Con sentenza n. 14533 del 04 dicembre 2014 il Tribunale di Milano affronta il tema della responsabilità della banca nella prestazione del servizio di home banking, con particolare riguardo all’ipotesi in cui il cliente sia vittima di “phishing”.
Come noto, con tale termine si individua quella tecnica informatica illecita finalizzata alla sottrazione fraudolenta dei dati personali di accesso ai conti correnti online, da utilizzare per compiere atti dispositivi in danno dei legittimi titolari, di cui carpiscono l’identità informatica. Le modalità sono per lo più ascrivibili all’ingannevole invio di mail, apparentemente provenienti dall’istituto di credito con il quale è in corso il rapporto, che contengono l’invito al titolare di accedere al conto on line, con ciò comunicandone i dati di accesso personali e riservati, onde scongiurare temporanei asseriti problemi.
Nel caso di specie, il cliente lamentava il fatto che, già dal 2005 in avanti, le principali banche, in contesto europeo, asiatico e statunitensi, avevano iniziato ad adottare il sistema di autenticazione OTP (One Time Password, con password valida per pochi secondi) nel servizio bancario on line, e che già nel 2007 in Italia erano svariate le banche che avevano proceduto in tal senso.
A fronte di tali circostanze il Tribunale ha ritenuto che nel 2009, epoca delle operazioni di pirateria informatica oggetto di controversia, la banca fosse gravemente in difetto per non essersi ancora adeguata agli standard di sicurezza dei sistemi informatici, non avendo adottato, nel servizio di home banking, quel sistema di autenticazione basato su OTP, che all’epoca dei fatti costituiva uno standard consolidato per la tutela dei clienti dal phishing e dai programmi spia.
Laddove quindi nel contratto la banca si era assunta l’obbligo di garantire la sicurezza del sistema mediante idonei sistemi di crittografia dei dati di riconoscimento dell’utente, la stessa, non ignara delle modalità di frode mediante phishing da tempo note nel settore, era tenuta ad adeguarsi all’evoluzione dei nuovi sistemi di sicurezza informatici, altrettanto noti, idonei a contrastare il fenomeno.
Diversamente, non poteva ascriversi a mancata diligenza del cliente il fatto di non essere stato al corrente di tali modalità di frode, e conseguentemente di non essersi accorto che possibili mail di apparente provenienza di Poste fossero in realtà frutto di pirateria informatica e celassero l’intento truffaldino di carpire dati riservati.