Phishing in Bancoposta, il tribunale non perdona

Poste Italiane S.p.a e` stata condannata con sentenza del 15 marzo 2012 dal tribunale di Siracusa per aver omesso un`adeguata vigilanza sul proprio software anti-frode. Quest`ultimo, infatti, e` stato neutralizzato da un ingresso fraudolento che ha permesso all`intruso, in brevissimo tempo, di appropriarsi di una cospicua somma ai danni di un correntista.

Nel caso di specie l`illecito prelevamento per il tramite del servizio di pagamento via internet non è stato contrastato nonostante il software anti-frode avesse rilevato l`accesso da parte di un indirizzo IP non confacente a quello del cliente.
Il rimprovero mosso nei confronti della convenuta non è consistito nel non aver rilevato l`accesso illecito ai dati del correntista, bensì nel non aver impedito lo step successivo all`ingresso, ossia il prelievo non autorizzato di denaro.
La ricostruzione dei fatti, incontestata dalle parti, ha mostrato il profilo colposo della condotta tenuta dalla convenuta desunto, in particolare, dall`aver consentito il prelievo della somma in un ristrettissimo lasso di tempo (1 minuto), senza prima aver verificato l`effettiva provenienza dell`ordinativo del titolare del conto.
Un atteggiamento, questo, tacciato dal giudicante di “negligenza inescusabile” fondante la responsabilità di Poste Italiane S.p.a. per tutti i danni patiti dalla parte attrice.
Il giudice siracusano, inquadrata la vicenda come un caso di “phishing”, ha rilevato la violazione dell`articolo 31 del Codice della Privacy (decreto legislativo n. 196 del 2003), ai sensi del quale i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l`adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Nell`individuare il responsabile del prelievo illecito dal conto della vittima (privata di ben 9.500 euro), il giudice ha richiamato anche l`articolo 15 dello stesso decreto (il quale colloca la responsabilità per il trattamento dei dati personali nell`ambito dell`articolo 2050 del codice civile, che, a sua volta, disciplina la responsabilità per l`esercente attività pericolose) in combinato disposto con il comma 2 dell`articolo 1176 del codice civile, cui accede, come noto, il concetto di diligenza professionale.
 
L`epilogo della vicenda è stata la condanna di Poste Italiane S.p.a., oltre che alle spese legali, al risarcimento dei danni patrimoniali (quantificati nella esatta somma illecitamente prelevata, unitamente alla rivalutazione) e non patrimoniali, posto che la vicenda ha causato al cliente un pregiudizio di natura morale.
La sentenza merita attenzione soprattutto per l`influenza che potrà avere sulle scelte processuali dei clienti rimasti vittima del “phishing”, molto spesso arresisi innanzi a (meticolose) giustificazioni fornite dai gruppi bancari che hanno portato, quando esternate in sede processuale, al rigetto delle domande risarcitorie.
Dalla decisione, infatti, traspare con evidenza l`insufficienza di strumenti di prevenzione utili al solo monitoraggio degli accessi, ma non altrettanto efficaci ad impedire i prelevamenti dai conti correnti.
Il che, con buona probabilità, indurrà gli istituiti di credito a rivedere la sicurezza dei programmi anti-frode, anche alla luce della candidatura dell`internet banking a sostituire in futuro gli ormai superati sportelli delle filiali.
 
(Sentenza Tribunale SIRACUSA 15/03/2012)
 
di Antonio Ciccia, Alessio Ubaldi 
 
``