Si sente frequentemente parlare di “phishing”, termine con il quale vengono designati tutti quei comportamenti delittuosi, attuati attraverso la rete internet, volti a carpire dati personali di soggetti privati e pubblici, al fine di utilizzarli impropriamente e contro la volontà della vittima.
Si tratta di veri e propri reati, per i quali è possibile sporgere querela, rivolgendosi alla polizia postale o ai carabinieri, anche se molto spesso è difficile risalire all’autore dell’atto, da rintracciare ed individuare nella fitta rete del web.
PHISHING
Uno di questi atti, purtroppo molto diffuso, consiste nell’inviare all’indirizzo di posta elettronica del malcapitato una mail, indicando nell’intestazione il nome di una banca e nell’oggetto un “avviso” dal tenore allarmante (ad esempio: “avviso di mora”, o “procedimento sanzionatorio” o simili messaggi); se il destinatario ci casca, l’apertura della mail con l’utilizzo delle credenziali di accesso al proprio servizio di home banking può costare molto caro.
L’autore del phishing, infatti, viene messo in grado di decodificare e copiare i dati personali del titolare del conto corrente, quindi di dare ordine alla banca di effettuare bonifici di somme, ad insaputa del suo titolare; in questi casi come può tutelarsi il titolare del conto e quali sono le eventuali responsabilità della banca?
Vediamo anzitutto quali sono le fonti normative cui far riferimento per la disciplina della materia.
FONTI NORMATIVE
Il complesso normativo si ricava dal Codice sulla Privacy introdotto con d. lgs. 196/2003, dal decreto legislativo n. 10/11 sui sistemi di pagamento on line, che impone agli istituti bancari di predisporre adeguati sistemi di sicurezza informatica, nonché dall’art. 2050 del codice civile, che disciplina le attività pericolose, affermando la responsabilità di colui che esercita tale attività, salvo la prova di aver adottato tutte le misure idonee ad evitare il danno.
Sulla base di tali disposizioni il primo principio ricavabile stabilisce che è onere del titolare dei dati relativi ai conti correnti – cioè la banca - fornire la prova di aver predisposto un sistema di sicurezza adeguato a proteggere i dati medesimi; soltanto in tal modo potrà esimersi da responsabilità ed evitare il risarcimento dei danni.
RESPONSABILITA’ DELLA BANCA
E’ quanto ha affermato anche la Corte di Cassazione, con un’importante sentenza, la n. 10638 del 23/05/2016, in un caso in cui una titolare di conto corrente presso Poste Italiane aveva subito il furto delle proprie credenziali di accesso on line al conto (codice identificativo, nome utente e password) mediante l’invio di una mail, a seguito della quale era stata effettuata un’operazione di postagiro non autorizzata dalla correntista.
La Suprema Corte, alla luce del quadro normativo delineato, chiarisce che l’Istituto di credito risponde, quale titolare del trattamento dei dati personali, dei danni conseguenti al non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici d’accesso, se non prova che l’evento dannoso non gli è imputabile in quanto dipendente da negligenza o trascuratezza dell’interessato o da forza maggiore.
L’esimente per la banca, pertanto, è data dalla dimostrazione – ad opera dello stesso istituto di credito – che il cliente correntista ha tenuto un comportamento non conforme alla normale diligenza richiesta nel custodire i propri dati personali.