Il fenomeno del phishing (o truffa telematica) è in continua evoluzione e sono molteplici le modalità attraverso le quali i truffatori mettono in atto i loro “colpi”.
Il mondo telematico offre, infatti, a coloro che ne conoscono le varie sfaccettature, una vastissima serie di alternative per interagire con altri soggetti al fine di raccoglierne i dati necessari per porre in essere i propri raggiri.
Viste le molteplici modalità con cui rischiano di essere raggirati correntisti e istituti di credito che ne custodiscono i capitali, è richiesta una particolare attenzione ad entrambi i soggetti.
In primis, è lo stesso correntista a dover utilizzare particolare cautela nell’inserire le proprie credenziali per accedere a pagine che potrebbero apparire come quelle “ufficiali” del proprio istituto di credito, ma che in realtà sono solamente raccoglitori di dati (chiavi e password) o contenitori di virus utili per memorizzarli.
Tuttavia, come emerge da questa sentenza (Cass. n. 2950/2017), è anche la banca (e l’istituto di credito in generale) a cui si è affidato il correntista truffato a doversi impegnare per adottare tutte le misure necessarie ad evitare la truffa (e a doverlo dimostrare).
Per meglio facilitare l’analisi della sentenza, farò prima un’analisi del phishing, indicando le varie ipotesi di illecito (civili e penali) che quest’attività può integrare.
Il phishing
Il termine phishing è nato dall’unione delle parole “fishing”, pescare, e “phreaking”, inteso come raccolta illecita di dati telefonici e con esso ci si riferisce ad una particolare tipologia di truffa telematica, tramite la quale un soggetto, fingendosi un ente affidabile (come, appunto, un istituto di credito), con varie modalità (ad esempio, tramite mail che sembrano provenire dalla banca e che invitano ad accedere al proprio profilo) raccoglie i dati finanziari o le chiavi di accesso del malcapitato.
Ovviamente, avendo ad oggetto il trattamento di dati, le prime norme che risultano violate sono quelle del Codice della Privacy (D.lgs 196/2003).
Ovviamente, in casi del genere, i dati vengono raccolti senza il consenso dell’interessato, in violazione di un principio cardine dello stesso Codice (per il trattamento dei dati personali, salvo alcune eccezioni, deve esserci sempre il consenso del soggetto che ne subisce il trattamento, così infatti il dettato dell’articolo 23: “1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato. 2. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.”).
Essendo, inoltre, il trattamento illecito dei dati mirato indiscutibilmente al profitto del truffatore (o di terzi), viene sicuramente integrata anche la fattispecie prevista dall’articolo 167 dello stesso Codice, che detta misure di carattere penale per la sua violazione (“1. Salvo che il fatto costituisca più grave reato, chiunque, al fin e di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito,se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.”).
Sempre per quanto riguarda le possibili violazioni di carattere penale, il truffatore potrà andare incontro, a seconda dello specifico caso, a diversi reati previsti dal Codice Penale (es. truffa ex art. 640 c.p., frode informatica ex art. 640-ter c.p., accesso abusivo ad un sistema informatico ex art. 615-ter c.p. o sostituzione di persona ex art. 494 c.p.).
Tuttavia, come vedremo anche nella sentenza, non è esclusa la possibilità che, ad essere responsabile, oltre al phisher, sia anche l’istituto di credito a cui il correntista fa riferimento.
Quanto detto si può desumere da varie norme dello stesso Codice della Privacy.
Sicuramente, potrà configurarsi una responsabilità extracontrattuale (con conseguente risarcimento danni), come si desume dal combinato disposto dell’articolo 15 (“1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11.”), che prevede il risarcimento per danni cagionati dal trattamento, e dell’articolo 31 (1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.”), che prescrive al titolare del trattamento (colui che effettua il trattamento dei dati, in questo caso la banca) l’adozione di tutte le misure di sicurezza necessarie per evitare il rischio che tali dati vengano portati a conoscenza di soggetti non autorizzati.
Inoltre, è configurabile anche una responsabilità di carattere penale in capo allo stesso istituto di credito in base al dettato dell’articolo 169, secondo il quale è possibile punire con l’arresto fino a due anni chiunque, tenuto all’adozione di misure di sicurezza adeguate per il trattamento dei dati personali, ometta di farlo.
La decisione della Suprema Corte
Nel caso in questione, un correntista contestava dei bonifici eseguiti in modo fraudolento via internet da soggetti terzi, entrati illegittimamente in possesso delle chiavi d’accesso del titolare del conto corrente.
La domanda, tuttavia, veniva rigettata sia in primo che in secondo grado, in quanto il sistema di crittografia utilizzato dall’istituto di credito era stato ritenuto idoneo ad impedire l’accesso ad estranei. Di conseguenza,unico responsabile era stato considerato il correntista, il cui incauto comportamento aveva permesso che terzi si impossessassero dei dati di accesso.
Giustamente, il correntista proponeva ricorso alla Corte di Cassazione sostenendo un’errata ripartizione dell’onere della prova: a suo dire, infatti, doveva spettare all’istituto di credito dimostrare di aver adottato le misure idonee per garantire la sicurezza del servizio fornito.
La Suprema Corte, sostenendo l’opinione del correntista, affermava che, essendo richiesta al professionista una diligenza qualificata, era onere dell’istituto di credito provare di avere adottato tutte le misure necessarie per evitare il fatto (in base alle prescrizioni dell’art. 1218 c.c.): non vi era alcun elemento in base a cui ritenere che la responsabilità dell’operazione dovesse essere ricondotta esclusivamente al comportamento incauto del correntista (tra l’altro, solamente presunto).
La Cassazione proseguiva, inoltre, affermando che la possibile sottrazione del codice d’accesso da parte di terzi configura un tipico rischio d’impresa (dell’istituto di credito): dunque, prima di far ricadere la responsabilità sul cliente, bisognava che la banca dimostrasse di avere adottato tutte le misure necessarie per evitare la truffa.
Pertanto, l’istituto di credito, concludeva la Suprema Corte, non sarà responsabile solamente se potrà dimostrare di non aver potuto prevedere ed evitare l’utilizzazione di codici da parte di terzi (dunque con assenza di dolo o colpa grave).
La sentenza veniva, quindi, rinviata al giudice di secondo grado per una nuova valutazione dei fatti di causa.
Dott. Luigi Dinella
