Phishing e responsabilità della banca
Risponde la Banca per mancato adeguamento dei sistemi di sicurezza informatici nel servizio di home banking
Con il termine "Phishing" (variazione dell'inglese "fishing", pescare) si individua quel fenomeno tramite il quale, mediante l'utilizzo di tecniche informatiche, alcuni soggetti riescono a sottrarre fraudolentemente i dati personali di accesso all'utente ai propri conti correnti on line.
Tali dati vengono poi utilizzati per compiere operazioni di prelievo od atti di disposizione del denaro a danno dei titolari stessi dei medesimi conti correnti, i quali vengono così impoveriti e diminuiti notevolmente in modo truffaldino ed illecito.
Tale fenomeno è nato tramite il meccanismo standard dell'invio di e-mail all'indirizzo di posta elettronica del titolare del conto, nella quale è riprodotto per grafica e contenuto in tutto e per tutto il sito della banca o comunque dell'ente finanziario di riferimento; nelle suddette e-mail viene il soggetto viene invitato ad inserire i propri dati per accedere al conto on line, con la giusitificazione di scongiurare spesso proprio accessi indesiderati o problemi di privacy e sicurezza.
Per ovviare a tale fenomeno, di ampia diffusione, i maggiori istituti di credito hanno iniziato ad usare il sistema di autenticazione OTP (one time password), dove tramite una chiave Usb viene fornita una password autogenerata che vale pochi secondi e che garantisce una maggior tutela contro il phishing o i c.d. "programmi spia", in quanto il ladro informatico per operare la truffa dovrebbe appropriarsi anche del dispositivo.
A seguito di ciò si è sviluppato anche un settore di contenzioso tra il cliente vittima di phishing e l'istituto bancario, in relazione alla responsabilità della banca, alla violazione dell'obbligo di diligenza qualificata ex art. 1176, comma due codice civile, con l'eventuale richiesta di risarcimento del danno subito dalla vittima del fenomeno sopra descritto.
Ed in tale filone assume un certo rilievo una recente sentenza di un Tribunale da sempre molto attento alle questioni bancarie, vale a dire il Tribunale di Milano, che in data 04/12/2014, con la sentenza n. 14533, l'ente, in questo caso le Poste Italiane, fosse gravemente in difetto per non essersi ancora adeguata, alla data dei fatti (2009) agli standard di sicurezza dei sistemi informatici, non avendo adottato nel servizio di home banking quel sistema di autenticazione basato su OPT, che costituiva uno standard consolidato di sicurezza.
Ed il Giudice del Tribunale di Milano, dott.ssa Cosentini, con estrema chiarezza richiama proprio quella norma spesso invocata dagli operatori del settore " l'ente dovrà rispondere ai sensi dell'art. 1176, comma due c.c. secondo il quale nell'adempimento delle obbligazioni inerenti l'esercizio di un'attività professionale, la diligenza deve valutarsi con riguardo alla natura dell'attività esercitata", stimando appunto come "l'ente fosse il contraente qualificato che nel rapporto contrattuale garantiva la sicurezza del sistema mediante idonei sistemi di crittografia dei dati di riconoscimento dell'utente"
Pertanto il contraente qualificato " non ignaro delle modalità di frode mediante phishing da tempo note nel settore, era tenuto ad adeguarsi all'evoluzione dei nuovi sistemi di sicurezza informatici, altrettanto noti, idonei a contrastare il fenomeno" ed aggiunge un altro inciso fondamentale "non poteva invece ascriversi a mancata diligenza del cliente il fatto di non essere stato al corrente di tale modalità di frode e, conseguentemente, di non essersi accorto che possibili mail provenienti dall'ente fosserò in realtà frutto di pirateria informatica e celassero l'intento truffaldino di carpire dati riservati".
Tale sentenza pertanto con estrema lucidità e correttezza di applicazione di criteri logici e giuridici, opera la dovuta distinzione tra gli oneri dell'utente medio (cliente) e quelli del contraente professionista qualificato, non essendo infatti assolutamente legittimo porre in capo al primo una serie di conoscenze ed accorgimenti per i quali sicuramente egli non può e non deve essere attrezzato.
Tali dati vengono poi utilizzati per compiere operazioni di prelievo od atti di disposizione del denaro a danno dei titolari stessi dei medesimi conti correnti, i quali vengono così impoveriti e diminuiti notevolmente in modo truffaldino ed illecito.
Tale fenomeno è nato tramite il meccanismo standard dell'invio di e-mail all'indirizzo di posta elettronica del titolare del conto, nella quale è riprodotto per grafica e contenuto in tutto e per tutto il sito della banca o comunque dell'ente finanziario di riferimento; nelle suddette e-mail viene il soggetto viene invitato ad inserire i propri dati per accedere al conto on line, con la giusitificazione di scongiurare spesso proprio accessi indesiderati o problemi di privacy e sicurezza.
Per ovviare a tale fenomeno, di ampia diffusione, i maggiori istituti di credito hanno iniziato ad usare il sistema di autenticazione OTP (one time password), dove tramite una chiave Usb viene fornita una password autogenerata che vale pochi secondi e che garantisce una maggior tutela contro il phishing o i c.d. "programmi spia", in quanto il ladro informatico per operare la truffa dovrebbe appropriarsi anche del dispositivo.
A seguito di ciò si è sviluppato anche un settore di contenzioso tra il cliente vittima di phishing e l'istituto bancario, in relazione alla responsabilità della banca, alla violazione dell'obbligo di diligenza qualificata ex art. 1176, comma due codice civile, con l'eventuale richiesta di risarcimento del danno subito dalla vittima del fenomeno sopra descritto.
Ed in tale filone assume un certo rilievo una recente sentenza di un Tribunale da sempre molto attento alle questioni bancarie, vale a dire il Tribunale di Milano, che in data 04/12/2014, con la sentenza n. 14533, l'ente, in questo caso le Poste Italiane, fosse gravemente in difetto per non essersi ancora adeguata, alla data dei fatti (2009) agli standard di sicurezza dei sistemi informatici, non avendo adottato nel servizio di home banking quel sistema di autenticazione basato su OPT, che costituiva uno standard consolidato di sicurezza.
Ed il Giudice del Tribunale di Milano, dott.ssa Cosentini, con estrema chiarezza richiama proprio quella norma spesso invocata dagli operatori del settore " l'ente dovrà rispondere ai sensi dell'art. 1176, comma due c.c. secondo il quale nell'adempimento delle obbligazioni inerenti l'esercizio di un'attività professionale, la diligenza deve valutarsi con riguardo alla natura dell'attività esercitata", stimando appunto come "l'ente fosse il contraente qualificato che nel rapporto contrattuale garantiva la sicurezza del sistema mediante idonei sistemi di crittografia dei dati di riconoscimento dell'utente"
Pertanto il contraente qualificato " non ignaro delle modalità di frode mediante phishing da tempo note nel settore, era tenuto ad adeguarsi all'evoluzione dei nuovi sistemi di sicurezza informatici, altrettanto noti, idonei a contrastare il fenomeno" ed aggiunge un altro inciso fondamentale "non poteva invece ascriversi a mancata diligenza del cliente il fatto di non essere stato al corrente di tale modalità di frode e, conseguentemente, di non essersi accorto che possibili mail provenienti dall'ente fosserò in realtà frutto di pirateria informatica e celassero l'intento truffaldino di carpire dati riservati".
Tale sentenza pertanto con estrema lucidità e correttezza di applicazione di criteri logici e giuridici, opera la dovuta distinzione tra gli oneri dell'utente medio (cliente) e quelli del contraente professionista qualificato, non essendo infatti assolutamente legittimo porre in capo al primo una serie di conoscenze ed accorgimenti per i quali sicuramente egli non può e non deve essere attrezzato.
Articolo del: