Diritto e Fisco | Editoriale

Danno da phishing: paga la banca?

30 Aprile 2018 | Autore:
Danno da phishing: paga la banca?

Se mi rubano i dati del conto e parte un bonifico a mia insaputa posso chiedere il risarcimento all’istituto di credito?

Come reagiresti se ti accorgessi che è stato fatto un bonifico bancario a tue spese senza che tu ne sapessi nulla? Cioè che è stato fatto un pagamento elettronico dal tuo conto corrente ad un perfetto sconosciuto in assenza di una tua autorizzazione? Sicuramente, la prima cosa che faresti sarebbe andare in banca a chiedere delle spiegazioni. E, nel caso queste spiegazioni non arrivassero o fossero insoddisfacenti, mediteresti di fare causa. Sì, ma a chi? Quando si verifica una truffa simile, cioè un danno da phishing, paga la banca? L’istituto di credito può limitarsi al ruolo di mero esecutore di un ordine ricevuto o deve sempre ed in ogni caso verificare da chi arriva quell’ordine?

Del fenomeno del phishing si è occupata recentemente la Cassazione con un’ordinanza [1] in cui valuta il caso di due cittadini che avevano portato in tribunale la propria banca in seguito ad un bonifico a favore di uno sconosciuto senza che loro ne sapessero nulla. La Suprema Corte, quindi, si è espressa in merito al danno da phishing e alla responsabilità della banca. Vediamo come ma cerchiamo di capire anche che cos’è il phishing e come evitare di cadere in questa trappola.

Danno da phishing: che cos’è

Il phishing (dall’inglese fishing, cioè pescare) si può definire con una sola parola: truffa. Altro non è che una frode telematica mirata a rubare dei dati sensibili, cioè delle informazioni relative ad un conto corrente e a tutto quello che ne gira intorno: credenziali di accesso, password, numero di conto e di carta di credito, ecc. Le tecniche sono le solite: l’invio di un’e-mail apparentemente normale (lo spam) o di un sms ingannevole (il cosiddetto smishing).

In entrambi i casi, il truffatore, si presenta sotto le false spoglie di una banca, di un operatore telefonico, del gestore di un servizio a cui sa che la sua potenziale vittima è abbonata. L’oggetto del messaggio può essere:

  • la scadenza della password;
  • la necessità di modificare le condizioni di un determinato contratto;
  • il rinnovo della carta di credito o di debito oppure del conto PayPal;
  • l’aggiunta o correzione di informazioni riguardanti il profilo social;
  • un’offerta di lavoro da accettare previo rilascio delle coordinate bancarie.

Se il destinatario del messaggio «ci casca», il truffatore avrà in mano le informazioni che gli consentono di operare sul conto corrente, sulla carta di credito, ecc. Quindi, di creare un danno da phishing.

Danno da phishing: la banca è responsabile?

Venendo al punto, quando parte un bonifico bancario dal nostro conto corrente a nostra insaputa creando un danno da phishing, paga la banca? È possibile chiedere un risarcimento all’istituto di credito o dobbiamo accontentarci di presentare una denuncia alla Polizia postale contro ignoti?

Come anticipato all’inizio, la Cassazione ha esaminato il caso di due cittadini vittime di una situazione come questa. Entrambi titolari di un conto corrente, si erano trovati ad effettuare un pagamento online ad uno sconosciuto senza avere dato alcuna disposizione in merito. La Suprema Corte era stata interpellata dopo che in Appello i correntisti si erano sentiti dare degli ingenui e degli irresponsabili: per i giudici, infatti, non avevano diritto al risarcimento in quando avevano fornito i propri dati rispondendo ad un’e-mail fraudolenta, rimanendo così vittime del phishing.

Di tutt’altro avviso la Cassazione, secondo cui, in tema di responsabilità della banca di fronte ad operazioni telematiche, al fine di garantire la fiducia dei clienti nella sicurezza del sistema, l’istituto è tenuto a prevedere e ad evitare questi rischi «con delle misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente». La banca, dunque, secondo l’ordinanza della Suprema Corte, deve controllare che l’ordine del bonifico o di qualsiasi altra operazione arrivi dal titolare del conto ed impedire «la possibilità di un’utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del cliente o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo». In definitiva: contrariamente a quanto detto dalla Corte d’Appello in questo caso, non basta che il titolare del conto sia stato ingenuo: l’istituto di credito deve utilizzare ogni mezzo di verifica possibile per evitare un danno da phishing.

D’altronde, la stessa Cassazione si era già pronunciata al riguardo [2], stabilendo che alla banca viene chiesta una diligenza di tipo tecnico e che, in sostanza, l’istituto è obbligato a fornire la prova della riconducibilità dell’operazione al cliente. Pertanto, la banca può essere ritenuta responsabile a livello civilistico del danno da phishing subìto da un suo cliente per non avere impedito ad un truffatore di inserirsi in maniera illecita nel sistema informatico, a meno che non venga dimostrato che l’episodio sia avvenuto per trascuratezza, errore o frode da parte del titolare del conto. Al cliente spetta la prova del danno.

Da segnalare l’imminente approvazione di un regolamento europeo in materia di diritto al risarcimento e alla responsabilità che potrebbe apportare ulteriori chiarimenti.

Danno da phishing: come difendersi

Sarà pure un luogo comune o una frase fatta, ma «prevenire è meglio che curare» si addice bene a questo argomento: evitare un danno da phishing prima che questo si verifichi rimane la scelta migliore. Ma come fare? Bastano alcuni comportamenti dettati sia dal buon senso sia da una punta di furbizia. E, in ogni caso, dalla diffidenza. Qui si parla dei nostri soldi. Quindi:

  • verificare la provenienza di qualsiasi messaggio sms, whatsapp o e-mail che ci inviti a rilasciare dei nostri dati, accettare modifiche contrattuali, rivedere abbonamenti e quant’altro. In molte occasioni ci sono degli errori grammaticali dettati dal fatto che se il truffatore è straniero avrà utilizzato un traduttore online per inviarci il messaggio. Cestinare ed eliminare definitivamente;
  • mai cliccare su un link contenuto in un’e-mail di cui non ci è chiara la provenienza;
  • controllare l’indirizzo del mittente: spesso il phisher utilizza account o url simili a quelli dei nostri contatti o della nostra banca o gestore della carta di credito. Ad esempio: gli utenti di Cartasi dovranno trovare un messaggio che porti all’indirizzo www.cartasi.it. Se, invece trovano, per dire (e a chi scrive è già successo, ovviamente il messaggio è stato cestinato subito) www.pippo.cartasi.it, il tentativo di truffa è evidente. Nella fretta è facile cascarci;
  • verificare ogni tanto la situazione del proprio conto corrente. Conviene anche chiedere alla banca di attivare il servizio sms che informa di ogni movimento effettuato;
  • bloccare dei pagamenti o degli accrediti non richiesti: nel primo caso si rischia di rimanere truffati, nel secondo una denuncia per riciclaggio.

note

[1] Cass. ord. n. 9158/2018.

[2] Cass. sent. n. 2950/2017.


Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube