Home banking e phishing: responsabilità e prevenzione

27/09/2016
di Leonardo

La Cassazione è intervenuta, con sentenza n.10638/16, su un caso di frode informatica che, nello specifico, ha coinvolto una cittadina ed il suo account di home banking. La captazione dei codici di accesso ha infatti causato una successiva emissione di un bonifico da parte di un istituto di credito a nome dell’ignara cliente.

Il fatto

security_23971676_xlQuest’ultima lamentava quindi il fatto che, dal suo conto corrente, fosse stato emesso un bonifico non disposto per sua decisione. Il bonifico oggetto di controversia era stato eseguito dall’istituto di credito con prelievo diretto della somma dal conto corrente della cliente. A seguito di ciò, la cliente agiva chiedendo il risarcimento dei danni dovuti ad un illecito trattamento dei dati nei confronti dell’istituto di credito, dinanzi al Tribunale di Milano in unico grado.

Il giudice del Tribunale di Milano aveva ritenuto non adeguatamente provati i fatti costitutivi, respingendo la domanda dell’attrice, in quanto

“il sistema implementato … non consentiva in sé, ai terzi, di venire a conoscenza dei dati necessari per compiere operazioni all’insaputa del destinatario”. Non ha quindi ritenuto possibile che l’operazione fosse stata disposta “senza che la correntista avesse comunicato i propri codici identificativi. […] il fenomeno di phishing, richiamato dalle difese e anche nella relazione del c.t.u., dovevasi considerare ininfluente, non essendo stato provato che l’attrice avesse subito attraverso la rete internet il furto dei dati personali.”

Quindi l’attrice non aveva adempiuto all’onere di provare il nesso di causalità tra il danno subito e l’attività di trattamento dei dati, pur considerata pericolosa ai sensi dell’art. 2050 c.c.

Inoltre il giudice aggiungeva che l’Istituto in questione si era accorta dell’anomalia, in quanto il bonifico era stato disposto da un computer diverso da quello abitualmente utilizzato dall’attrice, e aveva bloccato il conto corrente, previa comunicazione alla cliente interessata.

Successivamente, l’attrice ha impugnato la decisione dinanzi alla Corte Suprema di Cassazione che con la sentenza 23 maggio 2016 n. 10638 ne ha ribaltato il giudizio. Secondo la Cassazione

ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali”.

Inoltre, aggiunge che il criterio  per stabilire la responsabilità è di tipo “semioggettivo”, come dimostra il rinvio all’art. 2050 c.c. effettuato dall’art. 15 Codice Privacy. In questo caso

l’attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno”.

Protezione dei dati e misure di sicurezza

security_10279234_xxlTra le misure idonee ad evitare il danno, rientrano sicuramente quelle previste dal titolo V Codice Privacy (artt.31 -36), oltre alla regola generale, la quale prevede che:

“ in sede di trattamento dei dati personali, è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia ‘in relazione alle conoscenze acquisite in base al progresso tecnico’, sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento”.

Questo onere si traduce nell’utilizzo di misure di sicurezza e altre misure preventive, per ridurre e/o azzerare i rischi di eventi dannosi riguardanti l’accesso non autorizzato ai dati personali.

In base a quanto previsto dall’art.15 Codice della Privacy, il quale rinvia all’art. 2050 c.c., gli istituti che svolgono attività bancaria o finanziaria rispondono dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei codici di accesso, in quanto titolari del trattamento dei dati, salvo che non dimostrino che l’evento dannoso non è a loro imputabile per trascuratezza o errore dell’interessato oppure per causa di forza maggiore.

L’aspetto principale che emerge dalla sentenza della Suprema Corte è sicuramente quello riguardante l’onere di prova. Ai sensi dell’art.15 Codice Privacy, il quale rimanda all’art. 2050 c.c., spetta all’istituto di credito provare che l’evento dannoso non è a lui imputabile e al cliente spetta solo di provare il nesso causale tra il danno subito e l’attività. Tuttavia, dalla sentenza emerge un tema non meno importante dell’onere probatorio, ovvero il rapporto tra privacy e protezione dei dati.

Infatti, il problema oggetto di giudizio nasce, per appunto, da una non corretta applicazione delle misure di sicurezza, previste dal Codice Privacy. Già nel giudizio di primo grado, è emerso che il sistema di sicurezza dell’istituto di credito “non era sufficientemente efficace nella prevenzione di frodi informatiche, tanto da essere sostituito un paio di mesi dopo il fatto”.

È fuori di discussione che in questo caso non sono state applicate le misure di sicurezza necessarie a garantire la protezione dei dati configurando una grave negligenza da parte dell’Istituto di credito.

L’ordinamento italiano prevede una serie di norme molto stringenti in tema di protezione dei dati, tant’è che, possiamo tranquillamente affermare che la protezione dei dati è uno dei capisaldi della normativa Privacy. Inoltre lo stesso Codice prevede delle sanzioni pesanti per il mancato rispetto degli di standard di sicurezza. Risulta quindi quantomeno strano che i giudici milanesi non abbiano mosso appunti alla situazione di negligenza evidenziata limitandosi solamente a constatare il fatto.

In conclusione

security_6483826_xl

Privacy, sicurezza e protezione dei dati sono aspetti da considerare un sistema unico. La privacy deve essere garantita da misure di sicurezza efficienti, che i titolari del trattamento devono applicare tassativamente, in modo da evitare casi come quello della sentenza in oggetto, che in realtà, ad oggi, risultano molto frequenti.

L’introduzione del nuovo Regolamento Europeo sulla Data Protection (GDPR), assieme ai controlli effettuati dalle autorità, renderanno possibile valutare lo stato dell’arte presso enti ed imprese che conservano e trattano dati personali; è bene ricordare, inoltre, che la tipologia dei trattatamenti effettuati, anche in relazione al core business, sarà ritenuto criterio proporzionale nel determinare l’attenzione richiesta a livello di policy e best practices. Per tutti, ovviamente, vige l’obbligo di applicare le misure necessarie a garantire la protezione dei dati tratatti in modo da evitare casi analoghi a quello visto nella sentenza della Corte di Cassazione.

Tuttavia, alla luce dell’aumento dei fenomeni di phishing e più in generale delle frodi informatiche, anche il miglior assetto normativo possibile non può essere pienamente efficace in assenza di adeguata cultura e formazione di tutti i soggetti coinvolti: i titolari dei trattamenti, i responsabili, il top management, l’intero personale aziendale e i proritari stessi dei dati. La platea dei soggetti che navigano in rete è molto vasta e non tutti hanno delle conoscenze sufficienti per gestire situazioni di difficoltà. E’ auspicabile che le stesse imprese – assieme alle Autorità nazionali ed europee – percepiscano come di proprio interesse favorire la maturità di clienti e cittadini sulla tematica della sicurezza e della consapevolezza del valore dei propri dati. Un aspetto, quest’ultimo, richiamato in modo esplicito dalla recente normativa europea.

Riproduzione riservata ©

ALTRE NEWS

La “lunga gestazione” della fatturazione elettronica nei rapporti con la PA

La polemica sarebbe lo scontato avvio di questo articolo e invece la chiave di “scrittura” prescelta, molto più eloquente di ogni critica, è quella di… Leggi Tutto

Web marketing, brand protection e concorrenza sleale on-line

L’evoluzione tecnologica, ed in particolare la capillare diffusione di Internet, hanno comportato lo sviluppo di nuove tipologie d’impresa e di innovative modalità commerciali che oggi… Leggi Tutto

La legge sui cookie: hangout on air per fare chiarezza sullo stato dell’arte

Ad una settimana dall’entrata in vigore del provvedimento n.229, inerente “l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, che dal… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.