Con una recente sentenza il Tribunale di Milano si è espresso a favore del nostro assistito, un primario istituto di credito, in ordine ad una controversia relativa al sempre più dilagante fenomeno del “phishing”, nella specie in una delle sue varianti più diffuse e, vale la pena sottolinearlo, più insidiose: il cd. “smishing”.
In primoluogo è opportuno chiarire l’ambito terminologico della questione in quanto i termini utilizzati, sebbene simili, hanno ambiti di riferimento precisi e riguardano fenomeni ben identificati.
1) Phishing
Il phishing è una forma di truffa online utilizzata per ottenere informazioni personali, come username, password, numeri di carta di credito o altri dati sensibili, ingannando le persone facendo loro credere di essere una fonte affidabile.
I truffatori di solito inviano e-mail, messaggi di testo o creano siti web contraffatti che sembrano provenire da istituzioni legittime, come banche, società di carte di credito, servizi di posta elettronica o social media. Questi messaggi spesso contengono richieste urgenti o offerte allettanti per convincere le vittime a fornire le proprie informazioni e dati personali. Una volta ottenuti i dati sensibili, i truffatori possono usarli per rubare denaro, impossessarsi dell’identità della vittima o commettere altri reati.
2) Smishing
Lo smishing (Phishing via SMS) è una tecnica di phishing che si basa sull’invio di messaggi di testo fraudolenti che sembrano provenire da istituzioni legittime come banche, aziende di carte di credito o servizi online. Questi messaggi di testo spesso richiedono all’utente di fare clic su un link o di rispondere fornendo informazioni personali o finanziarie.
Come funziona? Gli smisher inviano messaggi di testo che sollecitano l’utente a rispondere immediatamente o a fare clic su un link. Il link potrebbe portare a un sito web contraffatto progettato per carpire informazioni e dati sensibili come nomi utente, password, numeri di carta di credito o altre informazioni finanziarie.
L’obiettivo dello smishing è, pertanto, quello di ottenere accesso a informazioni sensibili o finanziarie dell’utente per rubare denaro, identità o utilizzare tali informazioni per altri fini fraudolenti. Possono anche cercare di installare malware sui dispositivi degli utenti attraverso i link malevoli.
3) Vishing
Con il vishing (Phishing via telefono) gli hacker utilizzano il telefono per contattare le vittime e cercare di ottenere informazioni personali o finanziarie tramite tecniche di ingegneria sociale. Possono fingersi rappresentanti di istituti finanziari, società di carte di credito o altre organizzazioni legittime. Lo scopo, ovviamente, è il medesimo dei precedenti metodi.
Esistono, poi, diversi altre modalità di phishing più sofisticate quali il “pharming”, tecnica che coinvolge la compromissione dei sistemi DNS o la manipolazione dei server DNS per indirizzare le vittime verso siti web contraffatti; phishing tramite social media che implica la creazione di account falsi ed infine lo spear-phishing e il whale-phishing, attività fraudolente altamente personalizzate che mirano a individui specifici o a gruppi ristretti di persone utilizzando informazioni personali raccolte da fonti pubbliche o compromesse o, nel secondo, caso mirate ad individui di alto profilo come dirigenti aziendali o personaggi pubblici.
Ovviamente, tutte le tecniche sopra illustrate non sono esclusive ma, anzi, possono essere utilizzate in maniera combinata per massimizzarne l’efficacia.
In tale contesto, la domanda cardine è se alle banche sia ascrivibile un qualche tipo di responsabilità in ordine al verificarsi di questo tipo di illeciti provenienti da terzi e, in caso positivo, di quale tipo di responsabilità si tratti.
In tal senso, soccorre, oltre alle norme generali contenute nel Codice Civile, il D. Lgs. n. 11/2010 attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE.
Dalla normativa di cui sopra emerge un sistema di best practice in capo alle banche (ma come vedremo, anche in capo al correntista) finalizzato alla protezione dei loro clienti dai rischi associati al phishing (nelle sue diverse declinazioni) e ad altre forme di frode finanziaria.
Il suddetto sistema può essere formalizzato come segue.
Educazione e sensibilizzazione: le banche devono educare i loro clienti sui rischi dello phishing e su come riconoscere i messaggi fraudolenti e ciò può includere la fornitura di informazioni sui tipi di truffe in corso e consigli su come evitare di diventare vittime.
Monitoraggio delle transazioni sospette: le banche devono monitorare le transazioni sospette e mettere in atto misure di sicurezza per rilevare e prevenire frodi finanziarie, inclusi gli attacchi di phishing e questo può includere l’analisi dei modelli di transazioni anomale e l’implementazione di sistemi di sicurezza avanzati.
Protezione dei dati dei clienti: le banche devono adottare misure adeguate per proteggere i dati personali e finanziari dei loro clienti dai tentativi di accesso non autorizzato ciò può includere l’implementazione di protocolli di sicurezza informatica robusti e la crittografia dei dati sensibili.
Rimborso delle frodi: se un cliente diventa vittima di phishing e subisce perdite finanziarie a causa di transazioni non autorizzate, la banca potrebbe essere tenuta a rimborsare il cliente, tuttavia, ciò dipende dalle politiche specifiche della banca e dalle circostanze della frode.
Collaborazione con le autorità competenti: le banche devono collaborare con le autorità competenti per indagare sulle frodi finanziarie, comprese quelle associate allo phishing, e contribuire all’identificazione e al perseguimento degli autori.
In sintesi, le banche hanno il dovere di proteggere i loro clienti dai rischi associati allo phishing e ad altre forme di frode finanziaria attraverso l’educazione, il monitoraggio, la protezione dei dati e il rimborso delle frodi quando appropriato.
Tuttavia, è anche importante che i clienti adottino misure di sicurezza adeguate per proteggere se stessi, come l’evitare di rispondere a messaggi sospetti e di condividere informazioni sensibili tramite SMS o altri canali non sicuri.
Proprio sul difficile equilibrio tra i comportamenti che possono ritenersi esigibili dai soggetti coinvolti si incentrano le cause che, sempre più di frequente, interessano i nostri Tribunali chiedendo un pronunciamento del giudice sul punto.
La sentenza in commento ha ritenuto correttamente individuato, dal Giudice di prime cure, negli artt. 7 -8 e 10 del predetto Decreto Legislativo, l’apparato normativo di supporto che, tuttavia è giunto a ritenere non integrata una ipotesi di colpa grave nel comportamento dell’attore/correntista.
La giurisprudenza di legittimità, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, con orientamento costante, ha affermato che in tema di responsabilità della banca, ovvero dell’erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento – prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di un’utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo, di talché l’erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuto a fornire la prova della riconducibilità dell’operazione al cliente (Cass., 03/02/2017, n. 2950; cfr. altresì Cass., 05/07/2019, n. 18045, secondo cui la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell’utente, configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento, posto che la sollecita
consultazione degli estratti gli avrebbe consentito di conoscere quell’uso in tempo più utile; cfr. più di recente Cass. n. 26916/2020; Cass. n. 31136/2023 del 08/11/2023).
Nel caso di specie, infatti, il correntista ha ricevuto un sms c.d. “civetta” riferibile al numero telefonico/contatto della propria banca al quale è seguita la telefonata di un sedicente direttore della Banca che lo esortavano a comunicare, per asseriti motivi di sicurezza, il codice identificato e la password c.d. “statica” riferibili al proprio conto e ad inserirli nel sito non ufficiale dell’istituto di credito, e, per quel che maggiormente rileva, a comunicare allo sconosciuto interlocutore i predetti dati unitamente ai codici pervenuti in quel momento tramite sms sul cellulare, c.d. O.T.R.
La condotta del correntista deve essere, pertanto, valutata, in combinato disposto con la normativa di riferimento, alla stregua dell’art. 1227 del Codice Civile che disciplina la responsabilità civile contrattuale per inadempimento delle obbligazioni e che stabilisce che chiunque, per colpa o dolo, violi gli obblighi derivanti da un contratto è tenuto al risarcimento dei danni che ne conseguono alla controparte.
Quando si discute della responsabilità della banca per phishing, ci si riferisce al contesto in cui un cliente subisce un danno finanziario a seguito di transazioni non autorizzate o frodi commesse attraverso il mezzo dello phishing, ovvero l’invio di messaggi di testo fraudolenti.
La relazione tra l’articolo 1227 del Codice Civile e la responsabilità della banca per phishing può essere così riassunta.
Violazione degli obblighi contrattuali: La banca ha l’obbligo contrattuale di proteggere i fondi e le informazioni finanziarie dei suoi clienti. Se la banca non adotta misure sufficienti per proteggere i propri clienti dallo phishing e quest’ultimo causa danni finanziari ai clienti, potrebbe essere ritenuta responsabile per violazione degli obblighi contrattuali.
Colpa o dolo: Secondo l’articolo 1227 c.c., la responsabilità per danni derivanti da inadempimento contrattuale può sussistere in presenza di colpa o dolo. Se la banca non adotta misure adeguate per prevenire il phishing nonostante ne sia a conoscenza o non risponda prontamente alle segnalazioni dei clienti riguardo a transazioni sospette, potrebbe essere considerata colpevole e quindi responsabile per i danni subiti dai clienti.
Risarcimento dei danni: In base all’articolo 1227, la parte responsabile dell’inadempimento contrattuale è tenuta al risarcimento dei danni subiti dall’altra parte. Pertanto, se la banca è ritenuta responsabile per il danno finanziario subito dal cliente a causa dello smishing, potrebbe essere tenuta a risarcire il cliente per tali danni, inclusi eventuali addebiti non autorizzati sul conto bancario del cliente.
In conclusione, l’articolo 1227 del Codice Civile può essere invocato nel contesto della responsabilità della banca per phishing se il cliente dimostra che la banca ha violato gli obblighi contrattuali di protezione e sicurezza delle transazioni finanziarie, causando danni al cliente a causa dello phishing.
Come si è visto, proprio nella qualificazione della colpa ascrivibile al Correntista la sentenza di secondo grado ha “ribaltato” il giudizio di primo grado ritenendo il comportamento del correntista, in special modo nella comunicazione del “codice dinamico”, connotata da un elevato grado di colpa che ha determinato l’autorizzazione al compimento delle operazioni di pagamento oggetto della domanda risarcitoria.
Se è certamente vero che l’istituto di credito debba rispondere di un eventuale malfunzionamento del sistema, anche in ragione di una non corretta predisposizione di tutte le misure di sicurezza volta ad evitare il dilagante fenomeno del c.d. “phishing” ovvero “smishing” laddove non dimostri il dolo ovvero la colpa grave del cliente, è altrettanto vero che non è possibile giungere ad una sostanziale deresponsabilizzazione dell’utente, riconoscendo il diritto al risarcimento del danno a suo favore, anche a fronte di comportamenti talmente incauti (cfr. comunicazione a terzi totalmente ignoti delle credenziali del conto e degli O.T.P. necessari per completare le operazioni) da non poter essere fronteggiati in anticipo dal prestatore di servizi.
A differenti conclusioni, nel senso cioè di una sostanziale responsabilità risarcitoria della banca, si sarebbe potuti giungere laddove sia le credenziali statiche sia soprattutto le passwords dinamiche fossero state carpite attraverso il sistema informatico, eventualmente tramite clonazione anche della sim-card del telefono ove venivano recapitati gli O.T.P., con conseguente assunzione del rischio a carico della parte appellante.
A cura di Paolo Manzato Alessandro Garrione Andrea Nana Monica Visone