STUDIO LEGALE Avv.
STEFANO COMELLINI BOLOGNA |
|
Diritto Industriale | Diritto dell’Informatica | varie |
|
|
Sicurezza Informatica: "Phishing" e
responsabilità della Banca |
Alcuni stralci
di recenti decisioni giurisprudenziali in tema di "Phishing" e sulle responsabilità dell’Istituto
Bancario (nello specifico, si tratta di Poste Italiane): 1)
<Nell’espletamento dei servizi di pagamento tramite Internet … Poste Italiane è tenuta ad adottare
tutte le misure tecniche idonee a garantire un adeguato standard di sicurezza
nell’effettuazione dei pagamenti, in moda da impedire l’accesso di soggetti
non abilitati al sistema ed evitare danni ai clienti. Nel
caso si specie, è evidente la colpa di Poste Italiane. Essa stessa
ammette che l’operazione “veniva segnalata tempestivamente dai sistemi di
monitoraggio anti-frode della società Poste Italiane poiché disposta da
indirizzo IP difforme da quello utilizzato normalmente dal cliente”. … “in
particolare l’indirizzo IP identifica univocamente la connessione da uno
specifico PC (o altro dispositivo telematico) alla rete; tutte le operazioni
disposte on-line sono contrassegnate da un indirizzo IP di esecuzione: i
sistemi anti-frode di Poste Italiane S.p.A. allarmano le transazioni disposte
da un cliente mediante un indirizzo IP difforme da quello abitualmente
utilizzato per disporre operazioni on-line”. Attesa
l’anomalia
dell’operazione, in quanto proveniente da indirizzo IP diverso da quello usualmente
utilizzato dal cliente, l’aver consentito il prelievo della somma in un lasso
di tempo così ristretto, senza aver verificato l’effettiva provenienza dell’ordinativo
dal titolare del conto, costituisce
senz’altro negligenza inescusabile tale da fondare l’affermazione di
responsabilità di Poste Italiane S.p.A., tenuta, quindi, al risarcimento del
danno patito …> (Tribunale di Siracusa, ordinanza
15 marzo 2012) 2)
<Poste Italiane,
come qualsiasi altro operatore bancario, nei rapporti contrattuali con il
cliente “risponde secondo le regole del mandato” (art. 1856 cod. civ.) e la diligenza cui è tenuta va
valutata con particolare rigore. In particolare, con specifico
riferimento all’utilizzazione di servizi e strumenti, con funzione di
pagamento o altra, che si avvalgono di mezzi meccanici o elettronici, è fondamentale, ai fini della
configurazione di relative responsabilità, la verifica dell’adozione da parte
dell’istituto delle misure idonee a garantire la sicurezza del servizi> (Tribunale di Firenze,
sentenza 20 maggio 2014) 3)
Premesso che il Phishing è quella <tecnica informatica illecita
finalizzata alla sottrazione fraudolenta dei dati personali di accesso ai
conti correnti dei legittimi titolari, di cui carpiscono l’identità
informatica<,
Poste Italiane S.p.A. <è da ritenersi, all’epoca delle compiute operazioni
di pirateria, gravemente
in difetto <per
non essersi ancora adeguata agli standard di sicurezza dei sistemi
informatici,
non avendo adottato, nel sistema di home banking, quel sistema di
autenticazione basato su OTP che all’epoca dei fatti costituiva uno standard
consolidato per la tutela dei Clienti di banche dal phishing
e dai programmi spia< (Tribunale di Milano, sentenza 4 dicembre 2014) (4 maggio 2016) |
|
|
|
Diritto Industriale | Diritto dell’Informatica | varie |