Dir. penale, frode informatica e reati su internet
Nel caso di phishing nel delitto di frode informata è responsabile la banca o le poste con annesso risarcimento del cliente.
DIRITTO PENALE
FRODE INFORMATICA E REATI SU INTERNET
RESPONSABILITA’ CIVILE DELLA BANCA
Col termine phishing si indica una "truffa informatica effettuata inviando una mail con il logo contraffatto di una banca o di una società di commercio online, in cui si invita il destinatario a fornire dati riservati come il numero della carta di credito o la password di accesso al servizio di home banking, spiegando la richiesta con ragioni di ordine tecnico".
La vittima del phishing viene così invitata a fornire dati personali che consentano l'accesso ad informazioni riservate (ad esempio conti correnti bancari, password di accesso e codici di identificazione in genere) utilizzando come motivazione alla base di tali richieste perdita di dati, scadenza di parole di accesso, necessaria autenticazione allo svolgimento di operazioni particolari.
Dal punto di vista normativo il nostro sistema penale non prevede una norma specifica che contempli il suddetto phishing. Per questo motivo tale condotta criminosa non costituisce ancora ipotesi punibile singolarmente ma deve essere scorporata per essere ricondotta a precise fattispecie criminose previste dal nostro codice penale.
Ed in questo contesto di "vuoto" normativo, la Cassazione, vedendosi sottoposta un caso rientrante in suddetta fattispecie, ha uniformato la giurisprudenza sul punto inquadrando la condotta tenuta da chi commette phishing nel delitto di frode informatica, individuando precisamente un elemento comune ad entrambe le fattispecie: si tratterebbe della modalità in cui vengono carpite le informazioni, dati in ogni caso contenuti in un "sistema informatico".
E proprio riguardo alla suddetta tipologia di frode informatica ovvero al caso specifico di pushing mediante il furto delle credenziali di accesso al proprio conto corrente, gli ermellini con la recente sentenza n. 9158 del 12 aprile 2018 hanno affermato la piena responsabilità della Banca o della poste con annesso risarcimento del cliente. A meno che l’istituto non riesca a dimostrare l’incauta trasmissione delle password da parte del titolare a mail sospetta e sconosciuta e cioè la riconducibilità dell’operazione al cliente stesso.
Sicché, per le sorprese riservate al correntista dell'home banking risponde la banca (o le Poste) se il soggetto dimostra di non aver autorizzato alcun bonifico e di non aver rivelato a terzi le proprie credenziali on line.
La Corte ha ricordato come in tema di responsabilità della banca in caso di operazioni effettuate con mezzi elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni all'effettiva volontà del cliente, la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi (la cosiddetta frode informatica), non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. In pratica tocca all'istituto di credito provare la negligenza del titolare del conto, ad esempio un incauto invio di password.
FRODE INFORMATICA E REATI SU INTERNET
RESPONSABILITA’ CIVILE DELLA BANCA
Col termine phishing si indica una "truffa informatica effettuata inviando una mail con il logo contraffatto di una banca o di una società di commercio online, in cui si invita il destinatario a fornire dati riservati come il numero della carta di credito o la password di accesso al servizio di home banking, spiegando la richiesta con ragioni di ordine tecnico".
La vittima del phishing viene così invitata a fornire dati personali che consentano l'accesso ad informazioni riservate (ad esempio conti correnti bancari, password di accesso e codici di identificazione in genere) utilizzando come motivazione alla base di tali richieste perdita di dati, scadenza di parole di accesso, necessaria autenticazione allo svolgimento di operazioni particolari.
Dal punto di vista normativo il nostro sistema penale non prevede una norma specifica che contempli il suddetto phishing. Per questo motivo tale condotta criminosa non costituisce ancora ipotesi punibile singolarmente ma deve essere scorporata per essere ricondotta a precise fattispecie criminose previste dal nostro codice penale.
Ed in questo contesto di "vuoto" normativo, la Cassazione, vedendosi sottoposta un caso rientrante in suddetta fattispecie, ha uniformato la giurisprudenza sul punto inquadrando la condotta tenuta da chi commette phishing nel delitto di frode informatica, individuando precisamente un elemento comune ad entrambe le fattispecie: si tratterebbe della modalità in cui vengono carpite le informazioni, dati in ogni caso contenuti in un "sistema informatico".
E proprio riguardo alla suddetta tipologia di frode informatica ovvero al caso specifico di pushing mediante il furto delle credenziali di accesso al proprio conto corrente, gli ermellini con la recente sentenza n. 9158 del 12 aprile 2018 hanno affermato la piena responsabilità della Banca o della poste con annesso risarcimento del cliente. A meno che l’istituto non riesca a dimostrare l’incauta trasmissione delle password da parte del titolare a mail sospetta e sconosciuta e cioè la riconducibilità dell’operazione al cliente stesso.
Sicché, per le sorprese riservate al correntista dell'home banking risponde la banca (o le Poste) se il soggetto dimostra di non aver autorizzato alcun bonifico e di non aver rivelato a terzi le proprie credenziali on line.
La Corte ha ricordato come in tema di responsabilità della banca in caso di operazioni effettuate con mezzi elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni all'effettiva volontà del cliente, la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi (la cosiddetta frode informatica), non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. In pratica tocca all'istituto di credito provare la negligenza del titolare del conto, ad esempio un incauto invio di password.
Articolo del: