Categorie approfondimento: Credito e banche
6 Dicembre 2011

Phishing: responsabilità della banca o del cliente? I profili civilistici

Di cosa si tratta

Una recente sentenza del Tribunale di Palermo, la n. 2904/11, ci fornisce il pretesto per proporre una breve analisi di quella peculiare forma di frode informatica conosciuta con il nome phishing.
Per motivi professionali nel corso degli ultimi anni abbiamo più volte affrontato questo fenomeno che, nonostante sia conosciuto e temuto dalla maggior parte degli utenti di Internet, appare in costante crescita. In ragione della diffusione del phishing la giurisprudenza, sia di merito sia di organismi indipendenti, incomincia a essere tale da permettere di valutare con organicità quali siano i più rilevanti profili giuridici del fenomeno. Detta giurisprudenza è di fondamentale importanza giacché in Italia non vi è alcuna normativa specifica in materia e, pertanto, le vertenze civilistiche in materia di phishing sono state decise sulla base delle disposizioni codicistiche.
Occorre in ultimo evidenziare che le pronunce in materia di phishing hanno due principali fonti: la giurisdizione ordinaria civile e l’Arbitro Bancario Finanziario (ABF). Se nulla vi è da dire in ordine alla prima fonte, per quanto concerne la seconda, l’ABF è un organismo indipendente e imparziale che ha quale scopo principale la risoluzione delle liti tra i clienti e le banche e gli altri intermediari che riguardano operazioni e servizi bancari e finanziari. Tale organismo è stato introdotto dall’art. 128-bis del Testo unico Bancario ed è stato reso operativo dalle disposizioni della Banca d’Italia in data 18/7/09. Il sistema di risoluzione delle liti è ovviamente stragiudiziale e si pone quale alternativa (celere e poco costosa) al giudizio ordinario senza tuttavia precluderne il successivo accesso. Le decisioni, infatti, non sono vincolanti.
Fatte le dovute premesse, al fine di individuare con precisione le caratteristiche del phishing è opportuno prendere le mosse da una definizione, sufficientemente puntuale, che ci viene fornita dalla Corte di cassazione penale. Nella sentenza n. 9891 del 11/03/2011 gli ermellini hanno definito il phishing come “quell’attività illecita in base alla quale, attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici e malware) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito, nell’accedere a conti correnti bancari o postali che vengono rapidamente svuotati”.
Tralasciando i pur rilevanti profili penalistici, dalla riportata definizione emerge che, da un punto di vista civilistico, due sono gli aspetti rilevanti:
a) la sottrazione delle credenziali d’accesso al conto (bancario o postale) e
b) il trasferimento del denaro in esso contenuto.
E’ evidente che il primo momento attenga alla sfera del correntista ed il secondo momento attenga invece alla sfera della istituto di credito.
Quanto alla sottrazione delle credenziali, tale aspetto si presume sia sempre caratterizzato da un’incauta e imprudente condotta del correntista che, non proteggendo sufficientemente il proprio computer o le proprie comunicazioni ovvero rispondendo a fasulli messaggi di posta elettronica, permette a terzi di accedere al proprio conto. Al fine di radicare la responsabilità in capo al correntista, nel caso di movimentazioni bancarie non riconducibili allo stesso, è assai frequente rinvenire nei contratti che regolano i servizi bancari clausole nelle quali è previsto l’obbligo del correntista di conservare con cura le credenziali e clausole che gli attribuiscono la responsabilità di ogni effetto possa scaturire dall’abuso o dall’uso illecito di dette credenziali.
Muovendo da questo presupposto ed escludendo la possibilità di attribuire preventivamente ed esclusivamente la responsabilità al correntista, il punto nevralgico della questione consiste nel valutare se la condotta incauta dello stesso sia o meno prevalente rispetto alla diligenza prestata dall’intermediario. Tale soggetto, infatti, nel fornire servizi via Internet, è tenuto ad adottare tutte le cautele e gli accorgimenti idonei, in base al criterio della diligenza professionale, a evitare, prevenire e impedire la produzione di effetti dei comportamenti che integrano la frode informatica.
E’ nella differente valutazione dell’equilibro fra questi due aspetti che trova giustificazione la pluralità di decisioni difformi adottate dai giudici e dagli organismi indipendenti; vediamone alcune.
In ordine alla richiesta di rimborso delle somme fraudolentemente sottratte, uniformi decisioni sono state adottate dal Tribunale di Milano, con decisione del 28 luglio 2006, dal Giudice di Pace di Lecce, con sentenza n. 128/08, e dal Giudice di Pace di Badolado con sentenza n. 837/08. In sostanza dette autorità hanno sostenuto che in assenza di prova certa della riferibilità dei fatti di frode a responsabilità degli istituti di credito, per presunta violazione delle norme contrattuali, non possono essere a loro addebitate le sottrazioni di denaro.
In maniera differente si è espresso invece il Tribunale di Palermo, con la richiamata sentenza, che si è concentrato maggiormente sulla portata della diligenza professionale richiesta alla banca. Il Tribunale, muovendo dal presupposto che “il sistema predisposto dalla società convenuta non appare adeguato alla tecnologia esistente, invero, il PIN richiesto era di sole 4 cifre, mentre l’identificativo utente corrispondeva all’indirizzo e-mail di poste italiane – del cliente – pertanto, facilmente ricavabile” e che “contrariamente a quanto previsto contrattualmente la società convenuta non ha dato conferma, a mezzo posta elettronica dell’avvenuto bonifico” ha ritenuto che l’istituto avrebbe “dovuto adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, a prevenire danni, come quelli verificatisi in capo agli attori, non essendo sufficiente la non violazione di norme di legge, posto che la diligenza richiesta deve essere valutata con maggior rigore, atteso che la prestazione inerisce all’esercizio di un’attività professionale”.
Sempre in ordine alla diligenza professionale è stato il Collegio di Roma dell’Arbitrato Bancario Finanziario a richiamare decisioni della Cassazione (inerenti ad altre ipotesi di frode) ove si affermava che “ai fini della valutazione della responsabilità contrattuale della banca … non può essere omessa la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio da eventuali manomissioni … : infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere”. Da questa premessa l’ABF ha fatto poi discendere la responsabilità dell’istituto per la “violazione di detto obbligo come conseguenza del mancato adeguamento delle cautele e dei presidi agli ultimi ritrovati ed alle più recenti acquisizioni della scienza e della tecnologia”.
Dalle decisioni che abbiamo poc’anzi riportato emerge la difficoltà di ricondurre univocamente gli effetti civilistici della realizzata frode alla condotta del cliente ovvero a quella dell’istituto. Per questo motivo più volte il giudicante ha adottato una decisone “salomonica” fondandosi sul principio espresso dall’art. 1227 cod. civ. con il conseguente abbattimento percentuale della responsabilità dell’istituto (e quindi dell’obbligo risarcitorio) in ragione della sussistenza di un concorso del fatto colposo del cliente.

(Visited 14 times, 9 visits today)