Sicurezza Informatica: "Phishing" e responsabilità della Banca

Alcuni stralci di recenti decisioni giurisprudenziali in tema di "Phishing" e sulle responsabilità dell’Istituto Bancario (nello specifico, si tratta di Poste Italiane):

1)   <Nell’espletamento dei servizi di pagamento tramite Internet … Poste Italiane è tenuta ad adottare tutte le misure tecniche idonee a garantire un adeguato standard di sicurezza nell’effettuazione dei pagamenti, in moda da impedire l’accesso di soggetti non abilitati al sistema ed evitare danni ai clienti.

Nel caso si specie, è evidente la colpa di Poste Italiane.  Essa stessa ammette che l’operazione “veniva segnalata tempestivamente dai sistemi di monitoraggio anti-frode della società Poste Italiane poiché disposta da indirizzo IP difforme da quello utilizzato normalmente dal cliente”. … “in particolare l’indirizzo IP identifica univocamente la connessione da uno specifico PC (o altro dispositivo telematico) alla rete; tutte le operazioni disposte on-line sono contrassegnate da un indirizzo IP di esecuzione: i sistemi anti-frode di Poste Italiane S.p.A. allarmano le transazioni disposte da un cliente mediante un indirizzo IP difforme da quello abitualmente utilizzato per disporre operazioni on-line”.

Attesa l’anomalia dell’operazione, in quanto proveniente da indirizzo IP diverso da quello usualmente utilizzato dal cliente, l’aver consentito il prelievo della somma in un lasso di tempo così ristretto, senza aver verificato l’effettiva provenienza dell’ordinativo dal titolare del conto, costituisce senz’altro negligenza inescusabile tale da fondare l’affermazione di responsabilità di Poste Italiane S.p.A., tenuta, quindi, al risarcimento del danno patito …>  (Tribunale di Siracusa, ordinanza 15 marzo 2012)

2)   <Poste Italiane, come qualsiasi altro operatore bancario, nei rapporti contrattuali con il cliente “risponde secondo le regole del mandato” (art. 1856 cod. civ.) e la diligenza cui è tenuta va valutata con particolare rigore. In particolare, con specifico riferimento all’utilizzazione di servizi e strumenti, con funzione di pagamento o altra, che si avvalgono di mezzi meccanici o elettronici, è fondamentale, ai fini della configurazione di relative responsabilità, la verifica dell’adozione da parte dell’istituto delle misure idonee a garantire la sicurezza del servizi>  (Tribunale di Firenze, sentenza 20.05.2014)

3)   Premesso che il Phishing è quella <tecnica informatica illecita finalizzata alla sottrazione fraudolenta dei dati personali di accesso ai conti correnti dei legittimi titolari, di cui carpiscono l’identità informatica<, Poste Italiane S.p.A. <è da ritenersi, all’epoca delle compiute operazioni di pirateria, gravemente in difetto <per non essersi ancora adeguata agli standard di sicurezza dei sistemi informatici, non avendo adottato, nel sistema di home banking, quel sistema di autenticazione basato su OTP che all’epoca dei fatti costituiva uno standard consolidato per la tutela dei Clienti di banche dal phishing e dai programmi spia< (Tribunale di Milano, sentenza 4.12.2014)