Truffato dal phishing? Per la Cassazione la colpa è di chi ci cade, non delle banche

Se si cade in trappola, frodati dal phishing, la colpa non può essere attribuita alle banche, sostiene la Corte di Cassazione in una recentissima sentenza, la numero numero 7214 del 13 marzo ma, semmai, al cliente che ha “abboccato” all’amo dei truffatori senza prestare la dovuta attenzione.

La Cassazione introduce, di fatto, un principio che rappresenta, per le banche, uno scudo apparentemente invalicabile di fronte alle richieste di risarcimento danni avanzati da correntisti truffati on line con la tecnica del phishing.

Nel caso oggetto della sentenza, che l’Abi, l’Associazione banche italiane, ha inviato agli associati con una circolare, il titolare del conto ha disconosciuto una operazione fraudolenta di bonifico eseguita per via telematica sul proprio conto da una terza persona.

Nella causa di primo grado, il Tribunale di Palermo aveva condannato l’intermediario a rimborsare al titolare del conto corrente la somma che era stata sottratta fraudolentemente, ritenendo che l’intermediario non avesse adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quello oggetto di causa.

Ma questa decisione, tuttavia, è stata riformata dalla sentenza della Corte d’Appello di Palermo, per poi essere confermata dalla Suprema Corte.

Richiamando nei fatti di causa le argomentazioni poste dalla Corte d’Appello, la Corte di Cassazione ha dichiarato inammissibile il ricorso escludendo la responsabilità dell’intermediario.

L’Abi segnala, in proposito, ai suoi associati, cioè gli istituti di credito, alcuni aspetti: il comportamento del titolare del conto è da considerarsi ‘imprudente e negligente‘ in quanto il cliente ha digitato i propri codici personali (richiestigli con una e-mail fraudolenta) consentendo così al truffatore di utilizzarli successivamente per effettuare disposizioni di pagamento.

Sul punto, in secondo grado, è stato evidenziato che l’attività svolta dall’intermediario, in quanto relativa anche al trattamento informatico di dati personali, è da considerarsi ‘pericolosa’ (D.Lgs. n. 196 del 2003, art. 15 e art. 2050 c.c.), in considerazione delle sempre più frequenti truffe informatiche, che mirano a carpire fraudolentemente i dati necessari per il compimento di operazioni illecite.

Inoltre, ricorda l’associazione, ad avviso dei giudici d’Appello, l’intermediario,, ha adottato un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terze persone in quanto “i livelli di sicurezza dei sistemi informatici (…) sono stati certificati da appositi enti certificatori, secondo i più rigorosi ed affidabili standard internazionali” e dal contenuto di tali documenti emerge che “l’utilizzazione del servizio on line può avvenire esclusivamente attraverso l’inserimento di vari codici segreti in possesso dell’utente e sconosciuti allo stesso personale” dell’intermediario.

I giudici d’Appello hanno considerato positivamente il comportamento dell’intermediario. Che ha fornito una specifica informativa, anche precontrattuale, al cliente riguardo all’importanza della custodia e all’utilizzo corretto delle credenziali.

I giudici hanno, inoltre, evidenziato come “sul sito internet di (…) [dell’intermediario], agevolmente consultabile dal correntista” vi è un apposito spazio in cui “vengono fornite le necessarie informazioni per evitare le frodi informatiche (in particolare, il phishing), con l’avvertenza, in particolare, che [l’intermediario] non richiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto di (…) [dell’intermediario] da quelli clonati, nei quali il correntista è indotto a digitare i propri codici personali”.

Quanto all’onere probatorio, conclude nella circolare l’Abi, la Corte di Cassazione ha concluso che l’intermediario non era tenuto a provare che l’addebito fosse stato approvato dai correntisti, in quanto dalle “caratteristiche di sicurezza proprie del sistema informatico [dell’intermediario] per l’esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione”.