Si torna a parlare del fenomeno del phishing, questa volta per mettere in guardia tutti i clienti titolari di un conto corrente: per la Corte di Cassazione il risarcimento dei danni da phishing è escluso nel caso di comportamento negligente e imprudente della vittima.
Con l’ordinanza numero 7214 del 2023 la Corte torna a pronunciarsi su una tematica alquanto dibattuta. La vicenda trae origine da una decisione del Tribunale di Palermo, che aveva condannato l’istituto bancario, nel caso di specie Poste Italiane s.p.a., a risarcire il cliente vittima di phishing, per il furto di 6000 euro.
Per i giudici palermitani la richiesta di risarcimento contro Poste Italiane risultava legittima in quanto “la società non aveva adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli verificatisi in capo all’uomo e alla donna”.
Di diverso avviso la corte d’Appello prima, e la Cassazione poi. Infatti per quest’ultima assume massimo rilievo la negligenza e l’imprudenza della vittima, che nel “collaborare” attivamente (per quanto ignara e in buona fede) annulla di fatto tutte le misure di sicurezza poste in essere dalla banca. Questa la massima dell’ordinanza n. 7214/2023:
Non può dubitarsi del comportamento decisamente imprudente e negligente del danneggiato, il quale aveva digitato i propri codici personali (verosimilmente richiestigli con una e-mail fraudolenta), in tal modo consentendo all’ignoto truffatore di successivamente utilizzarli, per effettuare una disposizione di bonifico dal conto del danneggiato (esclusa, nella specie, la restituzione delle somme prelevate da un conto corrente mediante bonifico online, atteso che la responsabilità era da addossarsi al danneggiato che aveva incautamente fornito i propri codici personali verosimilmente a causa di un’attività di phishing)
L’assenza di responsabilità nella banca, in questo caso Poste Italiane, deve essere dunque rintracciata nel fatto che «l’operazione, eseguita per via telematica, di trasferimento di 6mila euro dal conto corrente di cui erano titolari l’uomo e la donna ad altro conto intestato a terze persone non può che essere avvenuta grazie all’utilizzo dei codici identificativi personali del titolare del conto».
In altri termini per la Cassazione, seppur ignaro il correntista è stato indotto tramite phishing a fornire online i propri codici personali (user id, password, pin), poi utilizzati dal truffatore per il compimento dell’operazione illecita.
Ancora, la Corte sottolinea che è il cliente responsabile della custodia e dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio e che la mancanza di precauzioni da parte del titolare nel mantenere segreti i suddetti codici può determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terze persone.
Ed allora, i magistrati della Corte di Cassazione hanno ritenuto privo di valore il fatto che i due titolari del conto avessero «espressamente disconosciuto l’operazione contabile di addebito della somma di 6mila euro», dando più valore alla loro “collaborazione” con l’aggressore. Insomma, l’allarme da oggi in poi dovrà essere ancor più elevato: se la vittima di phishing “collabora” con l’aggressore, fornendogli PIN, codici OTP o altri dati sensibili, la banca potrà andare esente da colpe, potendo negare il rimborso della somma sottratta.
In realtà, non si tratta di una pronuncia del tutto fuori dal coro. Anzi, la Giurisprudenza costante ha sempre teso verso la esclusione del risarcimento nel caso in cui la vittima abbia attivamente tenuto una condotta attiva, fornendo le sue credenziali o i dati sensibili necessari per l’acceso al sistema bancario.
Il nostro consiglio è sempre quello di utilizzare password sicure e di non fornire mai alcun dato come PIN, codici OTP o credenziali vari a chiunque le richieda via messaggio o via telefono. Tutte le notizie sulla sicurezza informatica sono disponibili nella sezione dedicata di macitynet.
