0

Phishing e home banking: il cliente truffato deve essere risarcito dalla banca

Con l’Ordinanza n. 9158 del 12/04/2018, la Corte di Cassazione Civile torna ad affrontare la questione relativa alla frode informatica esercitata sulle piattaforme di home banking; si tratta del c.d. phishing, ovvero quel raggiro effettuato

inviando una e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, etc…), motivando tale richiesta con ragioni di ordine tecnico; il concetto di home banking, invece, ricomprende tutte le operazioni bancarie rese possibili da terminali che consentono il collegamento diretto del cliente con la propria banca. In applicazione del disposto di cui all’art. 2050 c.c. (ipotesi di responsabilità oggettiva), per il quale chiunque esercita un’attività pericolosa è tenuto al risarcimento se non dimostra di aver adottato tutte le misure idonee ad evitare il danno, la giurisprudenza ammette che il cliente può limitarsi esclusivamente a contestare la regolarità dell’operazione mentre spetta all’istituto di credito dimostrare la riconducibilità della stessa alla volontà del cliente, ovvero che l’evento dannoso si sia verificato solo per dolo del titolare del rapporto bancario o a causa di comportamenti talmente incauti da parte sua, tali da non poter essere previsti in anticipo.

Fattispecie in esame: due correntisti convenivano in giudizio Poste Italiane S.p.a. per conseguire il risarcimento del danno derivante dall’illegittima sottrazione dell’importo di € 5.000,00, a mezzo di operazione on line non autorizzata; la domanda veniva rigettata nei giudizi di merito stante l’asserita riconducibilità dell’evento dannoso alla negligenza degli attori che, vittima di phishing, hanno digitato i propri dati personali in risposta ad una e-mail fraudolenta, così consentendo l’indebito accesso sul proprio home banking; tuttavia la Suprema Corte, con l’Ordinanza che ci occupa, ha anzitutto richiamato la normativa in materia di privacy di cui al D.Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), con precipuo riferimento all’art. 15 -“chiunque cagioni un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”– ma soprattutto all’art. 31 per il quale “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta; in tal modo l’Autorità ha sancito sia la natura particolare della diligenza imposta all’istituto di credito (c.d. “qualificata”, art. 1176, comma II, c.c.), sia i canoni alla luce dei quali la stessa deve essere valutata in sede di responsabilità, ovvero “tenendo conto dei rischi tipici della sfera professionale di riferimento” ed assumendo quindi quale parametro la figura giuridica dell'<<accorto banchiere>>. In definitiva la banca, titolare del trattamento dei dati personali ed esercente attività pericolosa ai sensi dell’art. 2050 c.c., potrà essere dichiarata esente da responsabilità solamente allorquando riesca a dimostrare da un lato di aver adottato tutti quegli accorgimenti necessari ad evitare l’intrusione di terzi nel sistema di home banking fornito al cliente, dall’altro che l’evento dannoso si è verificato proprio a causa di dolo del cliente, o per il fatto di un terzo oppure, ancora, in ragione di comportamenti talmente incauti del cliente, tali da non poter essere fronteggiati in anticipo: la sottrazione, con modalità fraudolente, dei codici di accesso del correntista rientra nell’area del rischio d’Impresa per gli istituti di credito che, allora, devono comunque predisporre misure che consentano di verificare, prima del compimento dell’operazione, se essa sia effettivamente riconducibile al cliente, non essendo sufficiente, per andare esenti da responsabilità, la sola immissione nel sistema dei dati di accesso collegati a quello specifico rapporto bancario.

Lascia un commento

Your email address will not be published. Required fields are marked *