La Corte di Cassazione, con una recentissima sentenza, ha voluto precisare che in caso di phishing è la banca del correntista truffato a dover dimostrare di aver adottato tutte le cautele necessarie a evitare la frode; in caso contrario quest'ultima non sarà esente da responsabilità. Abbiamo chiesto un parere al Dott. Luigi Dinella dello Studio Legale Fioriglio Croari.
Il fenomeno del phishing (o truffa telematica) è in continua evoluzione e sono molteplici le modalità attraverso le quali i truffatori mettono in atto i loro "colpi". Infatti il mondo telematico offre a coloro che ne conoscono le varie sfaccettature una vastissima serie di alternative per interagire con altri soggetti, al fine di raccoglierne i dati necessari per porre in essere i propri raggiri. Per questo è richiesta una particolare attenzione sia da parte dei correntisti sia degli istituti di credito che ne custodiscono i capitali.
In primis, è lo stesso correntista a dover utilizzare particolare cautela nell'inserire le proprie credenziali per accedere a pagine che potrebbero apparire come quelle "ufficiali" del proprio istituto di credito, ma che in realtà sono solamente raccoglitori di dati (chiavi e password) o contenitori di virus utili per memorizzarli.
Tuttavia, come emerge da questa sentenza, è anche la banca (e l'istituto di credito in generale) a cui si è affidato il correntista truffato a doversi impegnare per adottare tutte le misure necessarie ad evitare la truffa (e a doverlo dimostrare).
Per meglio facilitare l'analisi della sentenza, farò prima un'analisi del phishing, indicando le varie ipotesi di illecito (civili e penali) che quest'attività può integrare.
Il phishing
Il termine phishing è nato dall'unione delle parole "fishing", pescare, e "phreaking", inteso come raccolta illecita di dati telefonici e con esso ci si riferisce a una particolare tipologia di truffa telematica tramite la quale un soggetto, fingendosi un ente affidabile (come, appunto, un istituto di credito), con varie modalità (ad esempio, tramite mail che sembrano provenire dalla banca e che invitano ad accedere al proprio profilo) raccoglie i dati finanziari o le chiavi di accesso del malcapitato.
Avendo ad oggetto il trattamento di dati le prime norme che risultano violate sono quelle del Codice della Privacy. In casi del genere i dati vengono raccolti senza il consenso dell'interessato, in violazione di un principio cardine dello stesso Codice (per il trattamento dei dati personali, salvo alcune eccezioni, deve esserci sempre il consenso del soggetto che ne subisce il trattamento).
Inoltre, dato che il trattamento illecito dei dati è mirato indiscutibilmente al profitto del truffatore (o di terzi), viene sicuramente integrata anche la fattispecie prevista dall'articolo 167 dello stesso Codice, che detta misure di carattere penale per la sua violazione. Sempre per quanto riguarda le possibili violazioni di carattere penale, il truffatore potrà andare incontro, a seconda dello specifico caso, a diversi reati previsti dal Codice Penale (es. truffa, frode informatica, accesso abusivo a un sistema informatico o sostituzione di persona).
Tuttavia, come vedremo anche nella sentenza, non è esclusa la possibilità che ad essere responsabile, oltre al phisher, sia anche l'istituto di credito a cui il correntista fa riferimento. Quanto detto si può desumere da varie norme dello stesso Codice della Privacy.
Sicuramente potrà configurarsi una responsabilità extracontrattuale (con conseguente risarcimento danni), come si desume dal combinato disposto dell'articolo 15, che prevede il risarcimento per danni cagionati dal trattamento, e dell'articolo 31, che prescrive al titolare del trattamento (colui che effettua il trattamento dei dati, in questo caso la banca) l'adozione di tutte le misure di sicurezza necessarie per evitare il rischio che tali dati vengano portati a conoscenza di soggetti non autorizzati.
Inoltre è configurabile anche una responsabilità di carattere penale in capo allo stesso istituto di credito in base al dettato dell'articolo 169, secondo il quale è possibile punire con l'arresto fino a due anni chiunque, tenuto all'adozione di misure di sicurezza adeguate per il trattamento dei dati personali, ometta di farlo.
La decisione della Suprema Corte
Nel caso in questione un correntista contestava dei bonifici eseguiti in modo fraudolento via Internet da soggetti terzi, entrati illegittimamente in possesso delle chiavi d'accesso del titolare del conto corrente.
La domanda è stata rigettata sia in primo che in secondo grado, in quanto il sistema di crittografia utilizzato dall'istituto di credito era stato ritenuto idoneo a impedire l'accesso ad estranei. Di conseguenza, unico responsabile era stato considerato il correntista, il cui incauto comportamento aveva permesso che terzi si impossessassero dei dati di accesso.
Giustamente il correntista proponeva ricorso alla Corte di Cassazione sostenendo un'errata ripartizione dell'onere della prova: a suo dire, infatti, doveva spettare all'istituto di credito dimostrare di aver adottato le misure idonee per garantire la sicurezza del servizio fornito.
La Suprema Corte, sostenendo l'opinione del correntista, affermava che essendo richiesta al professionista una diligenza qualificata, era onere dell'istituto di credito provare di avere adottato tutte le misure necessarie per evitare il fatto: non vi era alcun elemento in base a cui ritenere che la responsabilità dell'operazione dovesse essere ricondotta esclusivamente al comportamento incauto del correntista (tra l'altro, solamente presunto).
La Cassazione proseguiva affermando che la possibile sottrazione del codice d'accesso da parte di terzi configura un tipico rischio d'impresa (dell'istituto di credito): dunque prima di far ricadere la responsabilità sul cliente bisognava che la banca dimostrasse di avere adottato tutte le misure necessarie per evitare la truffa.
Pertanto l'istituto di credito, concludeva la Suprema Corte, non sarà responsabile solamente se potrà dimostrare di non aver potuto prevedere ed evitare l'utilizzazione di codici da parte di terzi (dunque con assenza di dolo o colpa grave). La sentenza veniva, quindi, rinviata al giudice di secondo grado per una nuova valutazione dei fatti di causa.