Responsabilità: phishing e istituti di credito

Responsabilità: phishing e istituti di credito

  •  
  •  
  •  
  •  
Tempo di lettura 5 min

La continua evoluzione tecnologica permette a coloro che ne conoscono le varie sfaccettature una vasta serie di alternative per interagire con altri soggetti con lo scopo di raccoglierne i dati personali. Proprio per questo il fenomeno del “phishing” non si arresta e, anzi, si sviluppa in molteplici modalità che permettono ai truffatori di ottenere i dati di loro interesse.

Ad essere a rischio sono soprattutto, ma non solo, i correntisti e gli istituti di credito che di questi custodiscono i capitali, e per i quali è richiesta una particolare attenzione.

Il primo a dover prestare la massima attenzione è, in primis, lo stesso correntista al fine di evitare che le proprie credenziali di accesso vengano sottratte, magari tentando l’accesso a pagine web che potrebbero apparire come quelle ufficiali del proprio istituto di credito, ma che in realtà sono solo raccoglitori di dati o contenitori di virus utili per memorizzarli.

Vedremo a breve, tuttavia, che anche l’istituto di credito deve impegnarsi per adottare tutte le misure necessarie ad evitare la truffa e a dover, oltretutto, dimostrare di averle messe in pratica.

Prima di ciò è necessaria un’analisi del fenomeno del phishing al fine di capire quali fattispecie di illecito e di responsabilità vengono in rilievo.

Il termine phishing è nato dall’unione di due parole ovvero “fishing”, che significa pescare, e “phreaking”, termine gergale coniato per descrivere l’attività di persone che studiano, sperimentano o sfruttano i telefoni, le compagnie telefoniche per hobby o utilità.

Ci si riferisce al phishing, come sopra già evidenziato, per intendere una particolare tipologia di truffa telematica, tramite la quale un soggetto si finge un ente affidabile (ad esempio un istituto bancario) e con varie modalità raccoglie dati finanziari o chiavi di accesso del malcapitato.

Le prima norme che vengono violate da questa fattispecie, ovviamente, sono quelle contenute nel Codice della Privacy (D.lgs 196/2003).

Attraverso il phishing, infatti, i dati vengono raccolti senza il consenso dell’interessato in violazione del principio cardine del Codice della Privacy dettato dall’art. 23: «Il trattamento di dati personali da parte di privati o enti pubblici economici è ammesso solo con il consenso espresso dell’interessato».

Essendo, poi, il trattamento illecito dei dati mirato al profitto del truffatore o di terzi, viene integrata anche la fattispecie relativa a misure di carattere penale prevista dall’art. 176 dello stesso Codice: «1. Salvo che il fatto costituisca più grave reato, chiunque, al fin e di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni».

La condotta del truffatore, inoltre, potrà integrare anche altre fattispecie di reato previste dal Codice Penale, come ad esempio la truffa ex art. 640 c.p., la frode informatica ex art. 640-ter c.p., accesso abusivo ad un sistema informatico ex art. 615-ter c.p., o sostituzione di persona ex art. 494 c.p.

Infine, come già anticipato in apertura, anche l’istituto bancario potrà essere ritenuto responsabile nei confronti del correntista.

Sicuramente potrà essere configurata una responsabilità extracontrattuale in base al combinato disposto di due norme del Codice della Privacy, ovvero dell’art. 15 che prevede il risarcimento per danni cagionati dal trattamento, e dell’art. 31 che prescrive al titolare del trattamento l’adozione di tutte le misure di sicurezza necessarie per evitare il rischio che tali dati vengano portati a conoscenza di soggetti non autorizzati.

Da evidenziare, inoltre, anche la possibile configurazione dio responsabilità di carattere penale in capo all’istituto bancario in base al contenuto dell’art. 169 che ritiene punibile con l’arresto fino a due anni chiunque, tenuto all’adozione di misure di sicurezza adeguate per il trattamento dei dati personali, ometta di farlo.

Terminata l’analisi del fenomeno del phishing e delle fattispecie civili e penali che erro integra, passiamo ora all’analisi del caso recente trattato dalla Corte di Cassazione.

Nel caso in questione, un correntista contestava dei bonifici eseguiti in modo fraudolento via internet da soggetti terzi, entrati illegittimamente in possesso delle chiavi d’accesso del titolare del conto corrente.

La domanda del correntista, tuttavia, veniva rigettata sia in primo che in secondo grado di giudizio, in quanto i giudici avevano ritenuto il sistema di crittografia utilizzato dall’istituto di credito idoneo ad impedire l’accesso ad estranei e, pertanto, unico responsabile era stato considerato proprio il correntista, il cui incauto comportamento aveva permesso che tersi si impossessassero dei dati di accesso.

Il correntista, proponendo ricorso in Cassazione, sosteneva un’errata ripartizione dell’onere della prova in quanto, a suo dire, doveva incombere sull’istituto di credito l’onere di dimostrare di aver adottate tutte le misure idonee per garantire la sicurezza del servizio fornito.

La Suprema Corte ha sostenuto la posizione del correntista. Sarebbe, infatti, richiesta al professionista una diligenza qualificata, per cui sarebbe stato onere dell’istituto di credito provare di aver adottato tutte le misure necessarie per evitare il fatto e, nel caso di specie, non era rinvenibile alcun elemento in base al quale ritenere che la responsabilità dell’operazione dovesse essere ricondotta esclusivamente al comportamento incauto del correntista.

Nel proseguire, la Cassazione ha affermato anche che la possibile sottrazione del codice d’accesso da parte di terzi configura un tipico rischio d’impresa e, pertanto, prima di ritenere responsabile il correntista, la banca avrebbe dovuto dimostrare di aver adottato tutte le misure necessarie per evitare la truffa.

L’istituto bancario, pertanto, potrà essere ritenuto libero da responsabilità solo se riuscirà a dimostrare di non aver potuto prevedere ed evitare l’utilizzazione di codici da parte di terzi.

Per tale motivo la Suprema Corte ha rinviato al giudice di secondo grado per una nuova valutazione dei fatti di causa. (Cass. n. 2950/2017)