Phishing e sicurezza informatica degli istituti di credito



8 min read

Trib. Lecce, ord. 11 ottobre 2018

di Laura Albanese

 

 


Il diffondersi di servizi di home banking e di on-line banking ha determinato un progressivo innalzamento dei rischi cui gli utenti bancari sono esposti e, conseguentemente, un rafforzamento degli obblighi di protezione di cui gli intermediari sono gravati, per garantire la sicurezza dei propri clienti nell’utilizzo dei sistemi di operatività da remoto.

L’ordinanza recentemente resa dal Tribunale di Lecce si sofferma sulle criticità delle insidiose pratiche di phishing, ponendo in evidenza l’ampiezza degli obblighi gravanti sia sul prestatore, che sull’utilizzatore dei servizi elettronici di pagamento, al fine di correttamente ripartire il carico probatorio in sede contenziosa.

Dalla ricostruzione dei fatti offerta dal giudicante emerge pacifica, per ammissione della stessa parte ricorrente, l’inconsapevole adesione del cliente al tentativo di phishing, perpetrato ai suoi danni da ignoti, attraverso l’invio di una e-mail da un indirizzo apparentemente riconducibile all’intermediario e contenente una richiesta di controllo della situazione del conto corrente. Reindirizzato su un portale simile a quello dell’intermediario, il ricorrente inseriva prima i suoi codici identificativi e, poi, il codice OTP (acronimo di One time password) ricevuto via sms, ponendo l’illegittimo utilizzatore nella condizione, innanzitutto, di poter modificare il numero telefonico abbinato al conto corrente, su cui ricevere i codici dispositivi temporanei e gli sms alert inviati dall’intermediario, e, dunque, di poter concludere una pluralità di transazioni con i fondi a disposizione.

A seguito dell’acquisizione dei codici personali del cliente, infatti, ignoti sottraevano dal suo conto la somma complessiva di euro 10.000,00, attraverso il perfezionamento di quattro operazioni non autorizzate, poi puntualmente disconosciute dal legittimo utilizzatore.

Ciò nonostante, il giudice investito della questione ha rigettato il ricorso proposto dal correntista – con cui si chiedeva, oltre la restituzione della somma fraudolentemente sottratta, anche il risarcimento del danno non patrimoniale, per la «lesione della sfera di riservatezza, avendo l’istituto di credito fornito dati a terzi, nonché per la sofferenza emotiva cagionata dalla situazione debitoria scaturitane» – ritenendo che nessun addebito potesse essere mosso all’istituto di credito resistente, dovendosi imputare i fatti oggetto di doglianza unicamente alla condotta colposa del cliente, contraria agli «obblighi di custodia sullo stesso gravanti tanto ex contractu quanto ex lege».

Nella decisione epigrafata è ben evidente il tentativo compiuto dal giudicante di rinvenire un corretto bilanciamento degli interessi coinvolti, sulla scia delle disposizioni trasfuse nel d.lgs. 27 gennaio 2010, n. 11, in attuazione della direttiva 2007/64/CE[1]. L’ordinanza, infatti, pur riconducendo nell’alveo del rischio professionale del prestatore le ipotesi di illegittimo utilizzo di strumenti di pagamento[2] e addossando sullo stesso un gravoso onere probatorio, non esime il cliente-utilizzatore dal rispetto degli obblighi di diligenza nella custodia dello strumento elettronico e dei codici segreti allo stesso associati; per questa via, «la concreta ampiezza della responsabilità attribuibile in capo alla banca è, in ogni caso, in parte, rimessa alla valutazione, in termini di diligenza, dei comportamenti tenuti dai due differenti soggetti»[3].

Tanto premesso, l’iter argomentativo seguito nell’ordinanza resa dal Tribunale di Lecce è orientato, da una parte, dal disposto dell’art. 1218 cod. civ., disciplinante la responsabilità contrattuale per inadempimento del debitore, e, dall’altra, dalle disposizioni del d.lgs. 11/2010 e dall’indirizzo reiteratamente espresso dall’Arbitro Bancario Finanziario e dalla Suprema Corte, secondo cui l’intermediario è tenuto a dar prova di aver predisposto misure idonee ad accertare l’attribuibilità delle operazioni alla propria clientela e a garantire la sicurezza di quest’ultima e che, nonostante ciò, il contegno tenuto dal legittimo utilizzatore dello strumento di pagamento sia stato talmente incauto da vanificare i presidi di sicurezza predisposti.

Il giudice ha ritenuto che ciò sia avvenuto anche nel caso de quo, in cui è stato accertato che il cliente «dopo aver ricevuto una e-mail […] caratterizzata, peraltro, da evidenti errori ortografici, digitando su un link sospetto ed effettuando un login valido, nonostante l’sms inviato dall’istituto di credito di avviso dell’anomala richiesta di variazione del numero telefonico oltre al successivo sms con “alert”». Proprio dal concatenarsi degli eventi emerge chiaramente, secondo il giudice, come l’intrusione non autorizzata nel sistema di home banking predisposto dall’intermediario, cui è seguita la sottrazione di fondi, non possa essere ascritta ad un insufficiente grado di protezione informatica del servizio[4], dovendo essere, invece, ricondotta al contegno colposo tenuto dal legittimo utilizzatore, che fornendo i codici segreti in suo possesso ha consentito a terzi di accedere al conto corrente e di operare sullo stesso, in assenza di anomalie. Un comportamento serbato anche dinanzi a «i plurimi segnali di anomalia riscontrabili, che un correntista avveduto ed informato avrebbe dovuto riconoscere, e gli avvertimenti inoltrati dalla banca, che anche un correntista non esperto non avrebbe dovuto ignorare».

L’ordinanza epigrafata risulta particolarmente interessante soprattutto per quanto attiene alla valutazione dell’adempimento degli obblighi gravanti sull’intermediario. A fronte del comportamento ascrivibile al cliente, come cennato, il giudice ha ritenuto di non poter muovere censure all’istituto di credito resistente – considerando ampiamente assolto l’onere probatorio sullo stesso gravante – e, dunque, di non poter allocare sullo stesso, neppure in parte, la responsabilità per la verificazione della sottrazione. Il giudice, infatti, ha accertato il corretto adempimento sia degli obblighi informativi e pubblicitari di natura preventiva – strumentali «ad erudire i propri clienti in merito al fenomeno in questione» – che di quelli riconducibili alla predisposizione di idonei presidi di sicurezza a garanzia dell’utilizzatore.

Quanto al primo profilo, l’ordinanza qualifica come sufficiente allo scopo l’informativa resa sul phishing, sui rischi ad esso sottesi e sulle cautele da adottare, trasfusa nel portale istituzionale del gruppo bancario a cui appartiene l’intermediario resistente e nella guida all’utilizzo dei servizi offerti via internet, cellulare e telefono, cui rimandava lo stesso contratto di conto corrente sottoscritto da parte ricorrente.

La predisposizione di modalità di accesso ai servizi di home banking tramite password statiche e password temporanee/usa e getta (OTS/OTP), nonché l’invio di sms alert, poi, sono stati considerati dal giudicante presidi adeguati per garantire la prevenzione e il contrasto dei tentativi di attacco informatico. Giova rilevare come l’adeguatezza dell’adozione di sistemi di autenticazione tramite OTS sia stata, più volte, posta al centro delle decisioni rese dai Collegi dell’Arbitro Bancario Finanziario, al fine di escludere la responsabilità – anche concorrente – dell’istituto di credito. L’impiego di un sistema di autenticazione “a due fattori”, in assenza di ulteriori indici di anomalia dell’operazione, è stato considerato idoneo ai fini dell’assolvimento dell’onere probatorio a carico della banca, in particolare, da un lato «di provare l’adempimento degli obblighi su di essa gravanti ai sensi dell’art. 8 del D.lgs. n. 11/2010 e, dall’altro, che il cliente si sia reso gravemente inadempiente dell’obbligo di custodia»[5].

Tali circostanze, contestualmente considerate, hanno indotto i Collegi dell’ABF, in plurime occasioni, a presumere che l’operatività disconosciuta dovesse imputarsi al comportamento inadempiente – degli obblighi di legge e di quelli contrattualmente assunti – del cliente; attraverso un iter logico che dal livello di sicurezza dei dispositivi impiegati dall’intermediario, faceva presumere la colpa grave dell’utilizzatore.

Ora, al di là della correttezza e percorribilità di tale ragionamento presuntivo – che, comunque, non alberga nella pronuncia recentemente resa dal Tribunale di Lecce – giacché sarebbe più corretto sostenere che l’intermediario, al fine di andare totalmente esente da responsabilità in ipotesi di illegittimo utilizzo di strumenti elettronici di pagamento, debba non solo provare la colpa grave o il dolo dell’utilizzatore (ex art. 10 d.lgs. 11/2010), ma anche di aver agito con una diligenza di natura tecnica, da valutarsi secondo il parametro dell’accorto banchiere, nella predisposizione di misure funzionali a neutralizzare il rischio. Infatti, in altre pronunce, lo stesso Arbitro Bancario Finanziario ha ritenuto che, in ipotesi «di mancato assolvimento di detto onere probatorio gravante sull’intermediario, la richiamata disciplina prevede che l’intermediario sopporti la relativa perdita, atteso il fatto che quest’ultimo si è assunto il rischio d’impresa connesso con l’esercizio dell’attività ed è in grado di ribaltare tale rischio sulla massa degli utenti attraverso la determinazione dei prezzi per la fornitura del servizio»[6].

In considerazione della pacifica ricostruzione della vicenda – in cui la sottrazione è stata effettuata attraverso una delle più note e diffuse modalità di phishing – di quanto addotto dal correntista e di quanto dimostrato dall’intermediario, non possono che condividersi le conclusioni cui è giunto il giudice adito, che ha ritenuto che nessun addebito potesse essere mosso all’intermediario e che, invece, ha ascritto al cliente il verificarsi dei fatti oggetto di doglianza; questi, «vittima di una colpevole credulità»[7] non scusabile, ha «spontaneamente fornito username, password e codici OTS/OTP temporanei, idonei a consentire l’accesso di terzi al proprio conto ed ai propri dati personali».

[1] Per un approfondimento sul punto si veda Caggiano, Pagamenti non autorizzati tra responsabilità e restituzioni. Una rilettura del d.lgs. 11/2010 e lo scenario delle nuove tecnologie, in Riv. Dir. civ., 2016, II, 10459.

[2] Cfr. Cass. civ. 3 febbraio 2017, n. 2950, in banca dati DeJure.

[3] Così Martinelli, Sicurezza informatica degli istituti di credito e responsabilità contrattuale, in Giur. It., 2017, X, 2069 ss.

[4] Cfr. ABF, Collegio di Bologna, decisione n. 4785 del 4 maggio 2017, in www.arbitrobancariofinanziario.it

[5] Così ABF, Collegio di Roma, decisione n. 1181 del 9 febbraio 2017, in www.arbitrobancariofinanziario.it

[6] Così ABF, Collegio di Milano, decisione n. 6376 del 13 luglio 2016; conforme, ABF; Collegio di Coordinamento, decisione n. 3498 del 26 ottobre 2012, in www.arbitrobancariofinanziario.it

[7] Così ABF, Collegio di Coordinamento, decisione n. 1820/2013, in www.arbitrobancariofinanziario.it

 

Qui la pronuncia: Trib. Lecce II Sez, 11 ottobre 2018

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap