Con sentenza n. 07214/2023 la Corte Suprema di Cassazione (I sezione civile) ha sancito l’impossibilità di ascrivere alla banca la responsabilità di una truffa avvenuta tramite phishing, quando quest’ultima sia stata perpetrata dal criminal hacker sfruttando un comportamento gravemente negligente dell’utente e in presenza di tutte le procedure di autenticazione richieste dalla normativa per garantire la sicurezza dell’operazione bancaria.
In aggiunta, appare opportuno sottolineare che i giudici della Suprema Corte hanno attribuito rilevanza anche a quanto riportato nella documentazione informativa precontrattuale, laddove la banca precisa che “il cliente è responsabile della custodia e dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio e che la mancanza di precauzioni da parte del titolare nel mantenere segreti i suddetti codici può determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terze persone”.
Truffe online: le più diffuse, come riconoscerle e i consigli per difendersi
Indice degli argomenti
Frode informatica tramite phishing: il caso
I giudici di legittimità, pur non entrando nel merito delle acquisizioni istruttorie nell’ambito del funzionamento e delle caratteristiche di sicurezza del sistema informatico in esame, ritenevano soddisfatto l’onere probatorio in capo all’istituto bancario in quanto fondato su un compiuto ragionamento presuntivo tale da rendere, in sede di legittimità, incontestabile il merito delle risultanze probatorie su cui si è dimostrata la colpevolezza del cliente nell’aver compartecipato all’evento fraudolento.
A parere di chi scrive è necessario considerare che la sentenza de quo analizza un fatto occorso nel 2005 (quasi 20 anni fa) che nel campo della sicurezza informatica rappresenta un’era geologica molto distante dai tempi odierni ove le complessità e le dipendenze tecnologiche nonché le meno sofisticate tecniche di phishing rendono – di fatto – la decisione odierna non significativa in termini di contenuto, analisi istruttorie e considerazioni di merito sul funzionamento e sulle caratteristiche del sistema informatico considerato il diverso scenario di riferimento e la minor complessità strutturale e normativa della sicurezza stessa.
Ciò detto è anche doveroso affermare che le frodi informatiche tramite tecniche di phishing rappresentano ormai eventi e accadimenti noti, riconoscibili (in alcuni casi, certo) e portati alla conoscenza del consumatore medio attraverso ogni forma e canale ordinario di comunicazione utilizzato dallo stesso.
Pertanto, è altrettanto opportuno riflettere sulla necessità di responsabilizzare il consumatore all’uso corretto e consapevole degli strumenti informatici e, in particolare, dei sistemi di pagamento.
L’impegno e l’obbligo normativo ormai assunto dagli enti finanziari negli ultimi anni sta portando al paradosso di avere delle campagne di informazione e sensibilizzazione sempre più semplici e strutturate e, al contempo, avere dei consumatori sempre meno attenti, interessati e consapevoli; e che tale condotta colposa dei consumatori non sia mai dimostrabile dagli istituti, considerato da un lato la probatio diabolica disciplinata dall’art. 10 del D.lgs. n. 11/2010 e dall’altro lato il principio della diligenza nell’adempimento ex art. 1176, comma 2 del codice civile, il quale prevede che la prestazione eseguita dall’intermediario andrà valutata secondo lo standard di diligenza oggettiva che nel rapporto tra banca e cliente si tramuta nel criterio della cd. “diligenza dell’accorto banchiere”.
Le altre pronunce sulle frodi tramite phishing
In linea con l’orientamento sopra descritto si segnalano diverse pronunce dell’ABF (tra le più recenti si richiama la decisione del Collegio di Torino, n. 15328 del 29 novembre 2022) le quali hanno chiarito che qualora il testo della mail/SMS di phishing inviato dal criminal hacker all’utente sia caratterizzato da errori grammaticali o sintattici o altre anomalie (ad es. l’invito a cliccare un link in alcun modo riconducibile all’intermediario) tali da allertare l’utente avveduto di una possibile truffa, “il comportamento di colui che abbocchi deve ritenersi inescusabile e gravemente colposo”, liberando così l’intermediario da qualsiasi profilo di responsabilità.
Tuttavia, sempre l’ABF (v. decisione del Collegio di Coordinamento n. 13398 del 18 ottobre 2022, e decisione del Collegio di Roma n. 1329 del 10 febbraio 2023) ha precisato che l’intermediario è altresì chiamato a dimostrare di aver predisposto e adottato una “Strong Customer Authentication – SCA” ovvero una procedura di autenticazione forte per convalidare l’identificazione di un utente basata sull’uso di due o più elementi di autenticazione (cd. “autenticazione a due fattori”) appartenenti ad almeno due categorie tra le seguenti: conoscenza (qualcosa che solo l’utente conosce, come una password o un PIN); possesso (qualcosa che solo l’utente possiede, come un token/chiavetta, o uno smartphone); inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale o il riconoscimento facciale).
Pertanto, l’istituto bancario non deve limitarsi a esporre in maniera analitica il funzionamento della SCA in uso per i pagamenti elettronici disposti dai propri clienti, ma deve altresì essere in grado di fornire i cd. log, ovvero delle registrazioni informatiche, che permettono di ricostruire l’iter di lavorazione dell’operazione, in modo tale da dimostrare che il pagamento contestato dall’utente è stato effettivamente autorizzato attraverso l’indicata procedura di autenticazione forte, rilevandosi così la sussistenza di una colpa grave in capo all’utente.
Ancora, sempre con specifico riferimento ad episodi di frode informatica si rammenta che con recente decisione l’ABF (Collegio di Roma, 01 settembre 2022, n. 12005) ha attribuito le frodi con sofisticate tecniche di spoofing (con maggiori complessità rispetto al classico phishing) nel più ampio quadro della responsabilità dell’istituto di credito.
Precisamente nelle “fattispecie di spoofing non è generalmente ravvisabile la colpa grave del ricorrente”, “a meno che non si rinvengano […] indici di inattendibilità o anomalia del messaggio; in tale caso, potrà essere ravvisato un concorso di colpa tra le parti in relazione, da un lato, alla negligenza grave dell’utente che agevola il compimento della truffa, similmente a quanto avviene negli episodi di phishing e, dall’altro lato, alle criticità organizzative del servizio di pagamento offerto dall’intermediario”.
In tali casi, evidenzia l’ABF, “il truffatore ha adottato un sistema tecnicamente sofisticato, tale da concretare un’ipotesi di malfunzionamento del servizio di pagamento o altro inconveniente connesso al servizio di disposizione di ordine di pagamento, pur inteso in senso ampio, destinato a ricadere nella sfera del rischio di impresa dell’intermediario”.
Infine, la Corte di Cassazione è intervenuta sul tema riconoscendo la responsabilità della banca per non aver attivato adeguati sistemi di prevenzione e controllo sui sistemi di home banking e sui pagamenti online, con consequenziale diritto per l’utente al risarcimento del danno e al rimborso della somma fraudolentemente estorta (cfr. Corte Cass. n. 806 del 19 gennaio 2016, e Corte Cass. n. 2950 del 3 febbraio 2017).
Un intervento legislativo per semplificare la disciplina
Gli orientamenti sopra riportati mettono in luce aspetti fattuali molto diversi tra di loro su cui valutare, costruire e attribuire le reciproche responsabilità (es. raffinatezza delle tecniche utilizzate e capacità/probabilità di individuazione delle stesse, alert mancanti o disattivati, dimostrabilità tramite sistemi di log) attribuibili secondo dei criteri oggetti (funzionamento del sistema informatico) e soggettivi tramite presunzioni semplici (dolo, colpa grave o frode) nonché dimostrabili dal solo istituto di credito o di pagamento (si ricorda che l’onere della prova è posto ex lege esclusivamente in capo a quest’ultimo).
Tale complessità, giuridica e fattuale, non permette alla giurisprudenza di enucleare dei principi giuridici unanimi considerate le differenti sfaccettature su cui costruire e ricostruire i fatti oggetto di istruttoria in sede stragiudiziale e giudiziale. In conclusione, la sentenza ultima della Corte di Cassazione a parere di chi scrive non rafforza e non indebolisce i diversi orientamenti, ma si conferma come l’ennesima pronuncia che esprime un giudizio di legittimità sulla base delle risultanti istruttorie e delle motivazioni analizzate.
Solo un intervento legislativo potrebbe semplificare la disciplina relative alle responsabilità reciproche poste in capo al prestatore e all’utilizzatore dei servizi di pagamento.
