Phishing e Responsabilità della Banca

L’Istituto di Credito è responsabile della sottrazione di somme dal conto corrente on line se non si è adeguato ai sistemi di sicurezza informatici standard
Con la sentenza n. 14533, il Tribunale di Milano, Sezione VI, ha analizzato la questione del cd. phishing, ossia dell’utilizzo di tecniche informatiche attraverso le quali alcuni soggetti sottraggono fraudolentemente i dati personali di acceso ai conti correnti on line di un utente per compiere prelievi od atti di disposizione del denaro a danno dei titolari dei conti correnti.

Il phishing viene usualmente effettuato mediante l’invio di una o più e-mail all’indirizzo di posta elettronica del titolare del conto, che riproduce la grafica ed il contenuto del sito della banca, e con la quale il soggetto viene invitato ad inserire i propri dati per accedere al conto on line per scongiurare accessi indesiderati e problemi di privacy o di sicurezza.

Nel caso di specie, due fratelli convenivano in giudizio le Poste Italiane, deducendo:

di avere un conto corrente cointestato;
che sul conto corrente erano state effettuate diverse operazioni di addebito non disposte dai medesimi;
si avvedevano della circostanza allorquando tentavano inutilmente di effettuare operazioni di acquisto a mezzo bancomat;
sporgevano denuncia-querela dell’accaduto.
Pertanto, i correntisti chiedevano l’accertamento della responsabilità della Posta che non aveva adottato adeguate misure di sicurezza e di protezione idonee a prevenire la sottrazione ed il fraudolento utilizzo dei dati personali necessari per accedere al servizio home banking.

L’Istituto di Credito si costituiva in giudizio, negando la propria responsabilità e chiedendo il rigetto della domanda in quanto il sistema di sicurezza adottato era conforme allo stato d’arte ed idoneo a tutelare i propri clienti da truffe informatiche; pertanto, l’evento era da attribuirsi alla negligenza dei clienti che avevano incautamente rilevato a terzi i propri dati di accesso oppure non avevano utilizzato software di protezione.

Il Tribunale di Milano ha rilevato quanto segue:

gli addebiti sul conto corrente non sono stati voluti dai correntisti, ma sono “imputabili all’operato truffaldino di soggetti terzi”;
i ricorrenti hanno sporto tempestiva denuncia penale;
i due correnti sono stati vittime di “phishing”, ossia di quella “tecnica informatica illecita finalizzata alla sottrazione fraudolenta dei dati personali di accesso ai conti correnti online, da utilizzare per compiere atti dispositivi in danno dei legittimi titolari, di cui carpiscono l’identità informatica; la modalità è ascrivibile per lo più all’ingannevole invio di mail… che contengono l’invito al titolare di accedere al conto on line, con ciò comunicandone i dati di accesso personali e riservati, onde scongiurare temporanei asseriti problemi”;
dal 2005 in poi le principali banche europee e di oltreoceano hanno iniziato ad adottare il sistema di autenticazione OTP (one time password), nel servizio bancario on line; nel 2007 le banche italiane si sono allineate, procedendo in tale senso. Tale sistema di autenticazione comporta l’utilizzo di una chiave Usb e di una password autogenerata valida solo per pochi secondi;
nonostante ciò, all’epoca dei fatti (anno 2009) l’Istituto di Credito non si era adeguato agli standard di sicurezza dei sistemi informatici in quanto non aveva adottato nel servizio di home banking il sistema di autenticazione basato su OPT che costituiva uno standard consolidato di sicurezza.
l’art. 1176, 2° comma, c.c. stabilisce che “nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata”;
l’Istituto di Credito è il contraente qualificato che è informato delle modalità di frode mediante phishing note nel settore e, pertanto, “era tenuta ad adeguarsi all’evoluzione dei nuovi sistemi di sicurezza informatici, altrettanto noti, idonei a contrastare il fenomeno”;
non può essere imputato ai clienti la mancata conoscenza delle modalità di frode e neppure il fatto di non essersi accorti che le mail di apparente provenienza dalla Banca erano invece frutto di pirateria informatica ad intento truffaldino.
Per tutti i motivi sopra esposti, il Tribunale ha ritenuto sussistente la responsabilità contrattuale di Poste Italiane e condannato quest’ultimo al risarcimento dei danni patrimoniali e non patrimoniali subiti dagli attori.