La suprema Corte di Cassazione si è espressa su un caso di frode informatica ai danni di un cliente di Poste Italiane stabilendo la non responsabilità dell’istituto di credito nel caso in cui sia il cliente stesso a rivelare i propri codici segreti.
Il caso nel dettaglio
Con l’ordinanza numero 7214 del 2023, la Corte è tornata su un tema molto dibattuto. Il caso trae origine da una sentenza emessa il 12 gennaio 2010 dal Tribunale di Palermo, il quale ha condannato Poste Italiane a ripagare a titolo di risarcimento una coppia di correntisti per un danno cagionato nei loro confronti. In particolare, i due erano stati frodati di 6mila euro tramite un’operazione di bonifico (c.d. “postagiro”) eseguita per via telematica da un terzo.
Secondo i giudici palermitani, la richiesta di risarcimento nei confronti di Poste Italiane era legittima perché “l’azienda non aveva adottato tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli subiti dall’uomo e dalla donna”.
La sentenza della corte di Cassazione
Di diverso avviso la Corte d’Appello e quella di Cassazione. Quest’ultima, infatti, ha ribaltato la decisione del Tribunale di Palermo dando massima importanza alla negligenza e all’imprudenza della vittima che, “collaborando” attivamente (anche se inconsapevolmente e in buona fede), vanifica di fatto tutte le misure di sicurezza messe in atto dalla banca. Secondo la Corte, dai dati acquisiti al processo risulta che Poste Italiane adotta un sistema di sicurezza tale da impedire l’accesso ai dati personali del correntista da parte di terzi. In particolare, sia l’accettazione da parte dei clienti del regolamento relativo alla sicurezza del servizio bancario per via telematica, sia i livelli di sicurezza dei sistemi informatici di “Bancoposta on line” certificati da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionali, sollevano la banca dalla responsabilità in caso di phishing.
La responsabilità dei clienti
Nel foglio informativo ricevuto all’atto dell’iscrizione del servizio bancario è precisato che “il cliente è responsabile della custodia e dell’utilizzo corretto dell’identificativo utente della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio, che sono in possesso dell’utente e sconosciuti allo stesso personale di Poste Italiane, e che la mancanza di precauzioni da parte del titolare nel mantenere segreti i suddetti codici può determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terzi”. Per questo, secondo i giudici di Palermo che rigettarono il ricorso e come confermato dalla Cassazione, “la condotta colposa degli appellati è stata la causa esclusiva dell’operazione postagiro che ha determinato l’addebito della somma di 6mila euro”. Anche l’informativa on line aiuta a scagionare la banca. A confermare la non responsabilità dell’istituto di credito, infatti, nell’ordinanza viene sottolineato come “sul sito internet di Poste Italiane viene dedicato apposito spazio, nel quale vengono fornite le necessarie informazioni per evitare le frodi informatiche (in particolare il phishing), con l’avvertenza, in particolare, che Poste Italiane non richiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto da quello clonato, nei quali l’utente è indotto a digitare i propri codici personali”.
Come prevenire il phishing
Per prevenire il phishing, gli utenti possono adottare alcune buone pratiche, come non fornire mai informazioni personali a siti web o a e-mail sospette, verificare sempre l’indirizzo web dei siti web a cui accedono, utilizzare password forti e aggiornare regolarmente il proprio software di sicurezza.
Ne parliamo qui in modo più approfondito.
Le banche e le istituzioni finanziarie, dal canto loro, possono adottare misure di sicurezza più avanzate, come l’autenticazione a due fattori, che richiede la verifica di un codice inviato tramite SMS o app per l’autenticazione prima di consentire l’accesso all’account bancario. Inoltre, alcuni esperti di sicurezza informatica hanno suggerito che le banche dovrebbero integrare l’utilizzo di tecniche di intelligenza artificiale per rilevare le attività sospette sui conti bancari dei clienti.
Business Defence consapevole dell’importanza di questi aspetti dal 2017 è certificata ISO 27001. La certificazione rappresenta lo standard internazionale che copre ogni aspetto della sicurezza informatica garantendo una gestione in piena sicurezza delle Informazioni per l’erogazione dei propri servizi e soddisfacendo a principi di confidenzialità, integrità e disponibilità.
Fonte: Wall Street Italia/Milano Finanza