Phishing e responsabilità bancarie: cosa dice la giurisprudenza e il ruolo dell’ABI
Phishing e responsabilità bancarie: cosa dice la giurisprudenza e il ruolo dell’ABI
Il phishing rappresenta una delle minacce informatiche più diffuse e dannose, soprattutto in ambito bancario.
Si tratta di una frode che punta a sottrarre credenziali di accesso o informazioni sensibili, spesso con gravi conseguenze economiche per le vittime. In Italia, il fenomeno è regolato sia dal quadro normativo generale sia da orientamenti specifici promossi dall’ABI (Associazione Bancaria Italiana), che fornisce linee guida e supporto alle banche e ai clienti.
Cos’è il phishing e come agisce
Il phishing si presenta sotto diverse forme, come email fraudolente, SMS (smishing) o chiamate telefoniche (vishing). L’obiettivo è sempre lo stesso: convincere le vittime a condividere informazioni personali o ad accedere a link fraudolenti, che poi vengono sfruttati per accedere a conti bancari o eseguire transazioni non autorizzate.
L’elemento psicologico è fondamentale: creare un disagio nella vittima, tale da determinare una situazione di emergenza e condividere con l’operatore farlocco i dati più disparati.
L’approccio dell’ABI al phishing
L’ABI, attraverso le sue linee guida, pone l’accento su due aspetti fondamentali:
- Obblighi delle banche:
- Le banche devono implementare misure di sicurezza efficaci, in linea con le normative europee, come la PSD2 (Payment Services Directive).
- È fondamentale l’uso dell’autenticazione forte del cliente (SCA, Strong Customer Authentication) per garantire la sicurezza delle transazioni.
- Le banche devono monitorare costantemente le transazioni per rilevare attività anomale o fraudolente.
- Tutela del cliente:
- Le banche sono tenute a risarcire i clienti vittime di phishing, salvo che si dimostri una colpa grave da parte dell’utente, ad esempio in caso di negligenza evidente (come cliccare su link palesemente sospetti, ma sull’individuazione dei comportamenti “ingiusti” del Cliente il decalogo è ancora in via di definizione).
- Educazione e prevenzione:
- L’ABI promuove iniziative di sensibilizzazione per aumentare la consapevolezza degli utenti sui rischi del phishing, suggerendo comportamenti adeguati per proteggersi dalle frodi.
Certo è che bisognerebbe tenere bene a mente le linee operative del proprio Istituto Bancario, nella consapevolezza che difficilmente gli operatori potrebbero richiedere i propri codici segreti.
La giurisprudenza italiana sul phishing
Negli ultimi anni, diverse sentenze hanno chiarito la ripartizione delle responsabilità tra banca e cliente in caso di phishing. Ecco i principali orientamenti:
- Responsabilità della banca:
La banca è generalmente responsabile per i danni subiti dal cliente se non dimostra di aver adottato tutte le misure tecniche e organizzative necessarie per prevenire la frode.- Onere di controllo dell’Istituto Bancario: Le banche, in qualità di intermediari finanziari e gestori di sistemi di pagamento, hanno l’obbligo di garantire la sicurezza e l’affidabilità delle operazioni, ai sensi della Direttiva PSD2 e del Decreto Legislativo n. 11/2010. Il principio della culpa in vigilando si applica nei seguenti casi:
- Mancata Sorveglianza sui Sistemi di Pagamento
La banca deve monitorare le transazioni per individuare comportamenti anomali o potenzialmente fraudolenti. Se non implementa sistemi di sorveglianza automatizzata, come algoritmi di rilevamento delle frodi, può essere considerata responsabile per omessa vigilanza.
Esempio pratico:
Un cliente subisce un addebito fraudolento di importo elevato verso un destinatario insolito. Se la banca non rileva questa anomalia, potrebbe configurarsi una culpa in vigilando.
- Mancata Implementazione di Misure di Sicurezza
Secondo l’articolo 2050 c.c. (responsabilità per attività pericolose), la banca deve adottare tutte le precauzioni tecnologiche e organizzative per prevenire attacchi informatici, come:
Autenticazione forte del cliente (Strong Customer Authentication, richiesta dalla Direttiva PSD2).
Sistemi di crittografia avanzati.
Filtri anti-phishing sui propri canali di comunicazione.
La mancata implementazione di queste misure può costituire una violazione dei doveri di diligenza professionale, configurando la culpa in vigilando.
- Omesso Controllo sui Canali Ufficiali
Le banche sono responsabili per il contenuto delle comunicazioni ufficiali inviate ai clienti. Se un attaccante sfrutta un sistema bancario vulnerabile per inviare email di phishing (ad esempio tramite un indirizzo ufficiale compromesso), la banca potrebbe essere accusata di culpa in vigilando per non aver controllato e protetto adeguatamente i suoi canali.
- Responsabilità per la Gestione delle Segnalazioni
In caso di frode segnalata tempestivamente dal cliente, la banca ha l’obbligo di agire immediatamente per bloccare transazioni non autorizzate. Se la banca non interviene prontamente, potrebbe rispondere per culpa in vigilando.
- o Concorso di colpa del cliente: Quando il cliente agisce in modo negligente, ad esempio fornendo dati sensibili tramite link sospetti senza verificarne l’autenticità, la responsabilità può essere condivisa o addirittura esclusa. Con la sentenza n. 7214/2023 la Corte Suprema di Cassazione (I sezione civile) ha sancito l’impossibilità di ascrivere alla banca la responsabilità di una truffa avvenuta tramite phishing, quando quest’ultima sia stata perpetrata da un hacker sfruttando un comportamento gravemente negligente dell’utente e in presenza di tutte le procedure di autenticazione richieste dalla normativa per garantire la sicurezza dell’operazione bancaria.
- Proporzionalità delle responsabilità: La valutazione della responsabilità è spesso proporzionata al livello di sofisticazione dell’attacco e al grado di diligenza richiesto sia alla banca sia al cliente.
Prospettive future
La questione della culpa in vigilando dell’Istituto Bancario e le esimenti date dal comportamento del Cliente nei casi di phishing è ancora questione in via di sviluppo ed in costante aggiornamento, anche perchè ogni caso è a sé.
Ad esempio il Tribunale di Milano VI Sez. Civ. con sentenza del 9 agosto 2024 ha sottolineato che le aziende sono tenute ad adottare sistemi di protezione per i propri conti, ma questo non esime banche e operatori telefonici dall’obbligo di predisporre misure tecniche e organizzative adeguate per prevenire attacchi informatici, confermando la necessità di un approccio integrato alla sicurezza, dove ogni attore coinvolto deve assumersi le proprie responsabilità; pertanto il Tribunale meneghino ha condannato gli operatori al risarcire circa 163.000 euro a due aziende milanesi che avevano subito una serie di bonifici fraudolenti durante le vacanze di fine anno del 2020.
La Sentenza n. 3780 del 12 febbraio 2024 della Suprema Corte di Cassazione offre un’importante chiarificazione in materia di responsabilità degli istituti di credito nelle operazioni fraudolente eseguite mediante l’acquisizione illecita delle credenziali di accesso ai sistemi di home banking. Questa pronuncia ribadisce principi chiave relativi alla diligenza professionale richiesta agli istituti bancari e al regime probatorio applicabile nei casi di frodi informatiche, sostenendo che se una frode è resa possibile da una vulnerabilità del sistema di sicurezza bancario (ad esempio, mancata implementazione di autenticazione a due fattori o debolezza nei sistemi di rilevamento delle transazioni anomale), l’istituto può essere considerato responsabile per culpa in vigilando.
Come proteggersi dal phishing
Per ridurre il rischio di cadere vittima di phishing, l’ABI e le istituzioni bancarie consigliano:
- Non cliccare su link sospetti o fornire informazioni personali via email, SMS o telefono.
- Verificare sempre l’autenticità delle comunicazioni con gli enti coinvolti.
- Utilizzare sistemi di autenticazione avanzati, come l’autenticazione a due fattori (2FA).
- Mantenere aggiornati i dispositivi e i software utilizzati per l’accesso ai servizi bancari.
Conclusioni
Il phishing è un problema concreto che richiede attenzione sia da parte delle banche sia degli utenti. Le linee guida dell’ABI e la giurisprudenza italiana pongono le basi per una tutela efficace, bilanciando le responsabilità tra istituti bancari e clienti. Tuttavia, la prevenzione rimane l’arma più efficace: conoscere i rischi e adottare comportamenti prudenti è il primo passo per difendersi dalle truffe.
Se desideri ulteriori informazioni o assistenza in materia di sicurezza bancaria e tutela legale, non esitare a contattare il nostro studio. Siamo qui per proteggere i tuoi diritti.