La recentissima sentenza del Tribunale di Milano – sez. VI civile, datata 04.12.2014 – è solo l’ultima in ordine cronologico di una nutrita serie di pronunce del giudice di merito degli ultimi anni, diktat tutti espressione di ferma condanna dell’operatore creditizio di volta in volta convenuto in giudizio dal (o dai) correntisti danneggiati dall’indebita intrusione nel proprio account in home banking e conseguente sottrazione di somme di denaro dal proprio conto corrente on line, laddove avvenga per mano di hacker introdottisi impunemente nell’account dei medesimi attraverso tecniche cc.dd. di “phishing” – che altro non è se non l’uso illegittimo di strumenti telematici come e-mail e siti web, appositamente artefatti, in modo da trarre in inganno il malcapitato e carpirne così informazioni riservate e dati personali (pin, codici segreti, password, etc.).
Ciò che nei casi in questione, costantemente, viene addebitato all’operatore professionale è la violazione degli obblighi concernenti la predisposizione di dispositivi di sicurezza idonei ad evitare decodificazioni hackeristiche, e di talché intrusioni, sin troppo agevoli, nei sistemi di home banking.
Non solo. Anche laddove la banca si adoperi ed adotti misure di protezione in linea con gli standard del settore, può comunque essere chiamata a ristorare, in virtù della disciplina sui servizi di pagamento, il depauperamento sofferto dal correntista allorquando i pirati informatici, per impossessarsi delle credenziali, si siano avvalsi di metodi particolarmente sofisticati che, allo stato, non sono né riconoscibili né neutralizzabili dal cliente medio.
Ma andiamo per ordine. La questione sotto la lente di ingrandimento del giudice meneghino prende le mosse dalla vicissitudine accaduta a due correntisti, i quali, “inciampati” in una truffa informatica artefatta ad hoc, si erano visti prosciugare il conto proprio a seguito di una serie di operazioni disposte da terzi ignoti riusciti a penetrare nel loro account in home banking. Resisi conto delle malefatte, a danno ahimè subito, provvedevano a disconoscere tempestivamente le movimentazioni sul conto e a sporgere denuncia all’autorità giudiziaria affinché indagasse per scoprire gli autori del reato commesso. Inoltre, fallito il tentativo di comporre bonariamente la vertenza, veniva evocato in giudizio l’istituto creditizio con l’accusa di aver omesso l’adozione di idonee misure di sicurezza del sistema informatico, agevolando così la condotta criminosa degli hacker.
Ebbene, nel caso in questione – in linea con i giudizi già resi da Trib. Firenze 20 maggio 2014, Trib. Verona 2 ottobre 2012, Trib. Nocera Inferiore 18 febbraio 2011 –, l’intermediario finanziario è stato dichiarato responsabile a titolo contrattuale in primo luogo per il difetto di adeguamento dei propri sistemi agli standard di sicurezza generalmente adottati, all’epoca dei fatti, dagli altri operatori. Infatti, l’utenza del servizio di home banking dell’istituto creditizio poi condannato non usufruiva di dispositivi di sicurezza come il One Time Password – meglio conosciuto con l’acronimo OTP –, programma in grado di generare all’uopo una password usa e getta.
Alla violazione dell’obbligo di garantire la sicurezza del sistema con l’impiego di idonei strumenti di crittografia – obbligo previsto in capo all’istituto in via negoziale (attraverso una specifica clausola contrattuale) – si affianca un ulteriore inadempimento allorquando l’operatore professionale, dopo le prime operazioni sospette, non sia stato in grado di reagire tempestivamente impedendo la prosecuzione dell’attività illecita e attenuando, almeno, il danno.
Peraltro, nella giurisprudenza di merito concernente situazioni analoghe, si rinvengono condanne risarcitorie ove stati valorizzati obblighi nascenti da alcune normative settoriali. In particolare, la responsabilità della banca è stata fondata sul mancato rispetto della disciplina in materia di protezione dei dati personali (Trib. Siracusa, 15 marzo 2012; Trib. Palermo, 11 giugno 2011). A far data dal I marzo 2010 è poi invocabile, a tutela del cliente, la disciplina sui servizi di pagamento, che addossa al prestatore di tali servizi l’obbligo di assicurare che i dispositivi personalizzati che permettono l’utilizzo di uno strumento di pagamento non siano accessibili a soggetti terzi rispetto all’utilizzatore legittimato ad usare lo strumento medesimo. Sono chiare le ricadute processuali delle scelte compiute, concordemente potremmo dire, da giudice e legislatore: nonostante diversi siano i regimi di inquadramento della fattispecie in esame, comune è il risultato dell’alleggerimento dell’onere probatorio gravante sul cliente.
In conclusione, l’istituto creditizio che offra il servizio di home banking viene a trovarsi gravato da un onere non indifferente – sia sotto il profilo probatorio che, prima di tutto, nell’obbligo della predisposizione di misure di sicurezza idonee ad allontanare facili condotte fraudolente. Se vuole infatti neutralizzare il rischio di vedersi costretto a risarcire tutti i propri correntisti vittima di intrusioni hackeristiche e sottrazioni indebite non può che predisporre e soprattutto aggiornare i propri sistemi di sicurezza in modo da poter invocare l’esimente del“l’aver adottato tutte le misure idonee ad evitare il danno”.
Per quanto riguarda, invece, i profili di responsabilità addebitabili al pirata informatico eventualmente colto con le mani nel “sistema”, forse non tutti sanno che lo “smanettone” rischia grosso anche solo ad intrufolarsi nel profilo informatico altrui, è infatti passibile di non una ma più condanne penali: dal delitto di sostituzione di persona al reato di accesso abusivo ad un sistema informatico, senza dimenticare, laddove compia atti ingannevoli volti al raggiro del malcapitato, la fattispecie della truffa (Trib. Milano, 7 ottobre 2011), con pena maggiormente afflittiva, rischiando nello specifico sino a sei anni – vedi il reato di frode informatica aggravata di cui all’art. 640 ter, comma III, c.p.
Infine può essere interessante sapere che passibile di sanzione è altresì il c.d. financial manager, ossia il soggetto che viene assoldato dal phisher in funzione di ricevere sul proprio conto le somme prelevate dai soggetti ingannati, con lo scopo di ritrasferirle, poi, su conti nella disponibilità del phisher medesimo. Il financial manager, in ispecie, risponde a titolo di concorso nei reati predetti se ha agito con la consapevolezza della complessiva attività fraudolenta, studiata a scapito degli ignari correntisti; laddove tale consapevolezza manchi, o non si riesca a provare, si configurano a suo carico le diverse fattispecie di ricettazione o riciclaggio (a tal riguardo si veda Cass. pen., sez. II, 17 giugno 2011, n. 25960).