Phishing and Contratti Bancari
di Silvia Giampaolo
Con il termine "phishing" si fa comunemente riferimento a un tipo di truffa attuata via internet, che si caratterizza per l'invio di messaggi di posta elettronica che imitano la grafica di siti bancari o postali, attraverso, i quali si cerca di ottenere dalle vittime la password di accesso al conto corrente, le password che autorizzano i pagamenti oppure il numero della carta di credito.
Il Phishing quindi va inquadrato come un reato contro il patrimonio, che si attua attraverso una condotta illecita, posta in essere attraverso vari stratagemmi, come appunto fasulli messaggi di posta elettronica o, ancora, veri e propri programmi informatici e malware, mediante la quale un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici di un utente, che poi utilizza per frodi informatiche consistenti, di solito, nell'accedere a conti correnti bancari o postali che vengono rapidamente svuotati.
La suddetta truffa presuppone, pero’, la partecipazione di un terzo "collaboratore", c.d. financial manager, ossia colui, che si presta a che le somme che l'hacker trafuga dal conto corrente nel quale è entrato abusivamente vengano accreditate sul proprio conto corrente al fine, poi, di essere definitivamente trasferite all'estero con operazioni di money transfert (Trib. Trento 04-05-2016, FontiMassima redazionale, 2016).
In sostanza, quindi, la condotta comunemente definita "phishing" è scissa in due fasi laddove una prima fase è finalizzata ad ottenere illecitamente i dati personali o le credenziali della persona offesa ed una seconda fase è caratterizzata dall'illecito utilizzo dei dati ottenuti (Trib. Trento, 29-05-2015, Fonti, Massima redazionale, 2015).
La giurisprudenza e’ intervenuta piu’ volte sul tema del “phishing” in relazione ai rapporti di conto corrente con istituti di credito bancari o con Poste Italiane s.p.a, in quanto svolgente nella fattispecie attività bancarie, rilevando che - benché "il creditore che agisce in giudizio sia per l'adempimento sia per la risoluzione ed il risarcimento del danno, deve fornire la prova della fonte negoziale del suo diritto, limitandosi ad allegare l'inadempimento della controparte, su cui incombe l'onere della dimostrazione del fatto estintivo costitutivo dell'adempimento" (Cass., Sez. Un., n. 13533/2001), detti istituti non possono essere esenti dagli obblighi di diligenza, ai sensi dell'art. 1176, 2 comma c.c. ( Trib. Bologna Sez. IV, Sent., 25/06/2014).
E’ stato evidenziato, infatti, che "non può essere omessa la verifica dell'adozione da parte dell'istituto bancario di misure idonee a garantire la sicurezza del servizio...; infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere"(Cass., n. 13777/2007).
Inoltre, con specifico riferimento all'attività bancaria svolta a mezzo internet, e’ stato precisato che "nell'espletamento dei servizi di pagamento tramite Internet, Poste Italiane è tenuta ad adottare tutte le misure tecniche idonee a garantire un adeguato standard di sicurezza nell'effettuazione dei pagamenti, in modo da impedire l'accesso di soggetti non abilitati al sistema ed evitare danni ai clienti"(Trib. Siracusa, 5.3.2012).
Non solo, per la giurisprudenza italiana, la responsabilità non può essere ridotta o esclusa, in applicazione dell'art. 1127 c.c. , per effetto degli avvertimenti divulgati alla propria clientela contro i fenomeni di "phishing", ovvero lo “spillaggio” di dati personali riservati che configurano l'identità informatica di un soggetto, non ricorrendo dimostrazione della condivisione, volontaria o involontaria, dei dati identificativi necessari al compimento dell'operazione (…) (Trib. Palermo Sez. V, Sent., 17/07/2015).
Con numerose pronunce, la giurisprudenza di merito ha precisato che “nel gestire il servizio di home banking la banca deve rispettare una diligenza professionale parametrata dal criterio dell'accorto banchiere. Non possono pertanto ritenersi sufficienti ad assicurare le opportune misure di sicurezza la modalità della consegna, all'attivazione del servizio, di un codice più utente e una prima password di accesso che il cliente è tenuto a modificare al momento del primo accesso. Sul mercato esistono, infatti, numerosi dispositivi di più sicuro livello” (Trib. Verona, Sez. IV, 02/10/2012).
Dunque, "nell'ambito del servizio di "home banking", il rispetto da parte del cliente delle norme di sicurezza sulla custodia delle credenziali per accedere al servizio è condizione necessaria ma non sufficiente per escludere la possibilità di intrusioni indebite da parte di terzi, intrusioni che possono essere causate da un insufficiente grado di protezione del servizio offerto dalla banca, a prescindere da comportamenti negligenti del cliente. In base a tale principio, la banca deve essere condannata alla rifusione delle somme sottratte al cliente in seguito ad una illecita intrusione nel servizio qualora la banca stessa non dimostri che il cliente abbia violato le norme di custodia delle credenziali di accesso e non offra dimostrazione di aver adottato adeguati accorgimenti tecnici volti a tutelare la sicurezza del correntista o particolari cautele doverose in presenza di un ordine di bonifico con caratteristiche insolite rispetto alla normale operatività del cliente” (Trib. Asti, 03/09/2012; nel medesimi termini anche Trib. Milano 4.12.2014 di cui sopra).
E’ ancora, e’ stato precisato come ‘l'art. 12,3 D.Lgs. n. 11/2010 non può considerarsi applicabile quando l'operazione fraudolenta sia posta in essere mediante meccanismi di aggressione informatica particolarmente subdoli (e.g. c.d. fenomeno "man-in-the-browser") e profondamente differenti dai "tradizionali" metodi di phishing. Tale diversità, infatti, li rende capaci di sorprendere la buona fede anche di un pur normalmente attento fruitore del servizio, inducendolo quindi a cooperare inconsciamente nell'attuazione della stessa frode. La condotta del cliente, dunque, in ragione delle modalità di compimento della frode, non può essere qualificata come dolosa o gravemente colposa. Segue, perciò, a carico del prestatore di servizi di pagamento, l'obbligo di restituzione della somma sottratta, salva franchigia di legge “ ( Coll. Arbitrale Milano, 10-02-2014, Sito Il caso.it, 2015).
Infine, recentemente, la Suprema Corte di Cassazione e’ intervenuto sul tema in esame rilevando che “La possibilità della sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano all'istituto di credito di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente. In tal senso, invero, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, deve ritenersi del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. (Nel caso concreto, pertanto, ai fini del rigetto della domanda risarcitoria, non può ritenersi sufficiente il rilievo - peraltro presuntivamente affermato - attribuito all'incauto comportamento del correntista che avrebbe consentito la sottrazione dei codici. (Cass. civ. Sez. I, Sent., 03/02/2017, n. 2950)”.
Avv. Silvia Giampaolo
