Il “Phishing”
Possibili rimedi in ambito civile per la restituzione della somma indebitamente sottratta e il ristoro dei danni
In questo primo scorcio del Duemila la nuova frontiera del crimine, grazie allo sviluppo impetuoso di internet e, soprattutto, ai suoi servizi che consentono di poter disporre subito dei nostri beni con un semplice ordine impartito dalla tastiera di un computer (il concetto del c.d. "home banking"), mira a sottrarre i codici di accesso dei singoli soggetti così da potersi sostituire a loro e, naturalmente, impossessarsi in maniera illegittima di denaro o informazioni di natura privata e sensibile. Sempre più spesso soggetti che operano sulla rete scoprono di esser stati vittima del c.d. "phishing": in modo fraudolento, in genere tramite invio di e-mail che simulano la grafica e il contenuto di pagine web di istituti bancari o enti, vengono carpite le password (o i dati sensibili) personali così da sottrarre una parte del patrimonio o, comunque, poter accedere a informazioni private. Il soggetto leso, depauperato delle proprie credenziali e, nel caso di accesso illegale ai conti bancari, pure di una somma di denaro magari consistente, non ottiene alcun ristoro patrimoniale della perdita subita, dovendosi accontentare di presentare una semplice denuncia - querela avanti all’Autorità Giudiziaria ai danni di ignoti, quasi sempre irreperibili. Sussistono, ad ogni modo, possibili rimedi civilistici esperibili da un soggetto il quale, fatto oggetto di una frode di tal genere, ipotizzi di voler chiedere al proprio intermediario/istituto di credito di tenerlo garantito per la somma pecuniaria illecitamente sottratta oppure di chiedere un risarcimento del danno a seguito della violazione della propria c.d. "privacy". Dapprima, occorre attivarsi prontamente contattando l’istituto che gestisce il servizio al fine limitare, per quanto possibile, i danni. L’istituto, avuta la comunicazione, agisce in via cautelare bloccando subito l’operatività dell’accesso e richiedendo, per ufficializzare e rendere definitivo il provvedimento assunto, una copia semplice della denuncia - querela avanzata dinanzi all’Autorità. Dopo tale fase, occorre valutare se il soggetto abbia effettivamente adottato tutte le precauzioni necessarie, dimostrando sia di non aver tenuto una condotta imprudente sia di avere a disposizione una protezione efficace da eventuali virus o malware che, in caso contrario, potrebbero aver infettato il computer e fornito i dati necessari al truffatore. Se il soggetto non ha posto in essere una condotta in alcun modo rimproverabile, è possibile muovere contestazioni all’intermediario. Quelle principali possono essere così elencate:
1. violazione obblighi del mandatario ex artt. 1711 e 1856 cc.;
2. violazione disposto ex artt. 15 e 31 del d.lgs 196/03 (c.d. "codice della privacy");
3. violazione della doverosa condotta professionale dell’intermediario.
I punti analizzati, per sommi capi, sono così riassumibili. In merito al primo caso, si evidenzia come il rapporto contrattuale che lega l’istituto al singolo cliente integri un rapporto di conto corrente bancario ex art. 1838 c.c. Ai sensi dell’art. 1856 c.c. l’istituto di credito risponde dell’esecuzione di incarichi per conto del cliente secondo le regole del mandato sancite dagli artt. 1703 ss. c.c. Come insegna l’art. 1710 c.c. ss. (richiamato dall’art. 1856 c.c.) il mandatario è tenuto a eseguire il mandato con la diligenza del buon padre di famiglia e non può in alcun modo eccedere i limiti di quanto ordinato: ogni atto esorbitante tali ordini resta a carico del mandatario. Contestualizzando la disciplina testé enunciata, appare evidente come l’istituto debba eseguire in modo diligente ciò ordinato dal cliente e, quindi, se si eseguono operazioni senza questo necessario consenso, gli effetti dell’operazione stessa restano in capo al mandatario poiché, logicamente, essa mai è stata voluta dal mandante. Secondo la giurisprudenza, nel momento stesso in cui il mandante disconosce l’operazione, scatta l’obbligo restitutorio e reintegrativo salvo nel caso si dimostri in capo a quest’ultimo una colpa grave o una condotta dolosa. Con la seconda contestazione proposta, invece, il consumatore farà valere la violazione della disciplina attinente al campo della c.d. "privacy". Infatti, a cagione della violazione del sistema da parte del c.d. "phisher", si può imputare all’intermediario la violazione del dettato dell’art. 31 del d.lgs 196/03 (il c.d. "Codice per la protezione dei dati personali") che disciplina le misure che vanno adottate per la custodia e il controllo dei dati riservati. Tali prescrizioni mirano a ridurre al minimo, attraverso la predetta attività di controllo e custodia, la distruzione o perdita dei dati oppure un accesso non autorizzato oppure un trattamento non consentito o non conforme alla finalità della raccolta. A seguito di tale violazione l’intermediario dimostra di non aver tutelato in modo sufficiente tale diritto, con grave vulnus morale (oltre che materiale) in capo all’utente che può essere risarcito. Ultimo profilo da analizzare riguarda la violazione della diligenza professionale in capo all’istituto. In virtù di quanto esposto, infatti, si potrebbe contestare all’intermediario anche la violazione della diligenza del "buon banchiere" a cui erano stati affidati i risparmi e che, lungi dall’insospettirsi per un’operazione magari insolita e/o per un consistente ed anomalo importo e/o per il tramite di un computer con IP estero, non ha vigilato sui risparmi depositati affidandosi, comunque, a strumentazioni vulnerabili e inaffidabili. Esso, infatti, avrebbe dovuto attivarsi per vigilare e prevenire tali intrusioni illecite. In conclusione, si rammenta come possa formularsi un’ulteriore domanda, oltre alle tre principali sopra enunciate; il danneggiato, infatti, potrebbe richiamarsi ai principi che si ricavano dalla legislazione europea (direttiva 2007/64/CE, trasfusa nel D.Lgs 11/2010), in cui si prevede che l’intermediario garantisca il risarcimento integrale tranne per una franchigia pari ad € 150,00 salvo si dimostri la sua colpa grave o il dolo nella causazione del danno.
(avv. Paolo Polato - dott. Bruno Ravagnan)
1. violazione obblighi del mandatario ex artt. 1711 e 1856 cc.;
2. violazione disposto ex artt. 15 e 31 del d.lgs 196/03 (c.d. "codice della privacy");
3. violazione della doverosa condotta professionale dell’intermediario.
I punti analizzati, per sommi capi, sono così riassumibili. In merito al primo caso, si evidenzia come il rapporto contrattuale che lega l’istituto al singolo cliente integri un rapporto di conto corrente bancario ex art. 1838 c.c. Ai sensi dell’art. 1856 c.c. l’istituto di credito risponde dell’esecuzione di incarichi per conto del cliente secondo le regole del mandato sancite dagli artt. 1703 ss. c.c. Come insegna l’art. 1710 c.c. ss. (richiamato dall’art. 1856 c.c.) il mandatario è tenuto a eseguire il mandato con la diligenza del buon padre di famiglia e non può in alcun modo eccedere i limiti di quanto ordinato: ogni atto esorbitante tali ordini resta a carico del mandatario. Contestualizzando la disciplina testé enunciata, appare evidente come l’istituto debba eseguire in modo diligente ciò ordinato dal cliente e, quindi, se si eseguono operazioni senza questo necessario consenso, gli effetti dell’operazione stessa restano in capo al mandatario poiché, logicamente, essa mai è stata voluta dal mandante. Secondo la giurisprudenza, nel momento stesso in cui il mandante disconosce l’operazione, scatta l’obbligo restitutorio e reintegrativo salvo nel caso si dimostri in capo a quest’ultimo una colpa grave o una condotta dolosa. Con la seconda contestazione proposta, invece, il consumatore farà valere la violazione della disciplina attinente al campo della c.d. "privacy". Infatti, a cagione della violazione del sistema da parte del c.d. "phisher", si può imputare all’intermediario la violazione del dettato dell’art. 31 del d.lgs 196/03 (il c.d. "Codice per la protezione dei dati personali") che disciplina le misure che vanno adottate per la custodia e il controllo dei dati riservati. Tali prescrizioni mirano a ridurre al minimo, attraverso la predetta attività di controllo e custodia, la distruzione o perdita dei dati oppure un accesso non autorizzato oppure un trattamento non consentito o non conforme alla finalità della raccolta. A seguito di tale violazione l’intermediario dimostra di non aver tutelato in modo sufficiente tale diritto, con grave vulnus morale (oltre che materiale) in capo all’utente che può essere risarcito. Ultimo profilo da analizzare riguarda la violazione della diligenza professionale in capo all’istituto. In virtù di quanto esposto, infatti, si potrebbe contestare all’intermediario anche la violazione della diligenza del "buon banchiere" a cui erano stati affidati i risparmi e che, lungi dall’insospettirsi per un’operazione magari insolita e/o per un consistente ed anomalo importo e/o per il tramite di un computer con IP estero, non ha vigilato sui risparmi depositati affidandosi, comunque, a strumentazioni vulnerabili e inaffidabili. Esso, infatti, avrebbe dovuto attivarsi per vigilare e prevenire tali intrusioni illecite. In conclusione, si rammenta come possa formularsi un’ulteriore domanda, oltre alle tre principali sopra enunciate; il danneggiato, infatti, potrebbe richiamarsi ai principi che si ricavano dalla legislazione europea (direttiva 2007/64/CE, trasfusa nel D.Lgs 11/2010), in cui si prevede che l’intermediario garantisca il risarcimento integrale tranne per una franchigia pari ad € 150,00 salvo si dimostri la sua colpa grave o il dolo nella causazione del danno.
(avv. Paolo Polato - dott. Bruno Ravagnan)
Articolo del: