Brevi note sul phishing

Il phishing è una truffa informatica effettuata inviando un’e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati quali numero di carta di credito e/o password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico. Chi utilizza tecniche di phishing – che può configurarsi anche mediante l’invio di sms: c.d. smishing ovvero l’effettuazione di chiamate vocali: c.d. vishing – mira ad ottenere, tramite artifici e raggiri e inducendo in errore l’utente, le credenziali di autenticazione necessarie ad accedere abusivamente a spazi informatici esclusivi del titolare (ad esempio relativi alla gestione dei conti correnti online) e a svolgere, senza autorizzazione, operazioni bancarie o finanziarie.

Tanto succintamente premesso, la recente Cass. n. 3780/2024, esaminando un caso di phishing, ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell’accorto banchiere (Cass. n. 806/2016); la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.

La giurisprudenza di legittimità è consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass. n. 2950/2017; Cass. n. 18045/2019; Cass. n. 26916/2020).

Sulla base di questi presupposti, la sentenza in commento ha stabilito che gravava sull’istituto bancario (nella fattispecie Poste Italiane) l’onere di fornire la dimostrazione di aver adottato soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento, quali ad esempio l’invio al titolare della carta di appositi sms alert di conferma di ogni singola operazione, sulla base di un principio di buona fede nell’esecuzione del contratto. In assenza di tale prova è corretta la decisione di imputare alla banca il rischio professionale della possibilità che terzi accedano ai profili dei clienti con condotte fraudolente.

Si segnala che precedentemente Cass. n. 7214/2023 aveva affermato che la condotta del correntista che digita i propri codici personali tramite una e-mail verosimilmente fraudolenta, così consentendo all’ignoto truffatore di utilizzarli per effettuare una disposizione di bonifico dal proprio conto personale, pone in essere un comportamento che si qualifica come imprudente e negligente.