Phishing: intrusione nella home-banking . Chi è responsabile?
Internet è terra fertile e pericolosa, su cui è possibile essere vittima di condotte criminose e non facilmente riconoscibili.
Il phishing (variante di fishing, letteralmente “pescare”, in lingua inglese [1]) è un tipo di truffa la cui sede naturale è internet.
Gli ermellini hanno definito il phishing come “quell’attività illecita in base alla quale, attraverso vari stratagemmi (o attraverso fasulli messaggi di posta elettronica, o attraverso veri e propri programmi informatici e malware) un soggetto riesce ad impossessarsi fraudolentemente dei codici elettronici (user e password) di un utente, codici che, poi, utilizza per frodi informatiche consistenti, di solito, nell’accedere a conti correnti bancari o postali che vengono rapidamente svuotati[2]
La vittima, dunque, è solitamente un soggetto poco esperto del web o comunque poco attenta ai piccoli fattori allarmanti da cui è possibile desumere il pericolo in corso.
La truffa può avere ad oggetto,nel caso specifico affrontato in esame, il prelievo di credenziali di accesso al serviziohome-banking
Il primo caso in Italia si è registrato nel 2007 , quando il Tribunale di Milano[3] ha condannato un’associazione transnazionale dedita alla commissione di reati di phishing. Sentenza confermata, poi, dalla Cassazione nel 2011.
Questa è, in assoluto, la prima linea guida tracciata dai Giudici, considerando che l’ordinamento italiano non ha ancora previsto una specifica e dettagliata disciplina della fattispecie in questione.
Il truffato, vittima di questo sistema, se richiede il rimborso dei soldi alla Banca, quale risposta riceve? Ed in caso di diniego come si comporta il Tribunale Italiano?
Premessa base è che l’ onere della prova ricade sulla banca. Infatti, la prevalente giurisprudenza tende a riconoscere il rimborso al cliente ogni qual volta la banca non riesca a provare di aver posto in essere tutte le dovute cautele del caso e tutti gli strumenti idonei volti a tutelare la sicurezza del servizio home-banking . In altre parole, la banca deve dimostrare di aver agito secondo il canone della diligenza.
La banca deve provare, altresì, che il cliente ha custodito , senza accurata diligenza, le credenziali di accesso.
Il Tribunale Italiano tende a tutelare il correntista, soggetto debole del rapporto e del sistema informatico.
Ma vi è un orientamento opposto!
L’Arbitro Bancario Finanziario di Roma ( prima ancora di rivolgersi al Giudice) ha sostenuto che i media svolgono costantemente campagne che invitano alla prudenza nell’ utilizzo di strumenti di pagamento on line e che anche l’utente meno esperto deve essere consapevole delle condotte poste in essere dai phisher: dunque la banca non ha alcun tipo di responsabilità qualora è lo stesso utente, nel caso di circonvenzione con metodi ormai noti, ad aver comunicato i codici di accesso del proprio strumento di pagamento senza aver utilizzato un minimo di diligenza.
Non è da escludere neppure il concorso di colpa tra correntista e banca nel caso di sottrazioni successive alla data in cui il cliente ha effettuato accessi che gli avrebbero consentito di rilevare le ingenti sottrazioni[4]
La Cassazione, con sentenza n. 16333/16 pubblicata dalla prima sezione civile il 4 agosto accoglie il ricorso di due correntisti che richiedevano all’istituto di credito i danni da prelievi abusivi effettuati sui loro conti a seguito dello smarrimento del proprio bancomat.
La Cassazione dice che occorre assumere come parametro la figura dell’ “accorto banchiere” per poter individuare eventuali profili di responsabilità in capo alla banca. Occorre valutare che l’istituto bancario abbia posto in essere tutte le misure idonee a garantire la sicurezza del servizio da eventuali manomissioni, pena la sua responsabilità con conseguente obbligo di risarcire le somme fraudolentemente sottratte al titolare.
È questo un ulteriore tassello del complesso mosaico che potrebbe iniziare a comporre la quasi totale assente disciplina in materia di phishing.
[1] Oxford English Dictionary Online, “phishing, n.” OED Online, March 2006, Oxford University Press., dictionary.oed.com
[2] Sentenza n. 9891 del 11/03/2011
[3]Tribunale di Milano, sentenza del 10.12.2007 – est. Gamacchio (Giudice per l’udienza preliminare): cfr. R. Flor, Frodi identitiarie e diritto penale, in Riv. giurisp. econ. az., 2008, 4, p. 184; A. Sorgato, Il reato informatico: alcuni casi pratici, in Giur. pen., 2008, 11, p. 40
[4]Trib. Caltanissetta sent. n. 495/2014 del 3.11.2014
Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione avv. Giacomo Romano
Copyrights © 2015 – Salvis Juribus - ISSN 2464-9775
Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.
Antonio Pastore
Tirocinante presso la Corte di Appello Penale di Napoli ( I Sezione)
Praticante avvocato
Latest posts by Antonio Pastore (see all)
- Phishing: intrusione nella home-banking . Chi è responsabile? - 11 August 2016
- La depenalizzazione: cosa cambia e quali tutele per le vittime - 10 February 2016