Phishing e responsabilità del danneggiato.
Cos'è il phishing?
Il phishing è una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli.
Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l'accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l'utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.
In generale, lo scopo dei cyber-criminali, si sostanzia nel carpire le credenziali del malcapitato correntista (user id e password), per poi impiegarle fraudolentemente, al fine di sottrarre liquidità.
Così è accaduto nella fattispecie in oggetto, in cui è stata bonificata una somma di circa 5 mila euro, dal conto corrente degli attori, ad un soggetto a loro sconosciuto. I correntisti disconoscono l’operazione (ossia il bonifico) sostenendo di non averlo effettuato e, in ragione di ciò, chiedono alle Poste il riaccredito della somma. Queste ultime rifiutano, ritenendo la condotta dei titolari del conto negligente ed ascrivendo loro la responsabilità del fatto. In altre parole, l’istituto di credito, per liberarsi della responsabilità ex art. 2050 c.c., oltre ad affermare di aver adottato tutte le misure idonee, sostiene che il fatto sia accaduto per la condotta tenuta dai danneggiati. Sul punto, varie pronunce dell’ABF (Arbitro Bancario Finanziario) – organismo deputato a risolvere in via stragiudiziale le controversie insorte tra clienti e operatori finanziari – hanno statuito che sia gravemente colposa la condotta del correntista che inserisca le proprie credenziali, qualora l’e-mail truffaldina sia redatta in un italiano maccheronico, con errori marchiani e lessico inadeguato, rendendo evidente lo scopo fraudolento. Parimenti, è responsabile il cliente che cada reiteratamente in errore, continuando ad inserire i propri dati di accesso in risposta a e-mail palesemente “false”. Tuttavia, al di là di tali “casi limite”, l’orientamento dominante è volto a tutelare il correntista e ad ascrivere la responsabilità alla banca, in quanto l’eventualità di sottrazione delle credenziali rientra nel rischio professionale dell’erogatore dei servizi di pagamento.
Onere della prova in capo alla banca: d. lgs 11/2010
La giurisprudenza ritiene che «la sottrazione dei codici del correntista, attraverso il phishing, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente». In buona sostanza, non è sufficiente che chi esegue l’operazione bancaria – ad esempio, il bonifico – inserisca le credenziali per garantire la volontarietà dell’azione. È necessario un quid pluris, per consentire alla banca di acclarare l’effettiva volontà del correntista di dar luogo alla disposizione patrimoniale. Il d.lgs. 11/2010, attuativo della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, all’art. 10 si occupa della “prova di autenticazione ed esecuzione delle operazioni di pagamento”. In particolare, dispone che se il correntista (definito “utilizzatore di servizi di pagamento”) nega di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dalla banca (“prestatore di servizi di pagamento” nel linguaggio del legislatore) non è di per sé sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento. La legge pone in capo all’istituto di credito l’obbligo di risarcire il correntista truffato (art. 12, d.lgs. 11/2010), il quale risponde personalmente della perdita subita sino a 150 euro. Se l’istituto di credito vuole andare esente da responsabilità, ha l’onere di dimostrare la legittimità dell’operazione on line non autorizzata e la violazione, da parte del cliente, degli obblighi nascenti dal contratto. In altre parole, deve provare che il fatto sia stato cagionato dalla condotta colposa del danneggiato.
Nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all’istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell'“accorto banchiere”. L’eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.
Così ha deciso la Corte di cassazione con l'ordinanza 12 aprile 2018, n. 9158.
Due correntisti convenivano in giudizio le Poste Italiane S.p.A. per ottenere la condanna al risarcimento della somma di oltre 5 mila euro, loro sottratta fraudolentemente tramite un’operazione on line non autorizzata . Nei giudizi di merito la domanda veniva rigettata. In particolare, secondo la Corte territoriale, la responsabilità per l’accaduto era ascrivibile al comportamento negligente degli appellati, i quali avevano digitato i propri codici personali, a seguito della ricezione di un’e-mail fraudolenta (cosiddetto phishing), in tal modo consentendo al truffatore di utilizzarli. Si giungeva così in Cassazione.
Home bancking e esercizio di attività pericolosa (art. 2050 c.c.)
I prestatori dei servizi di pagamento – in altre parole, le banche – che forniscono gli strumenti di home banking, dispongono dei dati sensibili dei clienti, pertanto trova applicazione il d.lgs. 196/2003 (Codice in materia di protezione dei dati personali). In particolare, l’art. 15 prevede che chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c. (esercizio di attività pericolose). Inoltre, l’art. 31 d.lgs.196/2003 dispone che i dati personali oggetto di trattamento siano custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Alla luce di quanto sopra, l’intermediario, quindi, ha l’obbligo di adottare degli accorgimenti adeguati a prevenire l’illecita captazione di dati attraverso il phishing, onde evitare accessi non autorizzati. L’adeguatezza dei sistemi impiegati dall’istituto di credito viene valutata avendo riguardo alle conoscenze acquisite in base al progresso tecnico. Qualora si verifichi un accesso non autorizzato o l’impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c. Si tratta di una forma di responsabilità oggettiva “aggravata”, in cui il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno (cosiddetta “prova liberatoria”), ma è tenuto a fornire la prova positiva di una causa esterna. Può trattarsi di fatto naturale, di fatto del terzo o di fatto dello stesso danneggiato che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell’esercente l’attività pericolosa. Ciò non toglie che, nel caso di erogazione del servizio di home banking, la banca debba garantire uno standard di sicurezza adeguato nell’effettuazione dei pagamenti al fine di precludere l’accesso a soggetti non abilitati al sistema. La diligenza richiesta, in tale circostanza, ha natura tecnica (art. 1176, c. 2, c.c.) e «deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere».
Misure tecniche che riducono i rischi: Token e OTP
Per evitare il phishing, una delle modalità di sicurezza più diffuse nei servizi di home banking consiste nella doppia autenticazione e nella conferma dell’operazione con un pin inviato tramite sms al titolare del conto. A tal proposito si parla di One Time Password (OTP), vale a dire dell’impiego di un codice numerico o alfanumerico, usa e getta, che rende le transazioni molto più sicure dato che è impiegabile una volta soltanto. Infatti, non è sufficiente possedere le credenziali di accesso al conto corrente per effettuare delle transazioni; l’operazione può andare a buon fine solo dopo la digitazione di un’ulteriore password – impiegabile una volta sola – inviata tramite sms sullo smartphone del titolare del conto. Un altro strumento è il token, si tratta di un dispositivo fisico che genera password dinamiche ad intervalli di tempo. Il suo uso dà luogo all’autenticazione a due fattori: da una parte “occorre possedere lo specifico token che, in un dato istante, genera lo stesso numero casuale generato dal server di autenticazione, dall’altro occorre conoscere il PIN con cui il numero va combinato”.
Conclusioni
La Suprema Corte, per tutte le ragioni sopra esposte, ritiene che spetti alla banca fornire la prova della riconducibilità dell’operazione al cliente. Inoltre, l’istituto di credito deve dimostrare di aver adottato tutte le misure idonee per garantire la sicurezza dell’home banking. Viene, quindi, enunciato il seguente principio:
«in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell'entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente»
La sentenza impugnata è cassata e rinviata per nuovo esame alla Corte d’Appello che si dovrà attenere al principio di cui sopra.