, oltre all’obbligo di rimborso immediato per operazioni non autorizzate (artt. 73-74 PSD2).
EECC (Operatori TLC e servizi di messaggistica): se si identifica una “minaccia particolare e significativa” (ad esempio un’ondata di smishing o app fake), il fornitore deve tempestivamente informare gli utenti sulle contromisure (art. 40 comma 3). AGCOM può irrogare sanzioni pecuniarie in caso di inadempimento.
Codice del Consumo: omettere di segnalare rischi di sicurezza (ad esempio invitare a non scaricare app da store non ufficiali) è considerato pratica commerciale scorretta. L’Autorità Garante della Concorrenza e del Mercato (AGCM) può comminare multe fino a 10 milioni di euro o al 4% del fatturato annuo globale.
GDPR: qualsiasi titolare di trattamento dati deve informare “senza ingiustificato ritardo” gli interessati qualora un data breach comporti un rischio elevato per i loro diritti e libertà. In caso contrario, si rischiano multe fino a 20 milioni di euro o al 4% del fatturato globale, oltre a provvedimenti correttivi da parte del Garante della Privacy.
DORA (Digital Operational Resilience Act), in vigore dal 17 gennaio 2025 per il settore finanziario, estende e armonizza gli obblighi di incident reporting per “major ICT incidents”. La mancata notifica a competenti autorità di vigilanza (es. BCE, Autorità bancaria nazionale) può comportare sanzioni amministrative rilevanti e, in casi gravi, limitazioni operative.
NIS2 (Network and Information Security 2) individua “entità essenziali” e “entità importanti” (energia, trasporti, sanità, digitale, Pubblica Amministrazione, ecc.) e impone di attuare misure tecniche e organizzative adeguate. Se l’incidente impatta sui servizi erogati agli utenti, può essere richiesto di informare la clientela, pena sanzioni fino a 10 milioni di euro o al 2% del fatturato globale (per entità essenziali) e fino a 7 milioni o all’1,4% (per entità importanti).
I clienti truffati possono citare in giudizio l’azienda per negligenza (art. 2043 c.c.), richiedendo risarcimenti per danni patrimoniali e non patrimoniali.
Oltre ai costi diretti, vi è un danno reputazionale che si traduce in perdita di fiducia, riduzione del portfolio clienti e aumenti dei premi assicurativi cyber.
Non tutte le imprese hanno gli stessi obblighi normativi, ma i seguenti ambiti devono obbligatoriamente mettere in campo attività di prevenzione e comunicazione verso l’utenza:
Norma di riferimento: PSD2 art. 96.
Obblighi:
Informare i clienti di rischi ed incidenti che possono influire sui loro interessi finanziari.
Pubblicare e fornire linee guida su gestione dei rischi ICT e comportamenti di sicurezza (awareness).
Norma di riferimento: DORA art. 19.
Obblighi:
Gestione e tempestiva notifica degli incidenti ICT alle autorità competenti.
Informare i clienti delle misure di mitigazione.
Norma di riferimento: EECC (European Electronic Communications Code) art. 40 comma 3.
Obblighi:
In presenza di “minaccia particolare e significativa” (es. campagne di smishing, app contraffatte) devono “informare opportunamente gli utenti potenzialmente coinvolti sulle misure di protezione”.
Norma di riferimento: Direttiva NIS2 2022/2555 (recepita in Italia con D.lgs. n. 03/2024).
Obblighi:
Implementare misure tecniche e organizzative idonee per garantire la continuità dei servizi.
Notificare incidenze che possano avere un impatto sul funzionamento dei servizi e, se del caso, informare direttamente gli utenti finali.
Norma di riferimento: regolamento IVASS 44/2019.
Obblighi:
Predisporre procedure antifrode e di adeguata verifica del cliente (KYC).
In caso di “minaccia particolare” (truffe legate a falsi polizze o app contraffatte), informare la clientela sulle modalità di difesa.
Norma di riferimento: GDPR art. 34.
Obblighi:
Comunicare agli interessati (clienti, utenti) l’avvenuto data breach se sussiste un “rischio elevato” per i diritti e le libertà degli interessati, entro 72 ore dalla scoperta.
Norma di riferimento: Codice del Consumo art. 20-22.
Obblighi:
Evitare omissioni ingannevoli o carenza di informazioni rilevanti (es. avvertenze su link sospetti, app non ufficiali). L’omissione può qualificarsi come pratica commerciale scorretta.
Anche negli ambiti dove gli obblighi non sono esplicitamente dettagliati, è imprescindibile adottare una strategia di prevenzione continua, integrando misure di app security e awareness. Di seguito alcune best practice consigliate:
Programma di cyber-awareness rivolto agli utenti
Inviare comunicazioni periodiche con consigli pratici:
“Scarica l’app solo dallo store ufficiale (Google Play, App Store).”
“Non condividere OTP o credenziali con terzi.”
Utilizzare un linguaggio semplice, chiaro e coerente con la brand identity, in modo da ridurre il rischio di tentativi di spoofing o phishing che imitano stili grafici ufficiali del brand.
Implementare una procedura di Incident Response e Customer Care
Definire un playbook che coinvolga SOC, Compliance e Customer Care:
Se un incidente supera una soglia predeterminata (es. impatto su un numero minimo di utenti o importo economico), entro 24-48 ore si inviano avvisi formali ai clienti.
Preparare template standard di comunicazione, già approvati dalle funzioni legali, contenenti:
Descrizione sintetica dell’incidente.
Indicazioni pratiche delle attività dell’azienda per mitigare il danno (es: aggiornamento app, contatto di supporto, ecc.).
Riferimenti alle normative di settore che giustificano l’avviso.
Registro delle frodi e reportistica periodica
Tenere un registro strutturato delle attività fraudolente (tipologia di attacco, canale di ingresso, impatto economico) secondo gli standard EBA/ENISA.
Misurare KPI (fraud rate, percentuale di falsi positivi, tempo medio di risoluzione) e condividerli con le autorità di vigilanza (ove previsto), dimostrando la “diligenza” dell’azienda.
Verifica contrattuale con fornitori di terze parti
Incluse clausole contrattuali che obblighino i fornitori a notificare immediatamente eventuali vulnerabilità o incidenti sulle app pubblicate.
Prevedere audit di sicurezza, per identificare possibili backdoor o vulnerabilità.
Per molte realtà, dalle fintech alle telco, fino alle imprese che offrono servizi mobile-first, un sistema di monitoraggio passivo non basta più. Ecco dove entra in gioco AppSentry, la soluzione di Mobisec per la rilevazione delle “Rogue Mobile App” e per il monitoraggio continuo delle app ufficiali in tutti gli store mobile.
Rogue mobile app detection: analizza in modo automatico il codice, le risorse grafiche e i certificati delle app pubblicate su store ufficiali e non ufficiali, alla ricerca di APK modificati o wrappati che potrebbero minare l’app legittima.
App security in real time: AppSentry fornisce alert immediati quando viene individuata una versione sospetta dell’app, permettendo di lanciare campagne di comunicazione preventiva agli utenti e attività di takedown dell’applicazione non ufficiale.
Brand protection: grazie a report dettagliati e a dashboard intuitive, è possibile dimostrare la compliance verso regolatori (PSD2, EECC, NIS2) e rassicurare stakeholders e utenti sul fatto che l’azienda monitora continuamente il panorama delle minacce.
Riduzione delle sanzioni potenziali: dimostrare l’adozione di AppSentry nel contesto di un programma strutturato di app security diminuisce notevolmente il rischio di contestazioni da parte delle autorità di vigilanza, perché si configura come misura di “diligenza” e di “migliori pratiche” riconosciute anche da ENISA e EBA.
In sintesi, non agire preventivamente non è un errore di poco conto. Le normative europee e italiane, da PSD2 a DORA, da EECC a NIS2, fino al GDPR e al Codice del Consumo, impongono obblighi di informazione e di incident response. Le sanzioni possono arrivare a decine di milioni di euro, senza contare il danno alla reputazione e alle relazioni con i clienti.
L’investimento in un programma di app security strutturato e in strumenti specifici come AppSentry rappresenta dunque un’opportunità per trasformare l’obbligo normativo in un elemento di valore competitivo:
Proteggi i tuoi clienti da APK contraffatti, smishing e phishing in-app.
Rafforza la brand protection, dimostrando attenzione e trasparenza verso l’utenza.
Riduci il rischio di sanzioni dimostrando di aver adottato soluzioni di mercato riconosciute.
Avere un approccio proattivo all’anti-frode significa tutelare la propria reputazione e consolidare la fiducia nel brand. Con AppSentry, Mobisec offre un livello di protezione continuo che si integra perfettamente con le politiche di compliance aziendale, assicurando che le aziende possano focalizzarsi sulla crescita sapendo di essere coperte dai più alti standard di app security e brand protection.