PHISHING: QUANDO LA BANCA NON RIMBORSA

PHISHING: QUANDO LA BANCA NON RIMBORSA

“Egregio Avvocato, alcuni mesi fa ho ricevuto una e-mail, che sembrava provenire dalla mia banca, in cui mi chiedevano di accedere tramite link perché era in corso un adeguamento del sistema di sicurezza ed era necessaria una nuova registrazione. Ingenuamente ho cliccato sul link, inserito le mie credenziali di accesso e non è successo nulla. Nei giorni successivi ho però trovato dei prelievi dal mio conto corrente che non avevo mai autorizzato. Sono subito andato dalla mia banca e ho cambiato le credenziali. Lì mi hanno detto che non era in corso nessun adeguamento dei sistemi di sicurezza e che ero stato truffato. Ho chiesto alla banca di restituirmi gli importi dei prelievi che non avevo autorizzato, non ho ancora ricevuto risposta, ma ora ho letto su internet che c'è una sentenza che mi darebbe torto. Mi può dare qualche notizia in più?”

Caro lettore,

di recente ha in effetti avuto ampia diffusione, su diversi giornali e siti di informazione, la notizia di una sentenza della Suprema Corte di Cassazione, relativa a un caso simile al Suo.

Purtroppo, infatti, quella che Lei mi descrive è una pratica illecita ormai largamente diffusa. Capita di ricevere delle email, in apparenza provenienti da banche, in cui con varie scuse viene chiesto di inserire le proprie credenziali o i propri dati.

A volte la email proviene da banche o altri istituti presso cui il destinatario non ha nessun conto corrente aperto e nessun rapporto in essere, per cui è facile rendersi conto che si tratta di un raggiro.

Altre volte, invece, la email è in apparenza intestata alla propria banca, spesso ha anche la parvenza di essere una comunicazione vera, per cui può succedere di essere tratti in inganno.

In realtà le banche per prassi non chiedono ai propri clienti di inserire credenziali o propri dati personali tramite email. Pertanto, il consiglio è di evitare sempre di dare seguito a simili messaggi e, al più, in caso di dubbio, contattare direttamente la propria filiale.

Chi incappa nella truffa e inserisce le proprie credenziali finisce per consegnarle a degli sconosciuti, che spesso è pressoché impossibile identificare e che risiedono sovente all'estero. Costoro usano le credenziali per effettuare indebitamente prelievi dal conto corrente del malcapitato.

Il fenomeno truffaldino sopra descritto ha anche un nome, “phishing”, derivante da una storpiatura della forma verbale inglese fishing, cioè pescare. Il termine rappresenta in modo grottesco questo tipo di pratica illecita e odiosa, in cui si procede a un invio massivo di email a enormi liste di destinatari, sperando che qualcuno cada nel tranello, un po' come il pescatore che getta l'amo sperando di pescare qualche pesce.

In data 13 marzo 2023 è stata pubblicata una pronuncia della Corte di Cassazione sul fenomeno del phishing, con ordinanza n. 7214/2023.

La pronuncia riguarda il caso di un correntista di Poste Italiane spa che aveva subito un prelievo tramite bonifico dal proprio conto verso un terzo sconosciuto, benché non avesse mai autorizzato tale operazione. Le Poste si difendevano affermando che il prelievo era stato autorizzato tramite accesso con le credenziali del correntista, per cui non si era verificata nessuna evidente anomalia.

Il Tribunale competente dava ragione al correntista e condannava le Poste a restituire l'importo illegittimamente prelevato dai terzi, affermando che le Poste non avevano adottato tutte le misure di sicurezza tecniche idonee a prevenire eventi dannosi come quelli lamentati dal correntista.

La sentenza veniva appellata da Poste e la Corte d'Appello ribaltava la sentenza del Tribunale, affermando che l'agire delle Poste era stato corretto e che, per conseguenza, la domanda del correntista di condannare le Poste alla restituzione delle somme prelevate era infondata.

In particolare, secondo la Corte di Appello, il sistema adottato da Poste Italiane spa per accedere al conto corrente era idoneo a prevenire il rischio che terzi vi si intromettano illegittimamente, in quanto il correntista è individuato tramite credenziali e solo tramite esse si può accedere. Le credenziali sono note solo al correntista, tanto che neppure i dipendenti delle Poste ne sono a conoscenza.

Da ciò la Corte d'Appello deduce che solo il correntista può avere dato ai terzi le credenziali, verosimilmente perché indotto in errore a seguito di una email di phishing. Tuttavia, per il predetto giudice, le Poste non possono essere ritenute colpevoli se, improvvidamente, il correntista dà a terzi le proprie credenziali, anche se questi terzi lo inducono in errore.

Il correntista, non condividendo le affermazioni della Corte d’Appello, ha quindi impugnato la relativa sentenza davanti alla Suprema Corte di Cassazione.

La Corte di Cassazione, con la citata ordinanza n. 7214 del 13 marzo 2023, ha tuttavia confermato la sentenza della Corte di Appello, ritenendola corretta. In particolare, la Suprema Corte ha ritenuto immune da vizi il ragionamento della Corte d’Appello secondo cui chi gestisce il conto corrente, sia esso le Poste o una Banca, ha l'onere di predisporre un sistema di sicurezza con accesso consentito solo per volontà del correntista: a tal fine, un sistema di accesso tramite credenziali note solo al titolare del conto è idoneo allo scopo.

Il fatto che il correntista abbia per errore dato le proprie credenziali a terzi non può essere addebitato alle Poste o alla Banca, per cui queste ultime non possono risarcire il correntista per una sua condotta imprevidente.

Ne consegue come, da quel che si desume dall’ordinanza della Cassazione in commento, in caso di phishing la Banca non è responsabile se il correntista dà a terzi le proprie credenziali, anche se questi terzi lo inducono in inganno fingendosi la Banca.

La decisione della Suprema Corte del 13 marzo 2023 non è tuttavia così dirimente.

Esiste infatti un opposto orientamento, sostenuto in passato dalla stessa Corte di Cassazione in tema di prelievi non autorizzati tramite bancomat, secondo cui "in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che... la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell'accorto banchiere, è tenuta a fornire la prova della riconducibilità dell'operazione al cliente" (Cass. nn. 9721/2020, 2950/2017).

In sintesi, secondo quest’opposto orientamento della Suprema Corte, è onere della Banca o delle Poste dimostrare che l’operazione è riconducibile al cliente e non a terzi. Il che è sensibilmente differente da quanto affermato dalla sopra trattata sentenza della medesima Corte n. 7214 del 13 marzo 2023, secondo cui per la Banca o le Poste è sufficiente dimostrare di avere predisposto sistemi di sicurezza adeguati.

Si profila dunque un possibile contrasto tra orientamenti giurisprudenziale, che rende necessario valutare caso per caso ogni singola differente situazione e porta ad auspicare un intervento delle Sezioni Unite, affinché sia fatta definitiva chiarezza in materia.

Avv. Filippo Testa

Per visualizzare o aggiungere un commento, accedi

Altre pagine consultate