Phishing e home banking: il cliente truffato deve essere risarcito dalla banca (Cassazione civile, sez. VI-1, ordinanza 12/04/2018 n° 9158)

Il phishing è una tipologia di truffa effettuata tramite Internet che si realizza inducendo un utente a rivelare informazioni “sensibili”, come codici di accesso, password, dati finanziari. Il malintenzionato, spacciandosi per un ente affidabile, trasmette una e-mail o altra comunicazione digitale alla vittima invitandola a fornire dati riservati e motivando tale richiesta solitamente con ragioni di ordine tecnico. Talvolta, l’e-mail incriminata, contiene un link che rinvia ad un sito-truffa, in apparenza del tutto simile all’originale. L’affidamento del raggirato nasce perché il truffatore veste alla perfezione i panni dell’ente che intende “rappresentare”, usando il logo dell’Istituto di credito o postale, per esempio imitandone la grafica, od utilizzando un indirizzo mail molto simile a quello degli stessi enti. Ai criminali informatici la fantasia di certo non manca. Una volta ottenute queste informazioni avviene il vero e proprio furto che si sostanzia principalmente nella sottrazione di liquidità. Con l’Ordinanza n. 9158 del 12/04/2018, la Corte di Cassazione Civile affronta la questione con riferimento alle piattaforme di “home banking”. Per home banking si intendono tutte quelle operazioni bancarie rese possibili da computer che consentono il collegamento diretto del cliente con la propria banca, senza doversi recare fisicamente presso la filiale dell’Istituto per intenderci. Il caso Nella vicenda in esame due correntisti, dopo aver ricevuto una mail sospetta da Poste Italiane S.p.a, subivano un furto di una somma di denaro, sottratta dal conto corrente intestato ai medesimi. In particolare, nella e-mail veniva chiesto di digitare i codici segreti di accesso al conto corrente on line. Gli ignari correntisti, facendo fede al mittente della missiva, fornivano le credenziali richieste. Dopo aver ottenuto le informazioni riservate i “ladri informatici” accedevano senza autorizzazione all’home banking e prelevavano illegittimamente le somme di denaro. I correntisti disconoscevano l’operazione sostenendo di non averla effettuato e, in ragione di ciò, chiedevano alle Poste il riaccredito della somma. Dopo aver ottenuto un rifiuto dall’Istituto postale, i due clienti lo convenivano in giudizio al fine di ottenere il risarcimento del denaro fraudolentemente sottratto. Le Poste si difendevano sostenendo di aver adottato un adeguato sistema di sicurezza, tale da impedire l’accesso ai dati personali del correntista da parte di terzi. Affermavano altresì l’assenza di un obbligo contrattuale atto a garantire e tutelare i clienti dalle frodi informatiche, giacché, secondo le loro difese, sono gli stessi clienti ad essere responsabili della custodia dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio. Nei giudizi di merito la richiesta attorea veniva rigettata. Secondo i Giudici infatti la responsabilità dell’accaduto era ascrivibile agli stessi attori che avrebbero tenuto una condotta negligente. In linea con questa decisione, vi sono diverse pronunce anche dell’ABF (Arbitro Bancario Finanziario) organismo preposto a risolvere le controversie insorte tra clienti e operatori finanziari in via stragiudiziale. Secondo questo ente, infatti, la condotta del correntista è ritenuta gravemente colposa qualora inserisca le proprie credenziali in risposta a e-mail palesemente mendaci quando redatte in un italiano maccheronico, con errori marchiani e lessico inadeguato, rendendo evidente lo scopo fraudolento. L’intervento della Corte di Cassazione La Suprema Corte, con l’Ordinanza che ci occupa, richiama la normativa in materia di privacy di cui al D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali). In particolare l’ art. 15 -“chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’ art. 2050 c.c.”– ma soprattutto l’ art. 31 per il quale “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Gli Istituti che forniscono gli strumenti di home banking dispongono dei dati sensibili dei clienti pertanto in caso di accesso non autorizzato o di impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c. Si configura quindi una forma di responsabilità oggettiva “aggravata”, poiché la Posta deve predisporre tutte le misure atte a consentire un controllo preventivo sulla effettiva identità del cliente. La giurisprudenza, infatti, ritiene che “la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell’area del rischio di impresa” pertanto l’operazione bancaria non potrà essere protetta dalla sola immissione di dati di accesso nel sistema ma sarà necessario un quid pluris per consentire alla banca di acclarare l’effettiva volontà del correntista di dar luogo alla disposizione patrimoniale. Per tali ragioni il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (“prova liberatoria”), ma è tenuto a fornire la prova positiva di una causa esterna. La diligenza imposta all’Istituto di credito, secondo gli Ermellini, deve essere “qualificata”, ai sensi dell’ art. 1176, 2° comma, c.c., e deve tenere conto della sfera professionale di riferimento. Il compito del prestatore dei servizi di pagamento è quindi quello di garantire uno standard di sicurezza adeguato nell’effettuazione dei pagamenti, al fine di precludere l’accesso a soggetti non abilitati al sistema. La responsabilità dovrà essere valutata assumendo come parametro la figura giuridica dell’ “accorto banchiere”. Onere probatorio In definitiva Poste Italiane s.p.a., in qualità di titolare del trattamento dei dati personali ed esercente attività pericolosa, è tenuta a porre in essere tutte le misure adeguate ad inibire l’intrusione di terzi nel sistema di home banking fornito al cliente. Sicché per non incorrere in responsabilità spetterà ad essa dimostrare di aver adottato tutti gli accorgimenti del caso e dimostrare altresì che il raggiro si è verificato per fatto naturale, per fatto del terzo o per fatto dello stesso cliente, per dolo o per comportamenti incauti da parte sua, tali da non poter essere previsti in anticipo. Come emerge dal D.Lgs. 11/2010, attuativo della direttiva 2007/64/CE,