Il caso.

Dal conto corrente di Tizio veniva disposto, asseritamente a sua insaputa, un bonifico a favore di un terzo non conosciuto da Tizio.

Tizio chiede alla Banca di essere risarcito della somma bonificata a titolo di responsabilità contrattuale o extracontrattuale.

Si difende la Banca asserendo che qualcuno doveva avere utilizzato i dati di accesso alla piattaforma home-banking di Tizio per disporre il bonifico.

Insinua che Tizio potrebbe non si essersi accorto di essere stato vittima di un tentativo, riuscito, di phishing da parte di malintenzionati, seguendo ingenuamente le indicazioni date in una e-mail recapitatagli apparentemente dalla banca e di avere inavvertitamente consegnato a terzi le credenziali di accesso al proprio conto corrente mediante piattaforma home banking.

La metodologia generale di attacco phishing viene così definita da wikipedia :

“Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:

• l'utente malintenzionato (phisher) spedisce a un utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).

• l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account, ecc.) oppure un'offerta di denaro.

• l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione (Fake login).

• il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

• il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi”.

La questione.

La Corte d’appello respinge la domanda di Tizio inquadrando la fattispecie nell’ambito di applicazione dell’art. 2050 c.c. (Responsabilità per l’esercizio di attività pericolose). Secondo questa norma il gestore dell’attività pericolosa è tenuto al risarcimento se non prova di avere adattato tutte le misure idonee ad evitare il danno.

Secondo la Corte d‘Appello la Banca aveva dimostrato i avere fatto tutto il possibile per evitare danno al cliente, avendo un consistente sistema di sicurezza del server e disponendo modalità di accesso tali da impedire intrusioni nel sistema da parte di soggetti non dotati di username e password.

La responsabilità era, quindi, da addebitare a Tizio per avere ceduto a terzi inavvertitamente i propri dati di autenticazione.

La decisione viene portata alla Corte di Cassazione.

La decisione.

Sul caso la Corte di Cassazione civile decide con Ordinanza n. 9158 del 12 aprile 2018.

La Corte tralascia l’applicazione della responsabilità per conduzione di cosa pericolosa ex art. 2050 c.c. e richiama i principi che sovrintendono i servizi di pagamento nel mercato interno ora presenti in D. Lgs. n. 11 del 2010.

Tali principi svolgono la propria funzione anche sotto il profilo probatorio stante che a fronte del disconoscimento della paternità dell’operazione (Tizio aveva sempre dichiarato di non avere dato il via a quel bonifico) la Banca avrebbe dovuto specificatamente dimostrare, invece, la riconducibilità dell’operazione al correntista. Nell’affermare ciò richiama, altresì, proprio precedente: Cass 2950/2017.

Viene rigettata la ricostruzione dei fatti operata dalla Banca e che ipoteticamente suggeriva il buon esito di un’operazione di phishing, poiché assolutamente non provata ma frutto solamente del racconto, appunto ipotetico, della difesa dell’istituto di credito.

Osservazioni.

Tutto ciò porterebbe a definire il caso quale mero errore strategico nella difesa della Banca, la quale avrebbe ben potuto dimostrare l’ora e il giorno dell’accesso dell’utente al proprio sistema home banking e assolvere in modo a se positivo l’onere della prova così come contestato dalla Corte di Cassazione.

Tuttavia si ritiene che la questione non sia così banale, poiché:

1) la dimostrazione dell’accesso, infatti, mediante username e password potrebbe essere considerato non sufficiente al fine di dimostrare l’applicazione di severe norme di controllo degli accessi e

2) mancherebbero, inoltre, ulteriori dati di sicuro interesse quali il numero di IP dell’accesso e il tipo di dispositivo.

L’IP, si ricorda, è un numero identificatore che viene assegnato al dispositivo che si collega al server, ed è un indicatore di tipo (tendenzialmente) geografico, visto che viene assegnato tenendo conto della posizione del nodo di accesso.

Se fosse risultato dal numero di IP che il bonifico stava per essere effettuato dalla Russia, o dalla Cina, ad esempio, è chiaro che subito avrebbe dovuto sorgere un allarme presso la Banca e sottoporre a verifica la bontà della disposizione. In particolare con un cliente che opera storicamente solamente all’interno dei confini nazionali.

---------------------------------------

Di seguito il testo di
Corte di Cassazione civile Ordinanza n. 9158 del 12/04/2018