IL RISARCIMENTO DEL DANNO DA PHISHING
Dott.ssa Lucia Sessa
Il phishing è un tipo di truffa effettuata via internet, tramite e-mail, sms (smishing), telefonate (vishing) o siti fantasma, attraverso cui un malintenzionato cerca di ingannare la vittima convincendola a fornire il numero della carta di credito o i codici di accesso ai servizi di internet banking, fingendosi un ente bancario o postale. Generalmente, la vittima della truffa da phishing viene indotta a fornire i codici di accesso alla propria banca multicanale, in modo da consentire al truffatore di effettuare pagamenti in suo favore: a tal fine, egli finge di essere l'istituto di credito della vittima, creando l'apparenza di una comunicazione con la propria banca, così carpendone la fiducia (si riceve un sms o una telefonata proveniente dal medesimo numero della propria banca e spesso viene predisposto un sito internet identico a quello originale). Questa pratica, punita ai sensi degli artt. 615 ter e 640 ter c.p., è sempre più diffusa e in continua evoluzione, tanto che recentemente si sono registrati episodi in cui il truffatore fingeva di essere l'Agenzia delle Entrate, l'Inps o noti corrieri e ha portato, quindi, all'aumento esponenziale delle richieste di risarcimento del danno avanzate contro i vari istituti di credito, ritenuti responsabili della tutela dei servizi di home banking e della corretta conservazione dei dati sensibili dei clienti. La condotta del soggetto autore della truffa non ha solo rilevanza penale, ma si configura, chiaramente, anche un'ipotesi di responsabilità civile. Spesso, tuttavia, si tratta di un soggetto non individuabile o, comunque, con un patrimonio inesistente e non aggredibile, tanto da rendere difficoltoso il recupero delle somme sottratte. Peraltro, la Suprema Corte[1] ha ritenuto che accanto alla figura dell'hacker che si procura i dati, assume rilievo quella del collaboratore presta-conto, che mette a disposizione un conto corrente per accreditare le somme fraudolentemente sottratte. A tal riguardo, il comportamento di tale soggetto è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing, giacché la relativa condotta interviene successivamente, con il compimento di operazioni volte a ostacolare l'identificazione della provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate. Sovente, ad essere individuato è il collaboratore presta-conto, restando, invece, ignoto l'hacker.
In materia di risarcimento del danno da phishing trova applicazione il d.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), il cui art. 15 prevede che chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento del danno ai sensi dell'art. 2050 c.c., quale esercizio di attività pericolose. In aggiunta, l'art. 31 del d.lgs. n. 196/2003 dispone che i dati personali oggetto di trattamento debbono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Alla luce di quanto sopra esposto, l'istituto di credito ha l'obbligo di adottare tutti gli accorgimenti necessari a prevenire l'illecita captazione di dati, onde evitare accessi non autorizzati all'internet banking. Qualora si verifichi un accesso non autorizzato o l'impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c., in quanto, secondo la giurisprudenza maggioritaria, nel caso di erogazione del servizio di home banking, la banca deve garantire uno standard di sicurezza adeguato al fine di precludere l'accesso a soggetti non abilitati al sistema.
Si tratta di una forma di responsabilità oggettiva aggravata, in cui il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno, ma è tenuto a fornire anche la prova positiva di una causa esterna[2] (così Trib. di Milano, sent. del 04.12.2014; Trib. di Firenze, sent. del 20.05.2014).
La Corte di Cassazione, con l'ordinanza n. 9158/2018, ha confermato l'orientamento giurisprudenziale maggioritario secondo cui alla banca, quale prestatore dei servizi di pagamento che fornisce gli strumenti di home banking, è richiesta una diligenza tecnica, da valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo come parametro la figura dell'accorto banchiere, ai sensi dell'art. 1176, co. II, c.c. (Cfr. Corte Cass., sent. del 12 giugno 2007 n. 13777; Corte Cass., Sez. I, sent. del 19 gennaio 2016 n. 806).
Le Sezioni Unite della Corte di Cassazione, con sentenza 13533/2001, inoltre, hanno affermato la regola generale secondo cui il creditore che agisce in giudizio per ottenere il risarcimento del danno deve fornire solo la prova della fonte negoziale del suo diritto, limitandosi ad allegare l'inadempimento della controparte su cui incombe, invece, l'onere di dimostrare il fatto estintivo, costituito dall'adempimento delle proprie obbligazioni. A tal riguardo, la giurisprudenza ritiene che "la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell'area del rischio di impresa, destinato ad essere fronteggiato attraverso l'adozione di misure che consentano di verificare, prima di dare corso all'operazione, se essa sia effettivamente attribuibile al cliente"[3]. In buona sostanza, non è sufficiente che il correntista inserisca le credenziali per presumere la volontarietà dell'azione, ma è necessario un quid pluris, per consentire al prestatore di servizi di acclarare l'effettiva volontà del cliente di dar luogo alla disposizione patrimoniale. Il Tribunale di Nocera Inferiore[4], ha affermato la responsabilità del prestatore di servizi per violazione degli obblighi inerenti alla predisposizione di dispositivi di sicurezza idonei ad evitare intrusioni agevoli nei sistemi protetti, fondandola sul mancato rispetto della disciplina vigente in materia di protezione dei dati personali. Più in particolare, l'Autorità giudiziaria ha ritenuto sussistente in capo all'istituto di credito interessato l'obbligo di adottare, o comunque fornire al proprio cliente, le misure tecniche più idonee ad evitare che terzi possano venire a conoscenza in modo fraudolento delle credenziali che consentono di utilizzare il servizio di home banking. La clientela deve essere dotata dei dispositivi necessari per generare una password alfanumerica usa e getta, comunemente indicata come One Time Password (OTP)[5], che rende le transazioni molto più sicure, giacché impiegabile una volta soltanto. L'intermediario bancario è tenuto, quindi, ad adeguarsi a standard elevati di crittografia dei dati personali in modo da evitare intrusioni esterne e di adottare o, comunque, fornire al proprio cliente le misure più idonee ad evitare che terzi possano venire a conoscenza, in modo fraudolento, delle credenziali ed utilizzare l'home banking.
Anche il Tribunale di Lecce[6], ha statuito che la sottrazione dei codici identificativi del correntista rientra nel rischio di impresa dell'istituto di credito che deve fronteggiare attacchi esterni mediante l'adozione di adeguate misure di sicurezza volte a verificare, prima di dare corso all'operazione, che essa sia effettivamente attribuibile o meno al cliente. Per il Tribunale, l'istituto di credito interessato, non garantendo degli standard di sicurezza tali da evitare ingerenze esterne, si è resa inadempiente dell'obbligo di garantire la sicurezza delle operazioni on-line.
Tali orientamenti sono stati recentemente confermati dal Giudice di Pace di Mercato San Severino, con la sent. n. 757/2021, resa e depositata il 29/11/2021, che ha condannato un noto operatore di servizi postali, il quale sosteneva la propria estraneità alla vicenda, a risarcire all'attore la somma fraudolentemente sottrattagli attraverso il phishing, sottolineando come la società convenuta "nulla ha provato onde dimostrare la responsabilità, colpa/imprudenza dell'attore nella gestione della vicenda". Tale pronuncia assume rilevanza considerato che all'art. 10 del d.lgs. n. 11/2010, attuativo della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, è disposto, in merito alla prova di autenticazione ed esecuzione delle operazioni di pagamento, che se l'utilizzatore di servizi di pagamento nega di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dalla banca non è di per sé sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo e, pertanto, ai sensi del successivo art. 12, l'istituto di credito è tenuto a risarcire al correntista truffato, quanto gli sia stato prelevato illegittimamente. Se l'istituto di credito vuole andare esente da responsabilità, ha l'onere di dimostrare la legittimità dell'operazione on-line non autorizzata, l'adozione di misure sicurezza idonee ad evitare ingerenze esterne, nonché la violazione, da parte del cliente, degli obblighi di corretta conservazione delle credenziali di accesso all'internet banking, nascenti dal contratto.
______________________________________
[1] Cfr. Cass. Pen., II sez., 9 Febbraio 2017, n. 10060.
[2] Cfr. Giudice di Pace di Campobasso, 19 Maggio 2016, n. 227.
[3] Cfr. Cass. Civ., I sez., 3 Febbraio 2017, n. 2950.
[4] Cfr. Trib. Nocera Inferiore, II sez. civ., 15 Settembre 2011, n. 816.
[5] Cfr. Arbitro bancario finanziario, decisione n. 10118/2016; decisione n. 2660/2017; decisione n. 142/2017.
[6] Cfr. Trib. Lecce, II sez. civ., 11 Ottobre 2019, n. 3139.