Poste Italiane condannata a risarcire il danno da phishing
(Una versione leggermente rivista di questo articolo è stata pubblicata su Diritto 24 de il Sole 24 Ore)
Con un’interessante sentenza appena pubblicata (sent. N. 14533/2014 del 5 dicembre 2014), il Tribunale di Milano ha condannato Poste Italiane a risarcire i danni subiti da due suoi correntisti vittime di phishing.
Il giudizio era stato promosso da due fratelli titolari di un conto “Bancoposte” cointestato che, nel 2009, si erano viste addebitate sul conto stesso operazioni per diverse migliaia di euro, svolte attraverso il servizio di home banking, da essi mai effettuate.
Gli attori imputavano alla convenuta la mancata adozione di misure idonee a prevenire la frode; la seconda replicava di avere adottato misure conformi allo stato dell’arte e sosteneva che l’accaduto dovesse addebitarsi alla negligenza dei primi, che a suo dire avevano incautamente rivelato a terzi i propri dati di accesso oppure avevano impiegato, nell’utilizzare il servizio di home banking, computer sprovvisti di adeguati software di protezione.
Il Giudice ha nominato un CTU per ricostruire l’accaduto e valutare la rispondenza allo stato dell’arte delle misure di sicurezza adottate dalla convenuta. Il perito, svolte le sue indagini, ha anzitutto escluso che i codici di accesso degli attori fossero stati sottratti mediante tecniche di intromissione nelle comunicazioni telematiche tra questi e il sito web della banca, oppure mediante accesso ai computer dei primi. Egli ha determinato che gli attori fossero rimasti, invece, vittima di un classico caso di phishing, realizzato mediante invio al loro indirizzo di posta elettronica di email apparentemente provenienti dall’istituto di credito, che li sollecitavano a comunicare i propri codici.
Secondo il CTU, questa particolare tecnica fraudolenta era già nota da ben prima del 2009 (epoca dei fatti) e in tale anno l’adozione di sistemi atti a prevenire questo tipo di frode, ad es. quelli basati su password usa-e-getta, erano ormai uno standard presso le banche.
Sulla base di queste valutazioni, il Giudice ha concluso che Poste Italiane, con riguardo alle garanzie di sicurezza prestate nel contratto con i correntisti, fosse venuta meno al dovere, ai sensi dell’art.1176 comma 2 c.c., di adempiere le proprie obbligazioni con un grado di diligenza professionale adeguato.
Secondo il Giudice la convenuta, come contraente qualificato, non poteva ignorare il fenomeno fraudolento descritto, e sarebbe stata tenuta ad adeguarsi all’evoluzione dei nuovi sistemi di sicurezza informatici, idonei a contrastarlo. Non potrebbe, invece, imputarsi a mancata diligenza degli attori il fatto di non essere stati al corrente di tali modalità di frode, e conseguentemente di non essersi accorti che possibili mail di apparente provenienza di Poste avessero lo scopo truffaldino di carpire dati riservati.
A tale ultimo proposito, il Giudice ha osservato che la mail individuata quale veicolo della truffa informatica era ben confezionata, non presentando evidenze di contraffazione palesi agli occhi di un cliente comune, privo di qualificata competenza nel settore informatico: si trattava di mail inviata a uno degli attori presso l’account fornitole dalla stessa convenuta, da un indirizzo mail “di non immediata riconoscibilità truffaldina”, riportante il logo usato dalla convenuta per il servizio di banca online.
Così affermata la responsabilità contrattuale di Poste, la convenuta è stata condannata a risarcire agli attori sia il danno patrimoniale (pari al totale dell’importo sottratto dal conto degli stessi in esito alle disposizioni truffaldine accertate), sia quello non patrimoniale, consistente nella “… sofferenza e preoccupazione degli stessi, in esito alla truffa informatica subita, nel constatare la perdita dell’intera provvista accreditata sul conto”, liquidato in via equitativa.