10 min read

Nota a Trib. Chieti, 3 maggio 2024.

Massima redazionale

Nella specie, la Società attrice era rimasta vittima di un attacco cybernetico sofisticato, da parte di criminali informatici professionisti; al riguardo, il CTU ha evidenziato che: “[…] Dalla documentazione disponibile risulta che quanto è avvenuto, ossia l’effettuazione di un bonifico utilizzando l’internet banking, stante quanto fornito in documentazione dalla Banca […], è stato effettuato da un indirizzo IP pubblico che di consueto è assegnato alla S.r.l. […]. Uno o più cybercriminali, che sono allo stato attuale rimasti ignoti, hanno messo in atto un piano ben preordinato, creando un conto corrente di appoggio con l’identità rubata ad un utilizzatore dei servizi internet (ad es. sui social network, o sulla messagistica online), successivamente sono venuti in possesso delle credenziali di accesso al sistema di internet banking della Banca […] (con un probabile attacco di phishing, smishing, vishing, pharming o in generale di social network) ed hanno provveduto ad effettuare il bonifico oggetto di contestazione; contestualmente hanno creato un disturbo sulla rete per impedire la connessione del personale della azienda al portale della banca per fare la verifica quotidiana della situazione contabile. […] L’attività dei cybercriminali è iniziata molto prima della data in cui è avvenuto il bonifico della somma verso il conto corrente del sedicente sig. […]”.

Il sistema di sicurezza della Banca era adeguato rispetto agli standards tecnici dovuti; sul punto, sempre il CTU ha evidenziato che: “[…] Il sistema di autenticazione in uso alla data dell’evento da parte della Banca […] risulta adeguato essendo del tipo “2FA” (two Factor Autentication) e da una ricerca effettuata sulla rete Internet era del tipo in uso a molte altre banche italiane, alla data dell’evento. […] Il rispetto della normativa sulla autenticazione informatica per effettuare un’operazione dispositiva (nel caso in specie un bonifico) esclude la responsabilità della banca, quando quest’ultima dimostri di aver adottato un sistema di autenticazione “forte” o a due fattori (mediante password statiche e dinamiche) che, allo stato dell’attuale progresso tecnologico, è il più sicuro possibile. Pertanto, avendo dato la banca prova dell’attuazione di tale sistema, può ragionevolmente ritenersi che il verificarsi dell’evento dannoso a carico della azienda si sia reso possibile solo attraverso la cooperazione colposa del cliente che abbia, pur inconsapevolmente, reso accessibili all’esterno le predette credenziali. Oltretutto, nel caso in oggetto il bonifico, come pagina dimostrato dalla banca, attraverso i file di log allegati alle note trasmesse è avvenuto con l’indirizzo IP pubblico solitamente utilizzato dalla rete intranet (internet privata) della azienda stessa, quindi apparendo ancor più credibile il fatto che fosse autorizzato. […] Il sistema autenticazione adottato dalla banca […], come da loro affermato e dal CTU approfondito e verificato nella risposta al quesito tre era, alla data dell’evento, adeguato”. Può, pertanto, ritenersi che la convenuta abbia fornito prova adeguata del proprio esatto adempimento alle obbligazioni di garanzia della sicurezza del conto online aziendale messo a disposizione della cliente.

Il “furto” delle credenziali” del conto della Società trovò l’innesco in un difetto di perizia e di prudenza del personale nell’uso del personal computer aziendale. Invero, la stessa attrice non ha dato prova della corretta formazione del proprio personale nell’uso informatico del computer aziendali. Al proposito, il CTU ha sottolineato che: “[…] A parte la banca che ha fornito riscontri precisi a quanto accaduto dal suo lato con la tracciatura degli accessi via internet (tecnicamente log di accesso alla piattaforma web), l’azienda sia nella denuncia presentata ai carabinieri che nell’atto di citazione non ha fornito precise informazioni che potessero permettere di capire in cosa consistesse questo “problema di connessione alla relativa pagina web (da intendersi della banca […])” riscontrato dal personale, sia nel pomeriggio del venerdì 05.07.2019 che nella mattinata del lunedì 08.07.2019. Il comportamento del personale appare poco prudente, soprattutto alla luce del fatto che nelle tracciature degli accessi forniti dalla banca, nei giorni precedenti, c’è sempre stato con successo una connessione, suppongo tesa a conoscere lo stato del conto corrente o a compiere qualche operazione online. […] Di contro nella denuncia la azienda non dichiara nulla che possa far pensare al furto di credenziali: non ammette, ad esempio, di aver ricevuto una mail apparentemente proveniente dall’intermediario e di aver in risposta inviato i propri codici di accesso (codice titolare e codice PIN), non ammette che si sia trovata di fronte una pagina web simile a quella della banca, su sui in buona fede abbia messo i codici titolare ed il PIN, non ammette che abbia ricevuto un SMS con link da cliccare che avrebbe portato ad una pagina web che realizzasse la frode o una telefonata da un numero che simulava quello reale della banca, o comunque di aver scaricato un software magari alla apparenza innocuo che al suo interno contenesse codice maligno o aver scaricato da Internet con crack. tutti questi casi elencati sono all’ordine del giorno sulla rete Internet e vengono ricevuti da ignare persone che alle volte compiono una di quelle azioni descritte sopra, permettendo così l’avvio pagina della truffa informatica: questi elencati sono esempi di Phishing, Smishing e Vishing. Pertanto, non è possibile determinare cosa sia avvenuto in realtà, ma c’è una altissima probabilità che si tratti di uno dei dai casi elencati in precedenza. Non affermando che sia avvenuto uno dei casi elencati in precedenza, quindi di aver inserito gli specifici codici dispositivi della operazione di bonifico, in relazione all’accaduto l’azienda si limita a dichiarare di aver dovuto desistere dalle operazioni di verifica del conto corrente a causa di un malfunzionamento della linea Internet, che perdurava per tutta la giornata del 5 luglio fino al successivo 8 luglio alla riapertura degli uffici (queste dichiarazioni sono presenti nell’originale denuncia sporta ai Carabinieri). […] Il sistema autenticazione adottato dalla banca […], come da loro affermato e dal CTU approfondito e verificato nella risposta al quesito tre era, alla data dell’evento, adeguato. Sul piano tecnico quindi non si sarebbero verificati problemi se le credenziali consegnate dalla banca al cliente (Codice Titolare e PIN) non fossero state acquisite fraudolentemente dai cybercriminali che hanno compiuto la frode informatica”. Inoltre, la normativa di settore, relativa all’uso degli strumenti di pagamento (segnatamente, art. 7 D.lgs. n. 11/2010), codifica a carico dell’utente dei servizi di pagamento in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate, un obbligo di adozione di “tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate.

Nella specie, la Società non ha fornito nel processo alcuna allegazione né, tanto meno, alcuna prova della effettività della formazione professionale del proprio personale rispetto ai rischi della rete internet aziendale, sulla quale operava il conto corrente della società.

Per converso, l’attrice denunziò con colpevole ritardo alla Banca le anomalie di funzionamento del conto: quando la convenuta ebbe notizia della avvenuta effettuazione del bonifico non autorizzato, non vi era più la possibilità tecnica di disporne l’annullamento ed il recupero della somma. Al riguardo, il CTU ha evidenziato (alla luce della precisa ricostruzione cronologica della vicenda, quanto segue): “[…] Si ribadisce come emerge dalla cronologia dei fatti, il mancato rispetto del relativo comma 1-b) ossia “comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza”: con questo ci si riferisce non solo alla accertata tardiva comunicazione fatta a Banca […] del bonifico, ma anche al non aver percepito che qualcosa di anomalo che rappresentasse i prodromi di una attacco alla sicurezza dell’azienda, attacco avvenuto sicuramente in un periodo molto antecedente all’episodio del 05.07.2019 […]. Il personale dell’azienda avrebbe dovuto sospettare di trovarsi di fronte ad un fatto imprevisto e indagare se il problema fosse nella banca (sarebbe bastata una telefonata) oppure sulla rete locale (sarebbe bastato allertare il responsabile informatico della azienda), ma è stata fatta la scelta più errata: fermare tutto e rimandare al lunedì, dimostrando che, come si è ripetuto più volte nella relazione, non fosse stato addestrato a gestire situazioni di questo tipo e che non ci fosse al riguardo una policy aziendale. […]. Il comportamento tardivo del personale dell’azienda nello scoprire il bonifico non autorizzato, effettuato alle ore 10:34 del 05.07.2019, dovuto al malfunzionamento della connessione ad Internet, e il concomitante ignorare del protrarsi dell’avaria e non aver ritenuto che questo malfunzionamento potesse essere stato creato ad hoc dai cybercriminali per avere tutto il tempo per acquisire il bonifico su un conto corrente di […], successivamente pervenuto sul conto corrente destinatario alle ore 09:45 del giorno 08.07.2019 e subito inoltrato verso la destinazione finale. Dalla documentazione fornita dalla azienda si evince che è stato adottato un buon livello di controllo della infrastruttura di rete, dei server e dei backup, ma nulla viene detto sia sulla protezione delle postazioni di lavoro (antivirus, antispam, etc. etc.) che sul fattore umano; quello che sicuramente è venuto a mancare è stata la “cybersecurity awareness”, perché come è noto nella sicurezza informatica “il problema si trova tra la sedia e la tastiera”. 21. […] è chiaro che questi ritardi: prima quello della S.r.l. durato fino alle 17:11 circa del giorno 08.07.2019, quando la notizia è pervenuta alla banca (si segnala che contrattualmente la banca andava avvertita prima delle 17.30) e quella successiva di comunicazione alla Banca […] pervenuta solo il giorno 09.07.2019 alle ore 11:15 circa quando ormai la somma era stata trasferita alla […] hanno giocato in favore dei cybercriminali che messo in piedi tutta l’operazione […]. […] si ribadisce quindi tale impossibilità, oltretutto favorita da scelte fatte dai cybercriminali su tutta la fase preparatoria e sui fattori temporali in fase di attuazione dell’intera operazione preparata con una certa minuziosità e messa in atto, non a caso, in un fine settimana!”.

Dunque, il personale della attrice, constatata l’impossibilità di accedere al conto online, avrebbe dovuto tempestivamente avvisare la Banca e non già decidere di rinviare ogni ulteriore verifica al successivo lunedì, come invece in concreto fatto, nonostante l’asserito perdurare del non funzionamento del conto aziendale anche nel corso della intera giornata di lunedì. Se ciò fosse avvenuto, l’istituto di credito avrebbe potuto constatare, sin dal 5 luglio, la presenza del bonifico effettuato da quel conto alle ore 10.32 di quella giornata, avvisarne la cliente che – per l’effetto – avrebbe potuto chiedere ed ottenere il richiamo della somma. In forza dell’art. 1227 c.c., “deve escludersi il risarcimento per il danno che il creditore avrebbe potuto evitare con l’uso della normale diligenza, la quale impone a quest’ultimo una condotta attiva, espressione dell’obbligo generale di buona fede, diretta a limitare le conseguenze dell’altrui comportamento dannoso, intendendosi comprese nell’ambito dell’ordinaria diligenza, a tal fine richiesta, soltanto quelle attività che non siano gravose o eccezionali o tali da comportare notevoli rischi o rilevanti sacrifici[1]. Pertanto, quando la Banca convenuta venne, per la prima volta, notiziata dalla Società attrice della esistenza del bonifico non autorizzato, essa non poteva più bloccare il bonifico, in quanto già eseguito. Di conseguenza, non vi è nesso causale tra la condotta dell’Istituto, successiva alla acquisizione della notizia della natura indebita del bonifico, e la perdita definitiva della somma bonificata, consumatasi con il trasferimento di terzi presso altro conto, per il generale principio per cui “In tema di responsabilità contrattuale del professionista, il nesso causale tra inadempimento (o inesatto adempimento) e danno dev’essere provato dall’attore, in applicazione della regola generale di pagina 11 di 12 cui all’art. 2697 c.c., trattandosi di elemento della fattispecie egualmente “distante” da entrambe le parti, rispetto al quale, dunque, non è ipotizzabile la prova liberatoria in capo al convenuto, secondo il principio di cd. vicinanza della prova[2].

La valutazione congiunta di tutte le superiori circostanze esclude la fondatezza delle domande dell’attrice verso la convenuta, non potendosi quest’ultima ritenere giuridicamente responsabile dell’evento dannoso criminale occorso a carico della prima, né tanto meno del mancato recupero della somma oggetto del bonifico fraudolento.

 

 

 

 

________________________________________________________________

[1] Cfr. Cass. Civ., Sez. VI, 15.10.2018, n. 25750.

[2] Cfr. Cass. Civ., Sez. III, 17.07.2023, n. 20707: nella specie, la S.C. ha confermato la sentenza di merito che, pur avendo accertato l’esistenza di errori nella progettazione delle opere di difesa dalle esondazioni del lago di Como, aveva escluso la responsabilità dei professionisti, per non avere il Comune fornito la prova del nesso causale tra l’inadempimento e i danni patrimoniali lamentati.

Seguici sui social: