SERVIZI DI HOME BANKING: risarcibili i danni da phishing

Tribunale di Milano, VI sez. civile, 4 dicembre 2014

Trova ulteriore conferma l’orientamento della giurisprudenza di merito che valuta con rigore la responsabilità degli istituti di credito convenuti in giudizio da utenti titolari di servizi di home banking, che si siano visti derubati dei propri depositi.

La vicenda di cui si occupa il Tribunale di Milano prende le mosse dall’azione promossa da due fratelli, titolari di un conto corrente con attivo il servizio di home banking, i quali lamentavano che nell’arco di pochi giorni venivano effettuate da estranei su detto conto operazioni tali da prosciugarne la provvista, fatto di cui i due fratelli si accorgevano solo dopo alcuni giorni, provvedendo immediatamente a presentare querela penale e disconoscendo le operazioni incriminate.

Dopo avere esperito inutilmente il tentativo di conciliazione, i fratelli convenivano in giudizio l’istituto di credito per vedere accertata la sua responsabilità, contestando la mancata adozione di misure di sicurezza idonee ad evitare la sottrazione fraudolenta dei dati necessari per l’accesso al servizio di home banking e per l’effettuazione delle operazioni di disposizione.

Il giudice disponeva la CTU, ed il perito incaricato concludeva che i due correntisti fossero stati vittima di “phishing”, ovvero di quella tecnica informatica illecita finalizzata alla sottrazione fraudolenta dei dati personali in accesso ai conti correnti on line, da utilizzare per compiere atti dispositivi in danno dei legittimi titolari, di cui viene carpita l’identità informatica.

Il CTU prosegue affermando che tale tecnica di frode informatica è da tempo diffusa e oggetto di attenzione da parte degli istituti di credito, che per la maggior parte hanno messo in atto politiche di prevenzione, quali l’adozione di tecniche OTP – “one time password”.

L’istituto di credito convenuto nel giudizio de quo non si sarebbe al contrario adeguato agli standard tecnici di sicurezza più avanzati e per questo motivo, a parere del giudice di Milano, deve essere ritenuto responsabile ai sensi dell’art. 1176, comma 2 c.c.; ovvero in adempimento del contratto di apertura del conto corrente ed attivazione del sistema di phishing, la banca, contraente qualificato, avrebbe dovuto garantire la sicurezza del sistema e quindi adeguarsi all’evoluzione dei nuovi sistemi di sicurezza, già adottati dalla maggior parte degli operatori bancari.

Accertata la responsabilità contrattuale della banca, la stessa è stata condannata al risarcimento dei danni patrimoniali e non patrimoniali subiti dai correntisti.