Home Banking e vittime di phishing: la banca è responsabile

di Jacopo Giunta
IT Law Expert, Information Forensics Investigator (CIFI)

Nota a Sentenza Tribunale di Milano, decisione n. 14533 del 04.12.2014

_____________________________________

La rapida evoluzione dell’home banking, ovvero la connessione tramite rete informatica (Internet banking) o GSMGPRSEDGEUMTSHSPA (mobile Banking) al proprio istituto bancario mediante l’accesso ad un portale web, ha imposto la necessità agli istituti di credito e finanziari di dotarsi di idonee misure di sicurezza ed autenticazione in grado di ridurre al massimo i rischi di furto d’identità digitale, considerando la continua ed inarrestabile diffusione dei fenomeni di phishing/pharming e la scarsa attenzione dell’utenza nel mantenere secretate e sicure le proprie credenziali di accesso.

I c.d. metodi di Strong Authentication, pur non potendo ovviare in maniera assoluta al fenomeno del phishing, costituiscono la migliore risposta all’esigenza di garantire un solido sistema di autenticazione, in quanto sono in grado di garantire l’appartenenza delle credenziali ad un’entità fisica.

Tra le varie tecnologie di Strong Authentication (Token, Sistemi ibridi, Sistemi EMV, sistemi biometrici) i sistemi One Time Password o OTP, da quasi un decennio, sono i più utilizzati in ambito bancario a livello globale, ed allo stato costituiscono, anche in Italia, lo “standard consolidato per la protezione dei clienti dal phishing e dai programmi spia” che tutti gli istituti bancari devono adottare per non incorrere in responsabilità a fronte di attacchi perpetrati a carico dei propri correntisti.

Detto principio, già affermato dal Tribunale di Firenze in un caso analogo (“Poste Italiane, come qualsiasi altro operatore bancario, nei rapporti contrattuali con il cliente “risponde secondo le regole del mandato” (art. 1856 c.c.) e la diligenza cui è tenuta va valutata con particolare rigore. In particolare, con specifico riferimento all’utilizzazione di servizi e strumenti, con funzione di pagamento o altra, che si avvalgono di mezzi meccanici o elettronici, è fondamentale, ai fini della configurazione di relative responsabilità, la verifica dell’adozione da parte dell’istituto delle misure idonee a garantire la sicurezza del servizi”  Tribunale Firenze, sentenza 20.05.2014) è stato recepito dal Tribunale di Milano nella recentissima sentenza n. 14533 del 04.12.2014.

Nella sentenza in oggetto, l’istituto bancario, convenuto da un correntista vittima di attacco informatico mediante mail di phishing, è stato condannato al risarcimento dei danni patrimoniali e non patrimoniali dallo stesso subiti per violazione del dovere di diligenza qualificata ex art. 1176 comma 2 c.c., per non aver dotato il proprio servizio di home banking di un sistema di autenticazione delle credenziali di accesso al proprio portale web mediante OTP, nonostante avesse fornito garanzie ex contractu sulla “sicurezza del sistema … mediante idonei sistemi di crittografia dei dati di riconoscimento dell’utente” (sul punto la Cassazione è pacifica nell’affermare che “la diligenza del buon banchiere deve essere qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell’agente consente e richiede” (ex multis, Cass., sez. I civile, 24 settembre 2009, n. 20543).

Il Giudice milanese, sulla scorta di una CTU tecnica, ha infatti correttamente statuito come al convenuto istituto di credito fosse imputabile una condotta gravemente negligente, configurabile sotto un duplice profilo:

  1. per non aver adottato le misure di sicurezza necessarie (cfr. …”quel sistema di autenticazione basato su OTP, che all’epoca dei fatti costituiva uno standard consolidato per la tutela dei Clienti di banche da phishing e programmi spia”), già note e consolidate all’epoca dei fatti (“sin dal 2003 si stavano diffondendo nel mondo bancario delle tecniche specificamente messe a punto per prevenire gli attacchi dei programmi spia e del phishing”), idonee a contrastare gli attacchi informatici finalizzati alla sottrazione delle credenziali di accesso ai portali bancari mediante messaggi di posta malevoli;
  2. l’inadeguatezza dei protocolli di analisi degli indicatori di frode adottati dalla convenuta, rilevando nel caso di specie come nonostante le operazioni di trasferimento venissero disposte da operatori aventi indirizzi IP differenti per ogni operazione (circostanza evidentemente anomala, degna di accurati approfondimenti), le stesse venivano regolarmente processate, e non veniva fatta alcuna verifica sulla loro legittima riconducibilità in capo al titolare del conto corrente. Qualora l’istituto avesse adottato protocolli di analisi efficaci, in grado di rilevare tempestivamente l’anomalia, avrebbe potuto bloccare gli atti dispositivi, limitando in tal modo il danno subito dal correntista.

Articoli

Menu