Responsabilità della Banca. Vulnerabilità dei servizi di home banking: risarcibili i danni da phishing Trib. di Milano, Sez. VI, 4 dicembre 2014

in Diritto
15. 01. 24
posted by: Super User
Visite: 1004
Responsabilità della Banca. Vulnerabilità dei servizi di home banking: risarcibili i danni da phishing. Trib. di Milano, Sez. VI, 4 dicembre 2014

La Giurisprudenza di merito continua a valutare con rigore la posizione delle Banche convenute dagli utenti del servizio di home banking che si sono visti defraudare delle somme depositate ad opera di hackers che hanno adoperato tecniche di phishing.All'Istituto Bancario si addebita, a vario titolo, la violazione degli obblighi inerenti alla predisposizione di dispositivi di sicurezza idonei a evitare intrusioni nei sistemi protetti.

La Giurisprudenza di merito continua a valutare con rigore la posizione delle Banche convenute dagli utenti del servizio di home banking che si sono visti defraudare delle somme depositate ad opera di hackers che hanno adoperato tecniche di phishing.All'Istituto Bancario si addebita, a vario titolo, la violazione degli obblighi inerenti alla predisposizione di dispositivi di sicurezza idonei a evitare intrusioni nei sistemi protetti. Anche a fronte dell'adozione di misure di protezione in linea con gli standard del settore, la banca può comunque essere condannata a rimborsare la perdita sofferta dal correntista allorquando i pirati informatici, per impossessarsi delle credenziali, si siano avvalsi di metodi particolarmente sofisticati che, allo stato, non sono riconoscibili e neutralizzabili dal cliente medio.

Il Tribunale di Milano, in particolare, affrontava la disavventura di due correntisti che si erano visti sottrarre somme in conseguenza di ripetute operazioni disposte nell'arco di sei giorni da parte di ignoti riusciti a penetrare nel loro servizio di home banking.Le vittime, accortesi della frode qualche giorno dopo le operazioni, provvedevano a disconoscere le operazioni, a sporgere denuncia all'autorità giudiziaria e, infine, cercato invano di definire bonariamente la vertenza, evocavano in giudizio l'intermediario creditizio con l'accusa di aver omesso l'adozione di idonee misure di protezione del sistema informatico.

Le vittime avevano subito il cd. Phishing: una strategia truffaldina, attuata tramite l'invio di un messaggio di posta elettrica in apparenza proveniente dal gestore del servizio ovvero mediante la creazione di pagine web anch'esse riferibili al gestore medesimo, la cui finalità è quella di carpire dati personali del cliente utilizzabili per effettuare esborsi con somme prelavate dal suo conto o per trasferire dette somme altrove.

In questi casi, la responsabilità contrattuale in capo all'intermediario è in primo luogo correlata alla mancanza consistita nel non essersi adeguati agli standard di sicurezza generalmente adottati dagli altri operatori (la violazione dell'obbligo, di fonte negoziale, di adottare, o comunque fornire al proprio cliente, le misure tecniche più idonee ad evitare che terzi potessero venire a conoscenza in modo fraudolento delle credenziali che consentivano di utilizzare il servizio di home banking, è venuta parimenti in rilievo nei casi decisi da Trib. Firenze 20 maggio 2014; Trib. di Verona, 2 ottobre 2012; Trib. di Nocera Inferiore, 18 febbraio 2011).

A questa infrazione, che faceva carico al gestore del servizio di garantirne la sicurezza con l'impiego di idonei strumenti di crittografia, si affiancava un ulteriore inadempimento nella misura in cui l'operatore professionale, dopo le prime operazioni sospette, non è stato in grado di attivarsi tempestivamente con una reazione che avrebbe impedito la prosecuzione dell'attività illecita e almeno alleviato il danno.

Nella giurisprudenza di merito, peraltro, si rinvengono altre condanne risarcitorie rese in situazioni analoghe, dove sono stati valorizzati gli obblighi discendenti da alcune normative settoriali: la responsabilità della banca è stata fondata sul mancato rispetto della disciplina in materia di protezione dei dati personali (Trib. di Siracusa, 15 marzo 2012; Trib. di Palermo, 11 giugno 2011) ed è stata anche fondata sulla violazione delle norme imposte dalla disciplina sui servizi di pagamento.

Un contributo significativo in materia è stato offerto dalle decisioni dell'Arbitro Bancario Finanziario, che ha chiarito come il semplice fatto di aver allestito un reticolo protettivo allineato agli standard del settore non vale di per sé a esonerare da responsabilità il prestatore del servizio.

Occorre, infatti, distinguere tra il phishing meno evoluto, dove l'aggiramento dei presidi di sicurezza ha luogo attraverso metodi che il cliente, impiegando un minimo di diligenza, è oggettivamente in grado di riconoscere, e versioni più sofisticate della stessa tecnica, che non permettono all'utente medio di prendere alcuna contromisura.

Particolarmente insidioso è il meccanismo definito come "man-in-the-browser" caratterizzato dal fatto che un malware si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema, rimanendo quiescente fino al momento in cui l'utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino.

Appare così una schermata in tutto e per tutto identica a quella che viene visualizzata allorquando si accede regolarmente a detto sito, se non fosse per l'unica rilevante differenza che la pagina sostituita reca un prefisso di accesso (c.d. protocollo di trasferimento) "http", anziché "https".

Orbene, al cospetto di queste tecniche così subdole non può certo ravvisarsi la colpa grave dell'utente, sì che l'intermediario rimane comunque assoggettato al rimborso previsto dalla disciplina sui servizi di pagamento.

Anche a fronte dell'adozione di misure di protezione in linea con gli standard del settore, la banca può comunque essere condannata a rimborsare la perdita sofferta dal correntista allorquando i pirati informatici, per impossessarsi delle credenziali, si siano avvalsi di metodi particolarmente sofisticati che, allo stato, non sono riconoscibili e neutralizzabili dal cliente medio.

Il Tribunale di Milano, in particolare, affrontava la disavventura di due correntisti che si erano visti sottrarre somme in conseguenza di ripetute operazioni disposte nell'arco di sei giorni da parte di ignoti riusciti a penetrare nel loro servizio di home banking.

Le vittime, accortesi della frode qualche giorno dopo le operazioni, provvedevano a disconoscere le operazioni, a sporgere denuncia all'autorità giudiziaria e, infine, cercato invano di definire bonariamente la vertenza, evocavano in giudizio l'intermediario creditizio con l'accusa di aver omesso l'adozione di idonee misure di protezione del sistema informatico.

Le vittime avevano subito il cd. Phishing: una strategia truffaldina, attuata tramite l'invio di un messaggio di posta elettrica in apparenza proveniente dal gestore del servizio ovvero mediante la creazione di pagine web anch'esse riferibili al gestore medesimo, la cui finalità è quella di carpire dati personali del cliente utilizzabili per effettuare esborsi con somme prelavate dal suo conto o per trasferire dette somme altrove.

In questi casi, la responsabilità contrattuale in capo all'intermediario è in primo luogo correlata alla mancanza consistita nel non essersi adeguati agli standard di sicurezza generalmente adottati dagli altri operatori (la violazione dell'obbligo, di fonte negoziale, di adottare, o comunque fornire al proprio cliente, le misure tecniche più idonee ad evitare che terzi potessero venire a conoscenza in modo fraudolento delle credenziali che consentivano di utilizzare il servizio di home banking, è venuta parimenti in rilievo nei casi decisi da Trib. Firenze 20 maggio 2014; Trib. di Verona, 2 ottobre 2012; Trib. di Nocera Inferiore, 18 febbraio 2011).

A questa infrazione, che faceva carico al gestore del servizio di garantirne la sicurezza con l'impiego di idonei strumenti di crittografia, si affiancava un ulteriore inadempimento nella misura in cui l'operatore professionale, dopo le prime operazioni sospette, non è stato in grado di attivarsi tempestivamente con una reazione che avrebbe impedito la prosecuzione dell'attività illecita e almeno alleviato il danno.

Nella giurisprudenza di merito, peraltro, si rinvengono altre condanne risarcitorie rese in situazioni analoghe, dove sono stati valorizzati gli obblighi discendenti da alcune normative settoriali: la responsabilità della banca è stata fondata sul mancato rispetto della disciplina in materia di protezione dei dati personali (Trib. di Siracusa, 15 marzo 2012; Trib. di Palermo, 11 giugno 2011) ed è stata anche fondata sulla violazione delle norme imposte dalla disciplina sui servizi di pagamento.

Un contributo significativo in materia è stato offerto dalle decisioni dell'Arbitro Bancario Finanziario, che ha chiarito come il semplice fatto di aver allestito un reticolo protettivo allineato agli standard del settore non vale di per sé a esonerare da responsabilità il prestatore del servizio.

Occorre, infatti, distinguere tra il phishing meno evoluto, dove l'aggiramento dei presidi di sicurezza ha luogo attraverso metodi che il cliente, impiegando un minimo di diligenza, è oggettivamente in grado di riconoscere, e versioni più sofisticate della stessa tecnica, che non permettono all'utente medio di prendere alcuna contromisura.

Particolarmente insidioso è il meccanismo definito come "man-in-the-browser" caratterizzato dal fatto che un malware si annida in modo silenzioso nel computer della vittima senza creare alcun malfunzionamento o alterazione del sistema, rimanendo quiescente fino al momento in cui l'utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino.

Appare così una schermata in tutto e per tutto identica a quella che viene visualizzata allorquando si accede regolarmente a detto sito, se non fosse per l'unica rilevante differenza che la pagina sostituita reca un prefisso di accesso (c.d. protocollo di trasferimento) "http", anziché "https".

Orbene, al cospetto di queste tecniche così subdole non può certo ravvisarsi la colpa grave dell'utente, sì che l'intermediario rimane comunque assoggettato al rimborso previsto dalla disciplina sui servizi di pagamento.

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)
FacebookTwitterGoogle BookmarksLinkedinRSS FeedPinterest
Pin It
  
Sopra

Utilizziamo i cookie per offrirti un servizio migliore e personalizzare la tua esperienza. Se continui nella navigazione ci autorizzi all’uso dei cookie, altrimenti puoi sempre decidere di accettarne solo alcuni o non accettarne affatto.