IL QUESITO: il sig. Roberto R. ci pone un problema attuale. Ha ricevuto, sulla sua casella di posta elettronica, alcune mail che sembrano inviate dalla Banca ove è correntista, nelle quali gli vengono richieste informazioni sui  codici di accesso al proprio conto corrente. Insospettito, poichè la sua Banca non invia mai messaggi mail, ci chiede informazioni su queste truffe e le eventuali conseguenze legali.

COSA DICE LA LEGGE: il sig. Roberto ci propone il problema del "phishing" (che è una crasi tra le parole "fishing "- pescare- e "phone freaking"-manipolazione del sistema telefonico-).

Probabilmente tutti, ad un certo punto, abbiamo ricevuto una mail che appariva inviata dalla nostra Banca o dalle Poste Italiane, da CartaSi o addirittura da EBay, dove ci veniva segnalato un problema di accesso al sistema o  prospettato un regalo e che ci indirizzava ad un certo link, entrati nel quale ci venivano chiesti i dati sensibili del nostro conto corrente bancario o postale o delle nostre carte di credito.

Naturalmente queste mail non sono mai inviate dalla Banca o dalle Poste o dagli altri gestori sopra menzionati ed il link in questione non porta alla pagina del loro sito web ufficiale ma ad una copia falsa, che però, sia nella grafica che nell'impaginazione, è molto simile a quella vera. Questa pagina è situata su un server controllato dal "phisher" che memorizza le informazioni ricevute dall'utente e le utilizza per effettuare prelievi di somme dal conto corrente della vittima.

Questa condotta, come è ovvio, è punita penalmente.

Con la sentenza del’11 marzo 2011, la Corte di Cassazione, II sezione penale, ha affermato che si può ravvisare il concorso tra due reati: quello di accesso abusivo ad un sistema informatico e telematico (art. 615 ter codice penale) - perchè abusivamente il phisher si introduce nel sistema informatico o telematico (della Banca/Poste/altro gestore) protetto da misure di sicurezza ovvero vi si mantiene contro la volonta, espressa o tacita, di chi ha il diritto di escluderlo- e la frode informatica (art. 640 ter c.p.) - perchè, intervenendo su tale sistema informatico, con i codici in suo possesso, effettua prelievi di denaro e quindi "procura a se’ o ad altri un ingiusto profitto con altrui danno"-.

Si è anche detto che la condotta del phisher realizza un’ipotesi di concorso tra i delitti di truffa (640 c.p.) e di frode informatica (640 ter c.p.) in quanto il phisher, come nella truffa, con "artifizi o raggiri" induce in errore di un soggetto (con l’invio di mail che simula la pagina web di una banca/poste), mediante la quale entra in possesso dei suoi codici bancari; al contempo, interviene abusivamente sul sistema informatico della Banca o delle Poste (tipico del delitto di frode informatica), inserendo i dati appresi fraudolentemente per accedere al conto corrente della vittima e disporre prelievi a suo danno. Così il phisher realizza un ingiusto profitto con altrui danno, che sono gli eventi comuni ad entrambe le fattispecie delittuose degli artt. 640 c.p. e 640 ter c.p.

Da questo discende ovviamente il diritto della persona offesa ad essere risarcito, dall'autore del reato, di ogni danno patrimoniale subito.

Ma la Banca e gli altri gestori, sono obbligati a rimborsare al correntista/cliente le somme prelevate illecitamente?

Il rimborso, in questo caso, non è assolutamente automatico o scontato e dipende, essenzialmente, dalle condizioni contrattuali sottoscritte con la Banca o con gli altri gestori.

Spesso, anzi, le banche, nei contratti, prevedono delle clausole che le esonerano da ogni responsabilità nei casi in cui il cliente ometta la custodia dei codici di accesso o li comunichi a terzi.

Le sentenze di Tribunali, in genere, hanno accolto le difese delle banche e degli altri gestori ed hanno negato il rimborso delle somme  prelevate al cliente truffato, specie nel caso in cui egli aveva fornito i propri codici di accessi al conto, anche se in buona fede, in risposta alla falsa mail.

Tuttavia, in alcuni casi recenti, vi sono state pronunce opposte.

L'Arbitro Bancario Finanziario (ABF), l'organismo per la risoluzione stragiudiziale delle controversie tra banca e clientela, nella decisione 45/2010 resa dal collegio di Milano, ha precisato che anche la banca deve porre in essere tutte le operazioni possibili dalla tecnologia corrente per garantire la massima sicurezza dei conti ad essa affidati.

Ha quindi ravvisato un concorso di colpa tra la banca - per omissione dell'obbligo di custodia dei patrimoni dei clienti e per aver omesso le necessarie precauzioni ed i presìdi di sicurezza necessari per impedire l'evento dannoso- ed il cliente- per l'incauta custodia dei codici di accesso-. 

Così ha condannato la banca a rimborsare al correntista il 75% di quanto prelevato dai truffatori.

Il Tribunale di Palermo, con sentenza del 12.01.2010 n. 81 ha, invece, condannato le Poste a rimborsare integralmente il correntista truffato perchè il sistema operativo informatico fornito ai  clienti non era idoneo a impedire le violazioni della sicurezza (il Pin era di sole quattro cifre, l'identificativo utente era facilmente ricavabile etc...).

Ancora, l'Arbitro Bancario Finanziario (ABF) di Napoli, con decisione 482 del 2010, ha ribadito questo dovere di diligenza delle banche, citando le prescrizioni del D.Lgs. 27.01.2010 n.11 (che ha recepito la direttiva comunitaria in materia di sistemi di pagamento).

Comunque, non esiste ancora un indirizzo unitario e quindi le decisioni sono diverse, a seconda dei casi.

LA RISPOSTA DELL'AVVOCATO:

Se si è vittima di un'operazione di "phishing" bisogna avvertire immediatamente la Banca/Poste in cui si ha il conto, e bloccare le eventuali carte di credito. Inoltre va immediatamente presentata la denuncia penale all'autorità giudiziaria, perchè si possono  ravvisare i reati sopra descritti (truffa- art. 640 c.p.-, frode informatica - art. 640 ter c.p.- e accesso abusivo ad un sistema informatico- art. 615 ter c.p.-).

Sul piano civile, il rimborso delle somme prelevate, ed il risarcimento del danno è sicuramente dovuto dall'autore del reato (c.d. phisher) alla persona offesa (correntista).

Il rimborso della Banca/Poste al cliente, in ordine alle somme indebitamente prelevate, invece, non è automatico e le decisioni dei Tribunali, sul punto, sono contrastanti.

L'istituto di credito risarcisce, di norma, solo se questo rischio è stato previsto, con clausole specifiche, nelle condizioni di apertura del conto corrente.

In via preventiva, per correre meno rischi, si può chiedere alla Banca/Poste l'attivazione grautita del sistema "SMS Alert" che ci segnala sul cellulare ogni prelievo e operazione effettuata sul nostro conto corrente, in tempo reale.