Il phishing è un particolare tipo di truffa che viene perpetrata online da parte del truffatore che, fingendosi una persona o un ente affidabile, attraverso e-mail o anche semplici SMS induce la vittima a condividere informazioni personali, dati finanziari o codici di accesso.
Sul tema è di recente intervenuta la Suprema Corte di Cassazione la quale, con l’ordinanza n. 7214/2023, ha per la prima volta introdotto un principio che, di fatto, salvaguarda gli istituti di credito difronte alle richieste di risarcimento danni avanzate dai propri correntisti vittima di tali truffe online, stabilendo per l’appunto che la responsabilità non è della Banca ma è del cliente che cade nella “trappola” del phishing.
Più nel dettaglio, la vicenda sottoposta alla Cassazione riguardava il giudizio instaurato dinanzi al Tribunale di Palermo da parte di due correntisti che – vittime di phishing – citavano il proprio istituto di credito chiedendo il risarcimento della cifra pari a € 6.000,00 loro fraudolentemente sottratta sul rilievo che la società convenuta non aveva adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli verificatisi in capo agli attori.
La sentenza di primo grado con cui l’Istituto di credito veniva condannato al risarcimento del danno patito dai propri clienti, veniva totalmente riformata dalla Corte di Appello di Palermo sull’assunto che:
- l’attività svolta dall’intermediario, in quanto relativa anche al trattamento informatico di dati personali, è da considerarsi “pericolosa” (D.Lgs. n. 196 del 2003, art. 15 e art. 2050 c.c.) in considerazione delle sempre più frequenti truffe informatiche miranti a carpire fraudolentemente i dati necessari per il compimento di operazioni illecite;
- la Banca ha adottato un sistema di sicurezza tale da impedire l’accesso ai dati personali dei correntisti da parte di terze persone;
- l’operazione, eseguita per via telematica di trasferimento di € 6.000,00 dal conto corrente di cui erano titolari gli appellati ad altro conto intestato a terzi, non può che essere avvenuta grazie all’utilizzo dei codici identificativi personali di uno degli appellati il che, a sua volta, porta a ritenere che, assai verosimilmente, gli stessi siano rimasti vittime di una delle sempre più frequenti truffe informatiche, a seguito della quale gli appellati sono stati indotti a fornire “on line” i propri codici personali (user id, password, pin), poi utilizzati dal truffatore (c.d. hacker) per il compimento dell’illecita operazione dispositiva, non potendosi dunque dubitare del comportamento decisamente imprudente e negligente degli appellati, i quali hanno digitato i propri codici personali (verosimilmente richiestigli con un e-mail fraudolenta), in tal modo consentendo all’ignoto truffatore di successivamente utilizzarli per effettuare la disposizione sul conto dei correntisti.
Sulla scorta di tali considerazioni, il Giudice di secondo grado ha annullato la sentenza di primo grado ritenendo che la condotta colposa dei ricorrenti è stata la causa esclusiva dell’operazione truffaldina dagli stessi patita e che ha assunto i caratteri del caso fortuito idoneo ad interrompere il nesso eziologico tra l’attività pericolosa e l’evento dannoso, con conseguente esclusione di ogni responsabilità in capo alla Banca.
Tali conclusioni sono state in toto condivise dalla Suprema Corte, la quale ha escluso ogni responsabilità in capo all’Istituto di Credito ritenendo raggiunta la prova, per presunzioni, che l’immissione nel sistema informatico di username, di password e di pin per l’accesso ai dati interni al conto corrente postale dei ricorrenti è stata eseguita da un terzo soggetto, previa illecita captazione di tali dati.
Dott. Alessandro Lovelli
