Phishing: la sottrazione fraudolenta dei codici di accesso ai conti correnti online tra responsabilità e casistica

Inquadramento normativo: Art. 2043 c.c., Art. 2050 c.c.; D.Lgs. n. 11/2010, Artt. 615 quater c.p., Art. 615 quinquies c.p.; Art. 640 ter c.p.; Art 648 bis c.p.

Phising: Il phishing è quell'attività che attraverso stratagemmi (quali per esempio fasulli messaggi di posta elettronica, o veri e propri programmi informatici e malware) un soggetto si impossessa illecitamente e fraudolentemente dei codici elettronici (user e password) di un utente, con cui accedere a conti correnti bancari o postali di quest'ultimo. Tale attività è finalizzata a prelevare rapidamente e illecitamente denaro dal conto corrente dell'utente (Tribunale Trento, sentenza del 4 maggio 2016).

Financial manager: In questo tipo di attività illecita, molto spesso è coinvolto un terzo "collaboratore", c.d. financial manager, ossia colui che si presta a che le somme che l'hacker trafuga dal conto corrente nel quale è entrato abusivamente, vengano accreditate sul proprio conto corrente al fine poi di essere definitivamente trasferite all'estero con operazioni di money transfert (Tribunale Trento, sentenza del 4 maggio 2016).

Responsabilità degli istituti bancari e creditizi: Nei casi di phishing, gli istituti bancari e creditizi, quali titolari del trattamento di dati personali, sono responsabili dei danni subiti dall'utente se non dimostrano che l'evento dannoso sia imputabile alla negligenza dell'utente stesso o a forza maggiore (Cass. civ., n. 10638/2016). E ciò in considerazione del fatto che tale evento viene ricondotto all'area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente. Il conferimento incauto dei codici d'accesso da parte del titolare a terzi non deve escludere la possibilità, per gli istituti bancari e creditizi, di fronteggiare in anticipo tali tipi di situazioni (Cass., n. 9158/2018, Tribunale Parma, sentenza del 6 settembre 2018). 

Ne consegue, che detti istituti saranno responsabili, ogniqualvolta che è inesistente un adeguato meccanismo di protezione dei dati dei clienti e il conto corrente online è accessibile da parte di soggetti fraudolentemente entrati in possesso delle relative credenziali, tramite phishing. In tali casi, se è esclusa la colpa e il dolo dell'utente, i predetti istituti dovranno restituire la somma sottratta (Tribunale Parma, sentenza del 6 settembre 2018, Collegio arbitrale Milano, 10/02/2014).

Focus: La banca, svolgendo attività professionale, deve adempiere a tutte le obbligazioni, con la diligenza particolarmente qualificata dell'accorto banchiere, assunte nei confronti dei propri clienti, non solo con riguardo all'attività di esecuzione di contratti bancari in senso stretto, ma anche in relazione ad ogni tipo di operazione oggettivamente esplicata. Pertanto la banca risponde di tutti i rischi tipici della sua sfera professionale per la cui eliminazione non ha provveduto alla adozione di mezzi idonei (nel caso di phishing, è responsabile, ad esempio, del prelievo fraudolento fatto con bancomat trattenuto dallo sportello automatico manomesso)" (Cass. Civ. n. 13777/2007, Tribunale Messina, sentenza del 2 aprile 2015).

Esclusione responsabilità degli istituti bancari e creditizi: La responsabilità degli istituti bancari e creditizi è esclusa quando:

• le procedure di gestione del conto corrente online risultano pacificamente illustrate sui siti internet di detti istituti;
• nei predetti siti si dà avviso all'utente dell'opportunità di rispettare particolari norme di cautela, anche con riferimento all'attività di phishing.  

In tali casi, per l'eventuale condotta appropriativa posta in essere illecitamente da soggetti terzi, non si può invocare una responsabilità degli enti su indicati in quanto:

• mancano gli elementi per ritenere il loro comportamento come doloso o colposo ai sensi dell'art. 2043 c.c. (responsabilità per fatto illecito);
• manca la pericolosità dell'attività esercitata dagli enti stessi, per aver questi ultimi adottato tutte le cautele del caso.

(Tribunale Pisa, sentenza 16 gennaio 2018).

Phishing e profili penali: Il phishing è un'attività illecita per la quale, sotto il profilo penale, possono assumere rilievo tre momenti differenti:

• invio di mail e/o uso di altri stratagemmi informatici finalizzati a sottrarre agli utenti i codici di accesso a conti correnti bancari e postali;
• utilizzo di tali codici per effettuare prelievi e bonifici online non autorizzati;
• dirottamento delle somme incassate su carta intestata ad altri soggetti.

Nei primi due casi, le condotte illecite integrano i reati di frode informatica e diffusione di apparecchiature, dispositivi o programmi diretti a danneggiare o interrompere un sistema informatico o telematico. Nel terzo caso, la condotta illecita integra gli estremi del reato di riciclaggio (Tribunale Milano, sentenza del 28 luglio 2006). Si ha delitto di riciclaggio, infatti, quando un soggetto, senza aver concorso nel delitto presupposto, mette la propria carta prepagata a disposizione di chi si è procurato somme di denaro con metodi criminali. Tale condotta è idonea ad ostacolare la provenienza delittuosa delle somme (Cass. pen. 18965/2016, Cass. pen., n. 50688/2017).