NEWS

Phishing: se il correntista che si fa sottrarre i soldi dal conto è un credulone la banca è esente da responsabilità

La Cassazione, nel confermare una sentenza di appello, ha accertato che Poste Italiane non era da ritenersi responsabile per l’addebito sul conto corrente eseguito da un terzo soggetto privo del consenso dei titolari del conto le cui credenziali autorizzative era state sottratte tramite c.d. phishing.

(Nella foto: l'Avv. Domenico Battaglia, Delegato Federprivacy a Bolzano)

Il phishing è un fenomeno volto al furto d'identità che trae origine dall'invio casuale di messaggi di posta elettronica (e-mail) o SMS che riproducono la grafica e i loghi ufficiali di siti aziendali o istituzionali come quelli postali o bancari, ad un elevato numero di destinatari (tecnica denominata spamming). Tali messaggi, di solito, segnalano all'utente presunti problemi tecnici relativi all'accesso al conto, inducendolo all'inserimento di password che autorizzano pagamenti o numeri di carte di credito.

E’ stato condivisibilmente affermato nella giurisprudenza di merito che “la condotta comunemente definita "phishing" è scissa in due fasi laddove una prima fase è finalizzata ad ottenere illecitamente i dati personali o le credenziali della persona offesa ed una seconda fase è caratterizzata dall'illecito utilizzo dei dati ottenuti”. In ambito civilistico, in tema di risarcimento dei danni per phishing, il punto cardine è stato da subito individuato nella linea di demarcazione tra responsabilità dell’Istituto di credito e responsabilità del Cliente.

Da subito si indicava che l’Istituto di credito, quale titolare del trattamento di dati personali e in base al richiesto modello del bonus nummarius ovvero dell'accorto bancario quale operatore professionale, fosse tenuto ad adottare tutti gli idonei strumenti impedenti a terzi di introdursi illecitamente nel sistema telematico del Cliente, di captare i codici personali di accesso con le conseguenti illegittime disposizioni di bonifico, tenendo la Banca responsabile nel caso di mancata predisposizione di tali misure di sicurezza. Nella prima fase giurisprudenziale, quindi, era l’Istituto a dover provare che l'evento dannoso non gli fosse imputabile e che fosse discendente da trascuratezza, errore (o frode) dell'interessato o da forza maggiore. Acquisita rilevanza principale (se non del tutto assorbente altri profili) il rapporto contrattuale di home banking, la Banca, ben consapevole delle modalità di frode mediante phishing da tempo note nel settore, veniva considerata tenuta a adeguarsi all'evoluzione dei nuovi sistemi di sicurezza e ciò anche solo per la rivestita posizione di contraente qualificato.

Con il trascorrere degli anni e con il raffinamento tecnologico si è iniziato a richiedere agli istituti bancari l’adozione di sistemi di sicurezza aggiuntivi (quali il servizio di "sms-alert") tali da consentire l'immediato controllo da parte del Cliente della propria operatività sul conto e quindi la revoca dell'operazione disposta per errore o in modo fraudolento (Corte d'Appello Firenze, Sez. II, 08/09/2022, n. 1945). In generale, il non adeguamento dell’istituto di credito al più aggiornato sistema di sicurezza ritenuto idoneo dalla Banca d’Italia rende l’istituto responsabile e lo considera tenuto al risarcimento del danno.

La giurisprudenza tende a considerare l’attività dell’istituto di credito in merito al trattamento informatico dei dati personali “attività pericolosa” ai sensi anche dell’art. 2050 c.c., norma già citata nell’abrogato art. 15 del Codice Privacy, e per ciò tenuto a adottare tutte le misure idonee a evitare possibili danni. La responsabilità viene esclusa quando si interrompe il nesso eziologico tra attività pericolosa ed evento dannoso, come nel caso in cui il cliente si comporti in modo decisamente imprudente e negligente, per esempio quando comunica i propri codici personali (richiestigli verosimilmente a mezzo di una e-mail fraudolenta) all’ignoto truffatore.

L’ABF ha sostanzialmente seguito l’orientamento giudiziario nelle due fasi ora descritte. Fin dal 2010 prende-va in esame la responsabilità degli istituti di credito in merito alle truffe da phishing, determinando in una decisione l’esclusiva responsabilità di una banca per aver fornito una carta di credito, la cui operatività risultava aggredibile e vulnerabile nonostante la presenza di un microchip (Decisione n. 1393 del 2 dicembre 2010); ricordava inoltre nello stesso periodo agli istituti di credito l’obbligo di adottare le c.d. misure di sicurezza di secondo livello, ovvero password o credenziali di accesso generate di volta in volta da un token e destinate a valere solo per pochi secondi (Decisione n. 1426 del 6 dicembre 2010). Oggigiorno le decisioni ricalcano sostanzialmente gli esiti giurisprudenziali.

Da tutto ciò discende che, a fronte del costante elevamento degli standard di sicurezza in campo digitale, l’ago della responsabilità (e dell’onere probatorio) è andato spostandosi dall’Istituto di credito al correntista: mentre nei primi anni, a fronte dei primigeni sistemi di sicurezza, era la Banca a dover provare la trascuratezza del Cliente (cui invece toccava la prova della inattendibilità delle difese telematiche attuate dalla Controparte bancaria), oggigiorno, consolidate le misure telematiche di difesa, e residuando esclusivamente la possibilità che i dati siano forniti agli hackers “sua sponte” dal Cliente, una Banca accorta e digitalmente competente, nonché adeguatamente “schermata” da idonea informativa contrattuale, non vedrà praticamente mai riconosciuta la propria responsabilità nel caso il Cliente sia vittima di phishing.

E’ il caso di fare un cenno alla responsabilità penale in capo al c.d. phisher.

Essa è sancita dall’art. 167 del Codice Privacy, il quale, rubricato “trattamento illecito di dati”, punisce con la reclusione da sei mesi a un anno e sei mesi chi al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato arreca a questi nocumento in violazione delle indicate norme del detto Codice (co. 1) ovvero con la reclusione da uno a tre anni nel caso si proceda al trattamento dei dati personali violando le disposizioni del GDPR (co. 2), sempre fatto salvo il più grave reato. L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala è prevista e punita dall’art. 167-ter del Codice Privacy. Si può inoltre rientrare nell’ambito della truffa (art. 640 c.p.) o della frode informatica (art. 640 ter c.p.).

Phishing: Confermata la responsabilità dei correntisti in caso di condotta colposa dei medesimi

Senza dubbio, quindi, sussiste l’illiceità del phisher nel carpire i dati riservati dell’Utente, sussistendo al più solo la questione ermeneutica della precisa sussunzione della fattispecie alla precisa ipotesi di reato tra le diverse azionabili.

Sul tema del trattamento dei dati personali, si osserva come in diverse recenti sentenze di merito (ex multis, Tribunale Milano, Sez. VI, Sent., 06/11/2020, n. 7021; Tribunale Gela, Ord., 17/05/2021; Giudice di pace Cagliari, Sent., 30/01/2023, n. 133) gli Utenti truffati hanno richiesto la condanna dell’Istituto di credito per la mancata custodia dei dati personali, nello specifico sostenendo l’inadeguatezza dei sistemi informatici tesi ad impedire l’illecita captazione dei codici dei correntisti, ma i Giudici hanno disatteso le richieste attore, e ciò sul lineare elemento che gli ordini di pagamento fossero stati impartiti a seguito della attività incauta di comunicazione a terzi dei propri dati ad opera del correntista e non per effetto della violazione o effrazione del sistema informatico dell’Istituto di credito.

E’ invero norma chiave del GDPR quella secondo la quale il titolare del trattamento deve poter provare, in caso di evento dannoso, di aver adottato le migliori soluzioni disponibili a tutela dei dati dal medesimo gestiti. Ciò è puntualmente preso in esame dall’art. 24 co. 1 GDPR, secondo cui “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.

Nella fattispecie presa in esame dalla Cassazione civile (sez. I – 13 marzo 2023 n. 7214) due correntisti di Poste Italiane Spa si vedevano addebitare sul proprio conto corrente la somma di € 6.000,00 per un’operazione di bonifico eseguita per via telematica da un terzo. L’adito Tribunale di Palermo accoglieva la domanda risarcitoria sul rilievo che la società convenuta non avesse adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli verificatisi nel caso di specie.

La competente Corte di appello si esprimeva in modo diametralmente opposto, affermando invero che Poste Italiane avesse adottato un sistema di sicurezza tale da impedire l’accesso ai dati personali dei correntisti da parte di terzi, osservando come i livelli di sicurezza dei sistemi informatici fossero stati certificati da appositi enti secondo i più rigorosi ed affidabili standard internazionali e che l’utilizzazione del servizio telematico potesse avvenire esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale della detta Società. Risultava quindi ai Giudici del gravame la mancanza di precauzioni da parte dei titolari nel mantenere segreti i codici forniti, determinando di conseguenza il rischio di accessi illeciti al servizio nonché di operazioni fraudolente da parte di terzi. La Cassazione confermava la sentenza di appello, ritenendo inammissibili tutti i motivi addotti dai ricorrenti.

In conclusione, l’aumento del livello di informazione tecnologica da parte dell’utente medio, l’autotutela degli istituti di credito in ambito di informativa ai Clienti e, soprattutto, l’indicata evoluzione (e applicazione) dei sistemi di sicurezza da parte delle Banche, rendono ad oggi l'assenza di cautela dell'utente difficilmente scusabile, ricadendo in tal caso il soggetto fisico in quella che è stata definita una “colpevole credulità”.

Considerando, però, che la fattispecie decisa dalla Corte di Cassazione aveva luogo nel lontano 2005, è lecito chiedersi se l’allora livello di informazione tecnologica da parte dell’utente, anche in relazione alle campagne informative poste allora in essere dall’Istituto, fosse tale da poter davvero concludere che la credulità di quegli utenti fosse davvero colpevole o se, al contrario, bene aveva fatto il Tribunale di Palermo ad attribuire la colpevolezza in capo all’Istituto.

Note Autore

Domenico Battaglia Domenico Battaglia

Avvocato del foro di Bolzano, socio membro Federprivacy e Delegato per la provincia di Bolzano. Membro dei gruppi di lavoro per la tutela della privacy nella gestione del personale, cybersecurity e studi professionali di Federprivacy. Docente a contratto presso l'Università di Padova. Data Protection Officer del Consiglio dell'Ordine degli Avvocati di Bolzano. - Email: [email protected]

Prev GDPR e Whistleblowing: la tutela reciproca che rafforza la tutela della privacy
Next Data breach e il ruolo del Data Protection Officer nella gestione delle comunicazioni

Privacy Day Forum 2024: intervista a Pasquale Stanzione

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
I agree with the Privacy e Termini di Utilizzo