Il phishing nella giurisprudenza di legittimità

Il phishing è una truffa informatica effettuata inviando un’e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito, password di accesso al servizio di home banking, ecc., motivando tale richiesta con ragioni di ordine tecnico. Figure essenziali di tale reato sono l’hacker (esperto informatico) che si procura i dati, il collaboratore “prestaconto” che mette a disposizione un conto corrente per accreditare le somme e il destinatario finale delle somme spedite dal cliente (cfr. Cass. pen. n. 10060/2017).

Nel nostro ordinamento giuridico, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno o per l’adempimento deve provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi poi ad allegare la circostanza dell’inadempimento della controparte, mentre al debitore convenuto spetta la prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento (Cass. n. 826/2015) ovvero dell’impossibilità della prestazione derivante da causa a lui non imputabile.

Tale generale principio ha trovato una sua specificazione, con riguardo all’utilizzazione di servizi e strumenti con funzione di pagamento che si avvalgono di mezzi meccanici o elettronici, in quanto si è ritenuto che “non può essere omessa (…) la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio (…); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (Cass. 12 giugno 2007, n. 13777; v. anche Cass. 19 gennaio 2016, n. 806)” (Cass. n. 2950/2017).

Di recente tale impostazione, in un caso di phishing, è stata confermata dalla Cassazione con decisione n. 9158/2018, secondo cui “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.

La banca, dunque, cui è richiesta una diligenza di natura tecnica – da valutarsi con il parametro dell’accorto banchiere – è tenuta a fornire la prova della riconducibilità dell’operazione al cliente (Cass. n. 9158/2018; conf. Cass. n. 2950/2017).