E’ di pochi giorni fa una sentenza della Corte di Cassazione che potrebbe cambiare l’orientamento di numerose sentenze finora dettate dai giudici di primo e secondo grado in tema di phishing. Si tratta di una particolare truffa informatica che colpisce i correntisti degli istituti di credito con conti on line.
Un tipo di truffa via Internet attraverso la quale i malintenzionati cercano di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi l’istituto di credito o un altro ente affidabile.
Si spacciano per qualcuno di cui il correntista si fida anche attraverso comunicazioni in tutto e per tutto sovrapponibili a quelle “regolari” e, anche attraverso alcuni trucchi psicologici come la notizia di un attacco hacker in corso al proprio conto corrente, spingono i titolari a dare le password che, ovviamente, vengono usate per prosciugare i conti.
Finora, in quasi tutti i casi di phishing, l’istituto di credito era chiamato a risarcire il correntista.
Invece la sentenza 7214 della Corte di Cassazione, proprio su un caso di frode informatica ai danni di un cliente di Poste Italiane, ha stabilito la non responsabilità dell’istituto di credito nel caso in cui sia il cliente stesso a rivelare i propri codici segreti.
Dunque, se viene accertato, come nel caso di Poste Italiane, che l’istituto di credito ha adottato un sistema di sicurezza che impedisce l’accesso ai dati personali del correntista da parte di terzi, ma la truffa si consuma solo dopo che sia il correntista stesso a fornire i propri codici segreti, l’istituto è sollevato dalla responsabilità e nulla deve di risarcimento.
Inoltre, nell’iscrizione al servizio bancario on line, si firma una postilla in cui il cliente è responsabile della custodia e dell’utilizzo corretto dell’identificativo, della parola chiave, del codice di attivazione e di quello di accesso al servizio e dunque deve adottare le precauzioni necessarie affinchè non vengano rivelate a terze che li utilizzano per operazioni fraudolente.
In sostanza, quando un correntista “casca” nella trappola del phishing e rivela i codici di accesso pensando di rivelarli a qualcuno della banca, viene ritenuto responsabile, seppur colposamente, dell’operazione fraudolenta.