Categorie approfondimento: Credito e banche
25 Gennaio 2015

Phishing: i confini della negligenza del cliente

Di cosa si tratta

Anni fa trattammo il fenomeno del phishing nell’articolo “Phishing: responsabilità della banca o del cliente? I profili civilistici”. Sulla base della giurisprudenza esistente, l’articolo valutava quali fossero i criteri principali per determinare a chi fosse attribuibile la responsabilità del verificarsi della frode e, soprattutto, chi dovesse sopportarne gli effetti. Concludemmo l’analisi sostenendo che nella maggior parte dei casi i giudizi si concludevano con decisioni salomoniche nelle quali si riconosceva la responsabilità dell’istituto di credito che tuttavia era attenuata in forza della condotta negligente dell’utente.
Una recente sentenza emessa dal tribunale di Milano, sezione sesta, ci fornisce il pretesto per tornare a trattare il tema in quanto il giudice, dott.ssa Cosentini, si discosta dalle pronunce precedenti, tutte annoverabili nello stesso orientamento, e individua i limiti della responsabilità del cliente al quale (parrebbe) non sia richiesta una particolare condotta diligente.
Nella fattispecie la banca, pur ritenuta responsabile per non aver adottato i presidi di sicurezza richiesti, non vedeva riconosciuto il concorso del fatto colposo del cliente, disciplinato dall’art. 1127 cod. civ., e quindi non beneficiava della riduzione dell’importo da risarcire.
Prima di proseguire nell’analisi della richiamata sentenza è opportuno riproporre la definizione di phishing fornita dalla Corte di Cassazione con la sentenza n. 9891 del 11/03/2011: si tratta di “quell’attività illecita in base alla quale, attraverso vari stratagemmi […] un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici […] di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito, nell’accedere a conti correnti bancari o postali che vengono rapidamente svuotati”.
Come è noto, i momenti in cui si realizza questo tipo di frode sono due, il primo riconducibile all’esclusiva sfera del cliente, costituito dalla ricezione di e-mail apparentemente riconducibili alla banca e dalla sottrazione della credenziali d’accesso, e il secondo che attiene all’istituto di credito, costituito dall’utilizzo delle credenziali d’accesso sottratte per la realizzazione di operazioni dispositive non autorizzate sul conto corrente del cliente.
Ebbene, la vicenda in esame vedeva la presenza di tutti i richiamati elementi; in particolare risultava pacifico che la frode si fosse realizzata perché il correntista non si era accorto che possibili e-mail di apparente provenienza della banca fossero “in realtà frutto di pirateria informatica e celassero l’intento truffaldino di carpire dati riservati”.
A fronte dell’accertamento di tali situazione era tuttavia singolare quanto il giudice “reputava” e cioè che la e-mail “che verosimilmente era stata veicolo della truffa informatica perpetrata, non rappresentasse palesi evidenze di contraffazione, ciò in particolare agli occhi di un cliente comune, di cui non è provata alcuna qualificata competenza nel settore informatico, né tantomeno nel settore dell’informatica bancaria”.
Questa affermazione evidenzia un concetto di portata più generale: il giudice ritiene che al cliente non sia richiesta una particolare diligenza nel valutare la corrispondenza che riceve, salvo che questa non presenti particolari “evidenze di contraffazione”, anche se da ciò derivi la comunicazione a terzi delle credenziali di accesso al proprio conto corrente. La ragione di quanto detto sta nel fatto che il cliente è “cliente comune” privo di particolari competenze e quindi soggetto non qualificato come invece è considerata una Banca.
Nel caso in esame il giudice fondava tali valutazioni sull’impossibilità di ascrivere“a mancata diligenza del cliente il fatto di non essere stato al corrente” delle modalità con cui si realizzava la frode anche perché la comunicazione era “dichiaratamente proveniente” dall’ufficio assistenza della Banca, aveva un indirizzo “di non immediata riconoscibilità truffaldina” e riportava il logo che compariva nella documentazione contrattuale rilasciata ai correntisti.
Le indicazioni che emergono da questa sentenza,molto favorevole ai soggetti truffati, potrebbero essere accolte positivamente da molti ma crediamo che la decisione resterà un caso isolato. Infatti non sfuggirà al lettore accorto che le valutazioni espresse nel provvedimento porterebbero, se adottate generalmente, all’esclusione in radice della negligenza del cliente salvo che lo stesso non abbia adottato una condotta macroscopicamente incauta così facendo venir meno il principio del “concorso di colpa” che non avrebbe spazio per essere applicato.
Appare in ultimo interessante soffermarci su quali siano state le valutazioni del giudice che lo hanno portato a riconoscere la responsabilità della banca. Ebbene, sulla base degli accertamenti compiuti da un consulente tecnico il giudice ha reputato che la banca fosse gravemente in difetto per non “essersi ancora adeguata agli standard di sicurezza dei sistemi informatici, non avendo adottato, nel servizio di home banking” un sistema di autenticazione dell’utente denominato tecnicamente OTP – “One Time Password” (ossia chiave d’accesso da utilizzare una sola volta) “che all’epoca dei fatti costituiva lo standard consolidato per la tutela dei Clienti di banche dal phishing e dai programmi spia”.
Sulla base di tale accertamento il giudice ha ritenuto la banca responsabile ai sensi dell’art. 1176, comma 2, cod. civ.

(Visited 7 times, 12 visits today)