Phishing e responsabilità della banca per danno economico: nessun rimborso al correntista

La banca non è tenuta a risarcire il correntista poco attento ai rischi di phishing, che abbia subito un danno economico proprio da questa attività criminosa. Il rilievo dell’ordinanza n. 7214 della Cassazione.

Oggi il phishing costituisce uno dei maggiori pericoli del web.​​​ Si tratta di una frode informatica mirata all’ottenimento illecito di informazioni e dati personali, riservati e sensibili – pensiamo ad es. alle password dei correntisti, ai numeri della carta di credito, ai dati relativi al proprio conto e non solo.

Le conseguenze dell’attività di phishing comportano il furto d’identità, truffe con carta di credito,  violazioni dei dati e, soprattutto, consistenti perdite finanziarie per privati e aziende. Ecco perché bisogna prestare molta attenzione in caso di notifica di mail sospette, e non aprirle se vi sono dubbi su una possibile minaccia di phishing.

A livello giudiziario le novità non mancano e ne intendiamo parlare di seguito per mettere in guardia tutti i clienti titolari di un conto corrente presso una banca. Infatti in base a quanto indicato dalla Corte di Cassazione in un suo recente provvedimento, il risarcimento dei danni da phishing è escluso in ipotesi di comportamento negligente e imprudente della vittima.

Proprio così e ciò che ha statuito la Suprema Corte non mancherà di far discutere e di far emergere qualche preoccupazione, specialmente in quei correntisti poco avvezzi all’uso delle moderne tecnologie e che non sanno distinguere con precisione mail sospette da mail ‘pulite’. Vediamo più da vicino.

Phishing e responsabilità della banca: l’ordinanza della Cassazione nega il risarcimento

Attraverso l’ordinanza n. 7214 di quest’anno, la Corte ha dunque riconsiderato un argomento tanto delicato quanto attuale e controverso. Il phishing, le attività collegate e i rischi insiti sono oggi diffusissimi e la vicenda su cui la Corte ha espresso la sua decisione, lo conferma.

In particolare, il caso trae origine da una sentenza del Tribunale di Palermo, provvedimento che aveva disposto la condanna di un istituto – nello specifico Poste Italiane – a risarcire il cliente vittima di phishing per il furto di 6mila euro dal suo conto. In base al provvedimento di primo grado, la richiesta di risarcimento nei confronti di Poste Italiane era stata ritenuta fondata – ed anzi da accogliere – perché sarebbero emersi in giudizio alcuni ‘buchi’ sul piano dell’adozione di tutte le misure di sicurezza tecnicamente idonee a prevenire danni da phishing per i clienti.

Poste Italiane impugnò il provvedimento e le cose andarono diversamente in Corte d’Appello e in quella di Cassazione. Proprio presso i giudici di legittimità ha così prevalso una linea diversa, che ha dato di fatto ‘torto’ al correntista ingannato dal criminale con tecniche di phishing.

La Suprema Corte ha infatti affermato che la negligenza e l’imprudenza della vittima, se dimostrata, impedisce il riconoscimento del risarcimento. Anzi la vittima non sufficientemente accorta e prudente, “collaborando” attivamente con l’autore dell’illecito (anche se inconsapevolmente e in buona fede), ha vanificato di fatto tutte le misure di sicurezza messe in atto dalle Poste, rendendole di fatto non responsabili di quanto accaduto.

Le critiche e il dibattito sul ruolo della banca contro il phishing

Come abbiamo appena visto, una banca non sarebbe tenuta a risarcire un cliente imprudente ed incauto, che sia rimasto vittima di una truffa di phishing. E questo vuol dire che se un cliente dà le proprie informazioni personali a un truffatore senza prestare la dovuta attenzione, l’istituto non sarà obbligato a rimborsare i soldi rubati dal conto corrente bancario.

Non sorprende che la decisione in oggetto abbia condotto a non poche critiche e polemiche, e questo perché c’è chi ritiene che, invece, le banche siano tenute a fare sempre tutto il possibile per prevenire il phishing. Ecco perché alcune associazioni dei consumatori hanno rimarcato che le banche dovrebbero dare ai propri clienti maggiori dati e informazioni sulla sicurezza informatica e sulle tecniche di phishing, proprio per evitare questi attacchi via mail molto comuni e con i quali i malintenzionati si impossessano di informazioni strettamente personali.

Non solo. Anche gli esperti di cyber-security hanno più volte sottolineato che le banche dovrebbero optare per misure di sicurezza più avanzate, come l’utilizzo di tecniche di AI per individuare le attività sospette sui conti correnti. D’altronde ci sono di mezzo le finanze del correntista: una volta che la vittima ha fornito i suoi dati cadendo nel tranello, gli hacker possono accedere liberamente al suo account bancario, rubare i suoi soldi o servirsi delle sue informazioni per compiere altri illeciti.

In ogni caso, è buona regola servirsi di password molto articolate e conservare il segreto per tutto ciò che riguarda informazioni chiave quali PIN o codici OTP. Ovviamente anche le mail sospette o che abbiano un mittente poco chiaro dovranno essere lasciate chiuse per evitare che i malintenzionati possano carpire informazioni private.