Truffe phishing, danni e responsabilità: la sentenza della Cassazione
(Adnkronos) – Se un cliente di una banca finisce nella ‘trappola’ del phishing e rimane vittima di una frode, la responsabilità è sua e non dell’istituto di credito. E’ quanto ha stabilito la Cassazione, con sentenza numero 7214 del 13 marzo, con la quale si è espressa sul tema, introducendo di fatto un principio che rappresenta, per le banche, uno scudo di fronte alle richieste di risarcimento danni avanzati da correntisti truffati online.
Nel caso oggetto della sentenza, si apprende da una circolare che l’Abi ha inviato agli associati, il titolare del conto ha disconosciuto una operazione fraudolenta di bonifico eseguita per via telematica sul proprio conto da una terza persona. Nella causa di primo grado, il Tribunale di Palermo aveva condannato l’intermediario a rimborsare al titolare del conto corrente la somma che era stata sottratta fraudolentemente, ritenendo che l’intermediario non avesse adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quello oggetto di causa. Tale decisione, tuttavia, è stata riformata dalla sentenza della Corte d’Appello di Palermo, per poi essere confermata dalla Suprema Corte. La Corte di Cassazione, richiamando nei fatti di causa le argomentazioni poste dalla Corte d’Appello, ha dichiarato inammissibile il ricorso escludendo la responsabilità dell’intermediario.
Nel fare rinvio ai contenuti della decisione, l’Abi segnala agli associati alcuni aspetti: il comportamento del titolare del conto è da considerarsi ‘imprudente e negligente’ in quanto il cliente ha digitato i propri codici personali (richiestigli con una e-mail fraudolenta) consentendo così al truffatore di utilizzarli successivamente per effettuare disposizioni di pagamento. Sul punto, in secondo grado, è stato evidenziato che l’attività svolta dall’intermediario, in quanto relativa anche al trattamento informatico di dati personali, è da considerarsi ‘pericolosa’ (D.Lgs. n. 196 del 2003, art. 15 e art. 2050 c.c.), in considerazione delle sempre più frequenti truffe informatiche, miranti a carpire fraudolentemente i dati necessari per il compimento di operazioni illecite.
Inoltre, ricorda l’associazione, l’intermediario, ad avviso dei giudici d’Appello, ha adottato un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terze persone in quanto “i livelli di sicurezza dei sistemi informatici (…) sono stati certificati da appositi enti certificatori, secondo i più rigorosi ed affidabili standard internazionali” e dal contenuto di tali documenti emerge che “l’utilizzazione del servizio on line può avvenire esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale” dell’intermediario; è stato considerato positivamente dai giudici d’Appello il comportamento dell’intermediario che ha fornito una specifica informativa, anche precontrattuale, al cliente riguardo all’importanza della custodia e all’utilizzo corretto delle credenziali. Inoltre, i giudici hanno evidenziato come “sul sito internet di (…) [dell’intermediario], agevolmente consultabile dal correntista” vi è un apposito spazio in cui “vengono fornite le necessarie informazioni per evitare le frodi informatiche (in particolare, il phishing), con l’avvertenza, in particolare, che [l’intermediario] non richiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto di (…) [dell’intermediario] da quelli clonati, nei quali il correntista è indotto a digitare i propri codici personali”.
Con riferimento all’onere probatorio, conclude nella circolare l’Abi, la Corte di Cassazione ha concluso che l’intermediario non era tenuto a provare che l’addebito fosse stato approvato dai correntisti, in quanto dalle “caratteristiche di sicurezza proprie del sistema informatico [dell’intermediario] per l’esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione”.