Con il termine “phishing” si definiscono tutti quei comportamenti delittuosi, attuati attraverso il web, finalizzati a copiare ed utilizzare dati personali di soggetti privati e pubblici; tra i reati più diffusi l’invio di mail, con l’indicazione nel mittente del nome di Istituti di Credito o delle Poste Italiane che, una volta aperti con l’utilizzo delle proprie credenziali da parte del destinatario, consentono all’autore del reato di carpire i dati per accedere all’home banking.
Dal punto di vista legislativo il Codice sulla Privacy, introdotto con d. lgs. 196/2003, nonché il decreto legislativo n. 10/11 sui sistemi di pagamento on line, impongono agli istituti bancari di predisporre adeguati sistemi di sicurezza informatica; inoltre, l’art. 2050 del codice civile, in materia di attività pericolose, stabilisce la responsabilità di colui che esercita tale attività, salvo prova contraria.
ONERE DELLA PROVA A CARICO DELLA BANCA
In generale, il principio applicabile nei casi di phishing è quello secondo cui è onere del titolare dei dati relativi ai conti correnti – cioè la banca - fornire la prova di aver predisposto un sistema di sicurezza adeguato a proteggere i dati medesimi; soltanto in tal modo potrà esimersi da responsabilità ed evitare il risarcimento dei danni.
Tale principio è stato più volte affermato dalla Corte di Cassazione, la quale ha precisato che l’Istituto di credito è responsabile, quale titolare del trattamento dei dati personali, per non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici d’accesso, a meno che non dimostri che il fatto sia dipeso da negligenza o trascuratezza dell’interessato o da forza maggiore.
In primo luogo, pertanto, la banca deve dimostrare di aver adottato tutte le misure di sicurezza previste dalle leggi in materia e ritenute adeguate all’evoluzione tecnologica; in particolare l’utilizzo, per il cliente, sia di codici di accesso “statici” sia di una password “dinamica” o “usa e getta” (detta OTP, generata da un dispositivo token).
OPERAZIONE RIFERIBILE AL CLIENTE
Oltre a ciò, la banca deve anche dimostrare, per andare esente da ogni responsabilità, che l’operazione informatica incriminata sia dovuta a negligenza del cliente e sia a lui riferibile.
E’ quanto di recente affermato sempre dalla Suprema Corte, con l’ordinanza n. 9158/2018 del 12 aprile, in un caso avente per oggetto il ricorso presentato da due soggetti contitolari di un conto corrente presso le Poste Italiane, di cui chiedevano la condanna alla restituzione di € 5.500,00, oltre accessori, pari all’importo bonificato on line a favore di un terzo che aveva utilizzato, senza alcuna autorizzazione da parte dei medesimi, i dati personali dei correntisti.
La Corte d’Appello aveva dato ragione alle Poste, ritenendo che del danno subito dovessero rispondere i correntisti, per mancata diligenza nella custodia dei codici di accesso ai servizi di home banking.
LA CASSAZIONE
Tale decisione viene invece ribaltata dalla Cassazione, la quale afferma che banche e Poste sono responsabili nei confronti del titolare di un conto corrente per il bonifico eseguito con il sistema dell’home banking in favore di un soggetto estraneo al cliente, nel caso in cui quest’ultimo disconosca l’operazione contabile, in quanto su di esse incombe l’onere di provare che la stessa sia riferibile al cliente medesimo.
In particolare, secondo i giudici di legittimità, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di utilizzo dei codici di accesso al sistema da parte di terzi, non attribuibile a dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.
CONCLUSIONI
Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, la banca, cui è richiesta una diligenza di natura tecnica, valutabile con il parametro dell’accorto banchiere, è tenuta fornire la prova della riconducibilità dell’operazione al cliente.
L’ordinanza in esame è nel solco della giurisprudenza che tende ad ampliare l’ambito di responsabilità degli operatori economici, cui viene richiesta una diligenza professionale elevata ed una specifica capacità di prevedere operazioni fraudolente da parte di terzi; di diverso orientamento sono molte pronunce dell’ABF (Arbitrato Bancario e Finanziario), di cui abbiamo trattato in altri articoli, che puntano sulla diligenza richiesta ai clienti nel custodire le proprie credenziali e nell’informarsi dei possibili rischi legati all’incauto utilizzo degli stessi.