Indice
- La condotta di phishing
- La fattispecie
- La responsabilità della banca: evoluzione interpretativa
- La responsabilità del cliente
1. La condotta di phishing.
Le Corti nazionali e soprattutto gli organismi di risoluzione alternativa delle controversie (tra cui l’Arbitro Bancario Finanziario, ABF) sono destinatari di una crescente domanda di tutela in materia di frodi informatiche, che aumenta parallelamente al progressivo affinamento delle tecniche fraudolente.
Con il termine phishing si definisce una condotta illecita mediante cui la vittima viene indotta a fornire online informazioni personali, dati finanziari o codici di accesso, in risposta a SMS “esca” oppure ad email ingannevoli creati ed inviati dall’autore della truffa (phisher).
Fornendo le informazioni richieste la vittima consente al phisher di accedere ai suoi conti bancari.
2. – La fattispecie.
Il caso da cui trae spunto il presente contributo (deciso dall’ABF, Collegio di Bologna, con provvedimento n. 7884 del 23/03/2021) si segnala per la particolare consistenza dell’importo sottratto alla correntista e riguarda una “classica” condotta di phishing.
Nella fattispecie, la titolare di un conto corrente online chiedeva all’Arbitro Bancario Finanziario di accertare la responsabilità della banca per i danni patiti in conseguenza di plurime operazioni di home banking transitate sul suo conto e dalla stessa disconosciute.
La natura delittuosa delle operazioni, effettuate da terzi rimasti ignoti, mai contestata dalla banca, si è configurata attraverso l’invio di un SMS, apparentemente proveniente dallo stesso intermediario, in risposta al quale la cliente aveva fornito username e password, consentendone la captazione ai terzi.
La ricorrente chiedeva la restituzione delle somme sottrattele, invocando la responsabilità contrattuale ed extracontrattuale dell’istituto di credito.
La tesi della correntista era supportata da apposita perizia tecnica che evidenziava l’inadeguatezza del sistema di home banking, raffrontandolo con sistemi più evoluti adottati da altri istituti di credito.
La banca si difendeva sostenendo la rispondenza del proprio sistema di sicurezza agli standard tecnici richiesti e invocando la colpa della stessa correntista per non aver diligentemente custodito le proprie credenziali informatiche di accesso al servizio di home banking.
L’ABF accertava la responsabilità dell’intermediario bancario e lo condannava alla restituzione delle somme illecitamente sottratte alla correntista, facendo corretta applicazione delle disposizioni di cui al D.Lgs. n. 11/2010, su cui ci soffermeremo infra.
Tale decisione è conforme alla maggioranza dei provvedimenti emessi dalle Corti di merito e dallo stesso ABF in materia di phishing tramite home banking (cfr., tra le tante, Tribunale di Arezzo, 08/04/2020, n. 272; Tribunale Parma, 06/09/2018, n. 1268; tra le pronunce dell’ABF si segnala, ex multis, la recentissima decisione n. 5874 dell’11/04/2022 del Collegio di Bologna).
Potrebbero interessarti anche:
- Phishing: un nuovo fenomeno di truffa
- Decalogo per la sicurezza nella rete
- Cybersecurity, guida ai ransomware: che cosa sono, come prevenirli e come reagire
3. La responsabilità della banca: evoluzione interpretativa.
Risulta di particolare interesse, nella presente sede, soffermarsi sulla natura della responsabilità della banca, profilo rispetto al quale si è verificata una evoluzione degli orientamenti interpretativi in senso favorevole al cliente. A questo proposito leggi anche: “Non sempre in caso di phishing la banca è tenuta a risarcire il cliente”
Nelle prime pronunce, le condanne irrogate agli intermediari bancari erano fondate sulla normativa di cui al D. Lgs. n. 196/2003 che all’art.15 (articolo abrogato dall’art. 27, comma 1, lettera a), numero 2), del D. Lgs. 10/08/2018, n. 101) che prevedeva che chiunque cagionasse un danno ad altri per effetto dell’illecito trattamento di dati personali fosse tenuto al risarcimento ai sensi dell’art. 2050 c.c. (cfr. Tribunale Palermo, 12/01/2010; recentemente, ancora in questo senso, si segnala la sentenza di Corte Appello di Ancona sez. I, 13/01/2021 n. 18).
Successivamente, i giudici hanno preferito richiamare, a fondamento delle proprie decisioni, la responsabilità contrattuale della banca in forza della disciplina del mandato ex art. 1856 c.c. e i relativi criteri di ripartizione dell’onere della prova; così, di recente, si è espresso il Tribunale Monza sez. I, 03/02/2021 n.207, sulla scorta del più risalente arresto del Tribunale Verona, 02/10/2012).
L’interpretazione si è poi orientata (soprattutto nelle decisioni dell’ABF), in maniera più severa, verso la configurazione di una vera e propria responsabilità oggettiva in capo all’intermediario, sulla scorta delle sentenze della Suprema Corte n. 9158/2018, n. 2950/2017 e n. 10638/2016 le quali seguono il seguente iter argomentativo:
1) in caso di operazioni effettuate a mezzo di strumenti elettronici, la sicurezza del sistema va ricondotta nell’area del rischio professionale dell’intermediario prestatore dei servizi di pagamento (cfr Tribunale Parma sez. I, 06/09/2018, n.1268). L’istituto di credito è tenuto ad una diligenza valutabile tenendo conto del modello dell’operatore professionale, qual è l’accorto banchiere (bonus nummarius); peraltro, secondo questa lettura, la corretta operatività del servizio bancario mediante collegamento telematico – che corrisponde oltretutto ad un interesse della banca medesima – rientra nel rischio d’impresa, con la conseguenza che grava sulla banca una responsabilità di tipo oggettivo o semioggettivo, da cui la stessa va esente solo provando che le operazioni contestate dal cliente sono allo stesso riconducibili (cfr., in origine, Tribunale Milano, sez. VI, 04/12/2014);
2) la banca è tenuta quindi ad approntare misure idonee a verificare la riconducibilità delle operazioni alla volontà del cliente ed escludere la possibilità di una abusiva utilizzazione delle credenziali di accesso da parte dei terzi (a meno che non ricorra il dolo del titolare);
3) è la banca a dover fornire la prova della riconducibilità dell’operazione al cliente;
4) la prova liberatoria a carico del prestatore di servizi, nell’ottica del regime delle attività pericolose, non può prescindere dalla valutazione concreta delle misure tecnologiche offerte dal progresso scientifico per i sistemi di home banking.
Secondo gli arresti più recenti, nel rapporto contrattuale di home banking, la veste di contraente qualificato della banca comporta che essa non solo sia tenuta ad adeguarsi all’evoluzione tecnica dei sistemi di sicurezza, bensì, per andare esente da responsabilità, dimostri di aver adottato tutte le misure idonee ad evitare il danno e fornisca la prova positiva di una causa esterna.
Ma gli obblighi della banca non si esauriscono qui.
Infatti secondo gli interpreti essi si spingono fino a ricomprendere un obbligo di monitoraggio puntuale delle operazioni dei correntisti. In altre parole, compete all’intermediario verificare anche il regolare andamento delle operazioni e segnalare quelle che appaiono anomale, specie se emergano transazioni effettuate in contrasto con la usuale operatività del conto.
La banca, nei casi di phishing, inoltre, risponde anche ai sensi del D.Lgs. n. 11/2010, attuativo della Direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno e che, come abbiamo visto, costituisce la normativa applicata dall’ABF per risolvere il caso dal quale ha tratto spunto il presente contributo.
Il Titolo II del predetto decreto ha introdotto nel nostro ordinamento una serie di regole innovative relative alla prestazione dei servizi di pagamento.
L’art. 10 del D.Lgs. n. 11/2010 (Prova di autenticazione ed esecuzione delle operazioni di pagamento) così dispone: “1. Qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti; 2. Quando l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo”.
In forza di tale previsione, dunque, l’intermediario ha l’onere di fornire la prova della corretta autenticazione, registrazione e contabilizzazione delle operazioni disconosciute dal cliente, nonché dell’assenza di malfunzionamenti dei propri sistemi.
Il successivo art. 10-bis (Autenticazione e misure di sicurezza) impone al prestatore di servizi di predisporre un’autenticazione forte del cliente quando quest’ultimo accede al suo conto di pagamento online, ovvero dispone un’operazione di pagamento elettronico o effettua qualsiasi azione, mediante un canale a distanza, che può comportare una frode nei pagamenti o altri abusi.
Infine, l’art. 11 (Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate) specifica quanto segue: “1. Fatto salvo l’articolo 9, nel caso in cui un’operazione di pagamento non sia stata autorizzata, il prestatore di servizi di pagamento rimborsa immediatamente al pagatore l’importo dell’operazione medesima. Ove per l’esecuzione dell’operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo; 2. In caso di motivato sospetto di frode, il prestatore di servizi di pagamento può sospendere il rimborso di cui al comma 1 dandone immediata comunicazione all’utilizzatore; 3. Il rimborso di cui al comma 1 non preclude la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata; in tal caso, il prestatore di servizi di pagamento ha il diritto di chiedere ed ottenere dall’utilizzatore la restituzione dell’importo rimborsato; 4. Il risarcimento di danni ulteriori subiti può essere previsto in conformità alla disciplina applicabile al contratto stipulato tra l’utilizzatore e il prestatore di servizi di pagamento”.
Il successivo art. 12 del D. Lgs. in esame (Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento) recita: “salvo il caso in cui l’utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi che consentono l’utilizzo dello strumento di pagamento […] l’utilizzatore medesimo può sopportare, per un importo non superiore complessivamente a 150 Euro, la perdita derivante dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento”.
Si cita, infine, in questo quadro di obblighi a carico dell’intermediario, l’art. 7 (Obblighi a carico dell’utente dei servizi di pagamento in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate) che prevede, invece, una serie di oneri a carico del cliente della banca, quali la tempestiva comunicazione dell’altrui utilizzo indebito dello strumento, l’adozione delle misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne consentono l’utilizzo.
4.- La responsabilità del cliente.
Merita un breve cenno, a conclusione del presente contributo, il profilo della responsabilità del cliente per aver colposamente fornito al truffatore le credenziali del proprio conto corrente (difesa peraltro comunemente utilizzata dalla banca).
Per quanto riguarda lo specifico tema del phishing, la valutazione della colpa del cliente ha ampi margini di discrezionalità e, rispetto a tale profilo, si è registrato un cambio di passo nelle decisioni. Infatti, nei primi provvedimenti in materia veniva spesso dichiarata la colpa concorrente del cliente per negligente custodia dei codici di accesso (cfr. decisione n. 46 del 15/02/2010, Collegio ABF di Milano; decisione n. 1241 del 09/11/2010, Collegio ABF di Milano).
Successivamente, i giudici e l’ABF si sono orientanti per una verifica caso per caso, valorizzando le peculiarità delle fattispecie concrete, quali, ad esempio:
– la presenza di anomalie nel messaggio inviato dal phisher, che avrebbero potuto allarmare il correntista in merito all’autenticità e alla provenienza del messaggio e/o della pagina (ad esempio, sono indizi del fake, errori grammaticali, spazi fra le parole del testo ecc.);
– la provenienza dell’SMS esca (o della email): ad esempio, si valuterà se essa provenga dalla stessa utenza telefonica utilizzata dalla banca per le comunicazioni relative al servizio di home banking ovvero da numero diverso e sconosciuto al cliente;
– se il cliente abbia seguito le ordinarie cautele nella protezione del proprio computer (ad esempio, con l’adozione di idonei software antivirus).
Secondo la giurisprudenza (ex multis, in tal senso, il recente arresto della Corte di Appello di Milano, sez. I, 23/07/2021 n.2419), la sussistenza di grave negligenza in capo al cliente va provata dalla banca, che deve allegare circostanze a supporto (sulla scorta della sentenza del 12/04/2018, n. 9158, della Corte di Cassazione, secondo cui la banca va esente da responsabilità e non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del correntista o a comportamenti particolarmente incauti).
La colpa del cliente non può essere dimostrata in via presuntiva.
Dunque, in base a quanto sopra esposto, deriva un quadro normativo ispirato ad una logica di favor confronti del cliente, favore confermato dalla interpretazione delle Corti e dell’ABF, secondo cui, nella maggioranza dei casi, la responsabilità, in relazione alle condotte di phishing, grava sull’intermediario.
Volume consigliato:
La responsabilità nei nuovi reati informatici
L’opera si pone quale strumento di analisi dei nuovi reati informatici e delle metodologie investigative, analizzando i diversi mezzi di ricerca e di acquisizione della prova informatica.Attraverso un’analisi sistematica, il volume affronta le singole fattispecie, ponendo l’attenzione sulle modalità di ricerca della prova e aiutando il professionista nell’individuazione degli elementi che costituiscono la responsabilità penale dell’autore del reato.Lo spazio fluido, tipico del web, richiede un’attenzione particolare: quest’opera nasce proprio dall’esigenza di fornire nozioni e azioni di riferimento, che possano guidare l’operatore nel costruire la propria linea difensiva, alla luce delle nuove figure criminose, quali l’hate speech, il sexting, il revenge porn, il cyber terrorismo e il cyberlaundering.A completamento della trattazione, nella seconda parte, il volume affronta le diverse metodologie investigative, nonché le tecniche forensi di acquisizione e conservazione della prova informatica.In tal modo, il testo si pone quale valido strumento per il professionista che debba fornire la prova della consumazione di reati informatici.Flaviano PelusoAvvocato in Roma. È Professore a contratto di scienze giuridiche medico-legali, presso la facoltà di Medicina dell’Università La Sapienza, di abilità informatiche presso le facoltà di Economia, Psicologia e Lettere dell’Università La Sapienza, nonché d’informatica ed elaborazione dati e di idoneità informatica presso l’Università della Tuscia. È autore di libri, articoli e note a sentenza nonché curatore di libri in materia di diritto dell’informatica e di informatica forense.Cecilia CavaceppiGiudice del Tribunale di Latina applicata attualmente al Tribunale di Napoli. È dottore di ricerca in diritto amministrativo presso la Luiss Guido Carli.Francesco Saverio CavaceppiAvvocato del Foro di Roma, Professore a contratto di informatica ed elaborazione dati presso l’Università della Tuscia e docente di informatica giuridica presso la Scuola di Specializzazione per le Professioni Legali “Migliorini” dell’Università di Perugia.Daniela CavallaroAvvocato del Foro di Velletri e Data Protection Officer presso l’Agenzia di Stampa Nazionale; ha conseguito il master in Diritto dell’informatica presso l’Università degli Studi di Roma La Sapienza, ha conseguito i certificati di European Privacy Expert, Valutatore Privacy (UNI 11697:2017) e Auditor ISDP 10003.Raissa ColettiConsulente in Institutional & Corporate Communication. Ha conseguito il master in Human Resource management & Digital Skills.Alfonso ContaldoProfessore a contratto di diritto dell’informazione e della comunicazione digitale nell’Accademia delle Belle Arti di Roma, dottore di ricerca in informatica giuridica presso l’Università degli Studi di Roma La Sapienza. È autore di monografie, articoli, note e contributi in collettanei in materia di diritto dell’informazione e dell’informatica e di informatica giudiziaria.Alessandra CorteseAssistente Giudiziario presso la Procura Generale della Repubblica di Venezia, è laureata in giurisprudenza presso l’Università di Messina, ha conseguito il master di 2° livello in Diritto dell’informatica presso l’Università La Sapienza, è abilitata all’esercizio della professione forense, è socia ANORC, è iscritta nel registro dei Professionisti della Privacy. È autrice di alcuni articoli di diritto dell’informatica.
Alfonso Contaldo, Flaviano Peluso (a cura di), Cecilia Cavaceppi, Francesco Saverio Cavaceppi, Daniela Cavallaro, Raissa Coletti, Alessandra Cortese | 2020 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento