Phishing: abboccare è semplice, essere risarciti meno

Cos’è il phishing

Il Report di ENISA (European Union Agency for Network and Information Security) definisce il reato di phishing come

“il meccanismo di creazione di messaggi che utilizzano tecniche di ingegneria sociale per persuadere le potenziali vittime a divulgare informazioni sensibili come credenziali o dati bancari e di carte di credito”.

Come dice la parola stessa, che deriva dalla crasi di “password” e “fishing” (“pescare”), il phishing non è altro che una “pesca” di informazioni sensibili online.  In particolare, i phisher inviano al maggior numero di utenti possibili una serie di mail pericolose, contenti allegati malevoli o link infetti, in attesa che qualcuno, appunto, abbocchi l’amo.

Il metodo può essere diversificato: una e-mail di phishing può farci cliccare su un link, carpire le nostre credenziali al conto corrente, farci scaricare un malware, farci cedere una password; lo scopo rimane sempre lo stesso: ingannare e rubare informazioni personali grazie alle quali realizzare reati, come il furto di soldi o il furto di identità. (per un approfondimento sul phishing e i modi per riconoscerlo e evitarlo si veda il nostro articolo “Attenti al Phishing: 7 accortezze per riconoscerlo e non abboccare”)

Il phishing è un reato che oramai occupa saldamente una delle posizioni di primo piano tra le più insidiose minacce del web.

Ordinanza 07214/2023 della Corte di Cassazione: il caso

Ne sanno qualcosa i due titolari del conto Bancoposta online che hanno subito un furto di sei mila euro, a seguito di un’operazione fraudolenta di bonifico eseguita per via telematica sul proprio conto da una terza persona.

Questi, dopo il rifiuto di Poste italiane di rimborsargli la cifra, hanno adito le vie legali.

In primo grado, il Tribunale di Palermo aveva condannato la banca a risarcire ai titolari del conto corrente la somma sottratta fraudolentemente in considerazione del fatto che l’intermediario non avesse adottato le misure di sicurezza tecnicamente idonee a prevenire danni come quello oggetto di causa. La decisione, tuttavia, è stata ribaltata dalla sentenza della Corte d’Appello di Palermo, per poi essere avvallata dalla Suprema Corte.

La Corte di Cassazione ha escluso una qualsiasi responsabilità dell’intermediario. In particolare, il principio che la giurisprudenza di legittimità ha posto è che se un cliente di una banca cade vittima di una truffa online e fornisce informazioni personali quali il proprio username o la password per accedere al proprio home banking, e la banca ha adottato tutte le misure di sicurezza tecniche per impedire che ciò accada, la responsabilità non può essere fatta ricadere sull’Istituto di credito, rimanendo, invece, in capo al correntista.

Orientamento della giurisprudenza maggioritaria precedente

Tale arresto della Cassazione segna un punto di rottura con quello che era l’orientamento maggioritario precedente, tendente a configurare regime particolarmente rigoroso nei confronti dell’intermediario. (vedi, per tutte, sentenze della Suprema Corte n. 9158/2018, n. 2950/2017 e n. 10638/2016).

In particolare, la Suprema Corte era solita seguire il seguente iter argomentativo:

• l’istituto di credito è un contraente qualificato e in quanto tale è tenuto alla diligenza tecnica dell’“accorto banchiere”;
• le operazioni effettuate dagli intermediari servendosi di strumenti elettronici (home banking) si considerano attività pericolose, ai sensi dell’art. 2050 c.c, in quanto relative al trattamento informatico di dati personali
• la corretta operatività del servizio bancario mediante collegamento telematico rientra nel rischio di impresa, con la conseguenza che grava sulla banca una responsabilità da cui la stessa va esente solo provando che le operazioni contestate dal cliente sono allo stesso riferibili;
• la banca è tenuta ad approntare misure tecniche di sicurezza finalizzate a verificare la riconducibilità delle operazioni alla volontà dell’utilizzatore;
• nell’ottica del regime delle attività pericolose, è onere della banca fornire la prova liberatoria della riconducibilità dell’operazione al cliente: il prestatore di servizi di pagamento deve fornire la prova della frode, del dolo o della colpa grave dell’utente al fine di far ricadere su quest’ultimo i costi dell’operazione non autorizzata;
• la prova liberatoria a carico del prestatore di servizi non può prescindere dalla valutazione concreta delle misure tecnologiche offerte dal progresso scientifico per i sistemi di home banking.

Il tutto porta al delinearsi di una responsabilità di tipo oggettivo “aggravata” in capo alla banca e per andare esente dalla stessa, la banca non deve solo dimostrare di avere adottato tutte le misure idonee e adeguate all’evoluzione tecnica ad evitare il danno, ma è anche tenuta a fornire la prova del sussistere di una causa esterna.

Il cambiamento

A fronte di tale l’orientamento dominante, tendenzialmente volto a tutelare il correntista e ad ascrivere la responsabilità alla banca – sul presupposto secondo il quale viene richiesta una diligenza professionale elevata ed una specifica capacità di prevedere operazioni fraudolente da parte di terzi-  l’ordinanza 07214/2023 sembra abbandonare l’atteggiamento di sostegno a favore del cliente, soffermandosi piuttosto sulla cura loro richiesta nel custodire le credenziali e nell’informarsi dei possibili rischi legati all’incauto utilizzo dei dati personali.

La Corte, nel caso in esame, argomenta, infatti, che la sicurezza dei servizi online era garantita da sistemi informati certificati da enti appositi, secondo i più rigorosi e affidabili standard internazionali, non essendo nemmeno il personale in grado di conoscere i codici di accesso dell’utente. Solo il cliente, dunque, poteva aver fornito ai truffatori informatici le proprie credenziali di accesso, in violazione di tutte le regole di prudenza e accortezza che ci si potrebbe aspettare da qualunque utente dotato di normale avvedutezza.

Con riferimento all’onere probatorio, la Corte Suprema ha deciso che l’intermediario non era tenuto a provare che l’addebito fosse stato approvato dai correntisti, in quanto dalle «caratteristiche di sicurezza proprie del sistema informatico (dell’intermediario) per l’esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione».

I giudici hanno poi evidenziato anche come «sul sito internet di dell’intermediario, agevolmente consultabile dal correntista» ci fosse un apposito spazio in cui «vengono fornite le necessarie informazioni per evitare le frodi informatiche in particolare, il phishing, con l’avvertenza, in particolare, che l’intermediario non richiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali”.

Si è, inoltre, posto l’accento sul fatto che sempre attraverso comunicazioni ufficiali e tramite il sito internet sono state date “le indicazioni necessarie per distinguere il sito internet autentico e protetto dell’intermediario da quelli clonati, nei quali il correntista è indotto a digitare i propri codici personali”

Infine, si è  valutato positivamente anche il comportamento dell’intermediario che ha fornito una specifica informativa, anche precontrattuale, al cliente riguardo l’importanza della custodia delle credenziali e riguardo l’uso corretto delle stesse. In particolare,  i clienti sono stati avvertiti dalla banca di essere i soli e diretti responsabili della custodia dei propri identificativi, tanto che se li perdono, nessuno all’interno dell’Istituto bancario può recuperarli e la procedura prevede una nuova attivazione.

Pertanto, l’acquisizione fraudolenta delle credenziali non basta ad escludere la condotta colposa dei danneggiati.

Dunque, dopo questa sentenza, chiunque rimanga vittima di phishing e venga colpito finanziariamente dovrà ritenersi unico responsabile, se non ha adottato un comportamento diligente?

Un cambio di rotta rispetto al passato sicuro c’è stato e, volendo dare un’interpretazione della pronuncia della Corte Suprema, le ragioni di questo cambiamento possono individuarsi nella stretta interazione tra l’evoluzione dei metodi di aggressione informatica utilizzati dai phishers e i sistemi di sicurezza sempre più incisivi utilizzati dai prestatori di servizi per i clienti.

Pertanto la predisposizione di sistemi di best practice – in grado di assicurare gli obbiettivi di confidenzialità, integrità, disponibilità dei sistemi informativi e dei dati ad essi associati- pone la banca fuori dal rischio di eventuale intrusione fraudolenta: una volta che il sistema di sicurezza sia stato chiaramente offerto al cliente e questi se ne sia avvalso, l’utilizzo indebito da parte di un terzo soggetto non può che ricadere nella pur ristretta area di rischio che la legge pone a carico dell’utente.

Considerazioni finali e consigli pro-futuro

Nonostante il principio enucleato dalla giurisprudenza di legittimità si sposi perfettamente con l’approccio basato sul rischio e con il sistema di accountability richiesto dal Reg. UE 679/2016 per la protezione dei dati personali e per la sicurezza informatica, la decisione della Corte Suprema non ha messo d’accordo tutti e sul web già impazzano commenti del tipo “da semplici clienti di un istituto bancario, dobbiamo ora trasformarci in esperti in cybercrimini?”

È sicuramente vero che la Cassazione abbia preso una posizione coraggiosa, altrettanto è vero, tuttavia, che i consumatori non possono essere la stessa figura che erano trent’anni fa. Si vuole, insomma, responsabilizzare il consumatore, tendere ad una parificazione… come gli istituti di credito si sono adeguati al cambiamento e a queste nuove forme di truffe, predisponendo alti livelli di sicurezza, allo stesso modo il consumatore deve stare al passo con i tempi e adottare un comportamento sempre più prudente e proporzionato ai nuovi rischi che il web pone.

In altri termini, in un’economia sempre più digitale, chi utilizza questi strumenti, deve possedere un’educazione in tal senso perché altrimenti nessuna azienda potrebbe permettersi di investire nel digitale e arriverebbe, invece, a comportarsi come una sorta di compagnia di assicurazione tenuta a rispondere per ogni ingenuità che commette il consumatore.

Investire nella cultura digitale sembra, dunque, essere la giusta chiave di lettura per interpretare la sentenza, oltre che lo strumento vincente per essere un attore virtuoso nel mercato odierno.