Il phishing è una tipologia di truffa effettuata tramite Internet che si realizza inducendo un utente a rivelare informazioni “sensibili”, come codici di accesso, password, dati finanziari.
Il malintenzionato, spacciandosi per un ente affidabile, trasmette una e-mail o altra comunicazione digitale alla vittima invitandola a fornire dati riservati e motivando tale richiesta solitamente con ragioni di ordine tecnico. Talvolta, l’e-mail incriminata, contiene un link che rinvia ad un sito-truffa, in apparenza del tutto simile all’originale.
L’affidamento del raggirato nasce perché il truffatore veste alla perfezione i panni dell’ente che intende “rappresentare”, usando il logo dell’Istituto di credito o postale, per esempio imitandone la grafica, od utilizzando un indirizzo mail molto simile a quello degli stessi enti. Ai criminali informatici la fantasia di certo non manca.
Una volta ottenute queste informazioni avviene il vero e proprio furto che si sostanzia principalmente nella sottrazione di liquidità.
Con l’Ordinanza n. 9158 del 12/04/2018, la Corte di Cassazione Civile affronta la questione con riferimento alle piattaforme di “home banking”. Per home banking si intendono tutte quelle operazioni bancarie rese possibili da computer che consentono il collegamento diretto del cliente con la propria banca, senza doversi recare fisicamente presso la filiale dell’Istituto per intenderci.
Il caso
Nella vicenda in esame due correntisti, dopo aver ricevuto una mail sospetta da Poste Italiane S.p.a, subivano un furto di una somma di denaro, sottratta dal conto corrente intestato ai medesimi.
In particolare, nella e-mail veniva chiesto di digitare i codici segreti di accesso al conto corrente on line. Gli ignari correntisti, facendo fede al mittente della missiva, fornivano le credenziali richieste. Dopo aver ottenuto le informazioni riservate i “ladri informatici” accedevano senza autorizzazione all’home banking e prelevavano illegittimamente le somme di denaro.
I correntisti disconoscevano l’operazione sostenendo di non averla effettuato e, in ragione di ciò, chiedevano alle Poste il riaccredito della somma. Dopo aver ottenuto un rifiuto dall’Istituto postale, i due clienti lo convenivano in giudizio al fine di ottenere il risarcimento del denaro fraudolentemente sottratto.
Le Poste si difendevano sostenendo di aver adottato un adeguato sistema di sicurezza, tale da impedire l’accesso ai dati personali del correntista da parte di terzi. Affermavano altresì l’assenza di un obbligo contrattuale atto a garantire e tutelare i clienti dalle frodi informatiche, giacché, secondo le loro difese, sono gli stessi clienti ad essere responsabili della custodia dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio.
Nei giudizi di merito la richiesta attorea veniva rigettata. Secondo i Giudici infatti la responsabilità dell’accaduto era ascrivibile agli stessi attori che avrebbero tenuto una condotta negligente.
In linea con questa decisione, vi sono diverse pronunce anche dell’ABF (Arbitro Bancario Finanziario) organismo preposto a risolvere le controversie insorte tra clienti e operatori finanziari in via stragiudiziale. Secondo questo ente, infatti, la condotta del correntista è ritenuta gravemente colposa qualora inserisca le proprie credenziali in risposta a e-mail palesemente mendaci quando redatte in un italiano maccheronico, con errori marchiani e lessico inadeguato, rendendo evidente lo scopo fraudolento.
L’intervento della Corte di Cassazione
La Suprema Corte, con l’Ordinanza che ci occupa, richiama la normativa in materia di privacy di cui al D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali).
In particolare l’ art. 15 -“chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’ art. 2050 c.c.”– ma soprattutto l’ art. 31 per il quale “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Gli Istituti che forniscono gli strumenti di home banking dispongono dei dati sensibili dei clienti pertanto in caso di accesso non autorizzato o di impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c.
Si configura quindi una forma di responsabilità oggettiva “aggravata”, poiché la Posta deve predisporre tutte le misure atte a consentire un controllo preventivo sulla effettiva identità del cliente.
La giurisprudenza, infatti, ritiene che “la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell’area del rischio di impresa” pertanto l’operazione bancaria non potrà essere protetta dalla sola immissione di dati di accesso nel sistema ma sarà necessario un quid pluris per consentire alla banca di acclarare l’effettiva volontà del correntista di dar luogo alla disposizione patrimoniale.
Per tali ragioni il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (“prova liberatoria”), ma è tenuto a fornire la prova positiva di una causa esterna.
La diligenza imposta all’Istituto di credito, secondo gli Ermellini, deve essere “qualificata”, ai sensi dell’ art. 1176, 2° comma, c.c., e deve tenere conto della sfera professionale di riferimento. Il compito del prestatore dei servizi di pagamento è quindi quello di garantire uno standard di sicurezza adeguato nell’effettuazione dei pagamenti, al fine di precludere l’accesso a soggetti non abilitati al sistema. La responsabilità dovrà essere valutata assumendo come parametro la figura giuridica dell’ “accorto banchiere”.
Onere probatorio
In definitiva Poste Italiane s.p.a., in qualità di titolare del trattamento dei dati personali ed esercente attività pericolosa, è tenuta a porre in essere tutte le misure adeguate ad inibire l’intrusione di terzi nel sistema di home banking fornito al cliente. Sicché per non incorrere in responsabilità spetterà ad essa dimostrare di aver adottato tutti gli accorgimenti del caso e dimostrare altresì che il raggiro si è verificato per fatto naturale, per fatto del terzo o per fatto dello stesso cliente, per dolo o per comportamenti incauti da parte sua, tali da non poter essere previsti in anticipo.
Come emerge dal D.Lgs. 11/2010, attuativo della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, l’Istituto di credito ha l’obbligo di risarcire il correntista truffato, a meno che provi che il fatto sia stato cagionato dalla condotta colposa del danneggiato.
La giurisprudenza è concorde nel ritenere che il cliente può limitarsi esclusivamente a contestare la regolarità dell’operazione mentre spetta all’istituto di credito dimostrare la riconducibilità della stessa alla volontà del cliente.
OTP e Token
Una delle misure di sicurezza più diffuse nei servizi di home banking è l’OTP (One Time Password) e consiste nell’impiego di un codice numerico (o alfanumerico) usa e getta. Questo strumento rende le operazioni molto più sicure poiché è irripetibile e quindi utilizzabile un’unica volta. Rientra in un sistema di doppia autenticazione, prima con l’inserimento delle credenziali di accesso dopodiché con la digitazione di una ulteriore password che il cliente ottiene sul proprio smartphone mediante un sms.
L’utente può accedere al proprio conto corrente anche con altre modalità. Un dispositivo molto utilizzato ed affidabile è senza dubbio il token, detenuto dallo stesso cliente. Questo strumento genera password dinamiche ad intervalli di tempi. Il codice prodotto dovrà essere combinato con un pin già in possesso dal titolare del conto.
Ogni Istituto di credito evidentemente adotta le misure che ritiene più consone alla propria politica aziendale.
Conclusione
Nelle operazioni di home banking spetta alla Banca o alla Posta verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell’accorto banchiere. L’ uso dei codici di accesso al sistema da parte di soggetti non autorizzati rientra nel rischio professionale del prestatore dei servizi di pagamento, il quale deve tutelare il proprio cliente con appropriate misure di sicurezza. L’Istituto di credito o postale risponde del danno patito dal cliente, salvo fornisca la prova che il fatto sia imputabile al titolare del conto per dolo o per suoi comportamenti imprevedibili.
Per completezza espositiva si precisa che allo stato non esiste una fattispecie di reato ad hoc per il phishing. In linea generale, la condotta criminosa rientra nella frode informatica (art. 640 ter c.p.) che punisce “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno”. Questa disposizione sanziona chi commetta il fatto rubando od utilizzando indebitamente l’identità digitale altrui. Possono ravvisarsi quindi anche i delitti di sostituzione di persona (art. 494 c.p.) nonché di accesso abusivo ad un sistema informatico o telematico (art. 615 ter c.p.).
VP
[…] Il phishing consiste in una truffa effettuata online attraverso la quale un malintenzionato inganna la vittima, trasmettendole una email, fingendosi un ente affidabile allo scopo di convincerla a fornire informazioni personali, dati finanziari o codici di accesso. Per un approfondimento si suggerisce lettura di Phishing e home banking: il cliente truffato deve essere risarcito dalla banca (Cassazione civile, s… […]