La progressiva diffusione dell'utilizzo dei conti correnti on line, se da un lato ha migliorato e facilitato le micro operazioni sui rapporti bancari, ha d'altro canto aumentato il rischio di comportamenti fraudolenti di accesso abusivo al conto corrente da parte di soggetti non autorizzati.
La catena telematica che lega la banca al correntista presenta due punti di attacco ai due vertici: da un lato il correntista e, dall'altro, la banca (o meglio, il sistema informatico di cui l'istituto bancario si è dotato).

Il cliente vittima del malintenzionato informatico

Ritenuto che le banche, per lo più, hanno attivato una serie di accorgimenti volti ad evitare che malintenzionati informatici possano forzare i sistemi di difesa del proprio sito, il punto debole dell'intero sistema è spesso rappresentato dal cliente.
Fra le tecniche d'attacco al cliente, quella di gran lunga più diffusa è quella rappresentata dal cd. "phishing".
La tecnica è per lo più ben nota, anche se nonostante i ripetuti avvisi molti utenti continuano ad “abboccarvi”: ogni utente viene costantemente bersagliato da false e-mail che simulano l'aspetto e i contenuti dei siti delle banche, lamentando un malfunzionamento ed invitando il malcapitato all'inserimento di tutti i dati di accesso (principalmente username e password).
Una volta inseriti i dati, il cliente viene reindirizzato al sito istituzionale del proprio istituto, in modo che non sospetti che i propri dati sono ormai finiti nelle mani sbagliate.
Successivamente, i malintenzionati (ormai in grado di accedere liberamente al conto della propria vittima), dispongono del conto a proprio piacimento, per poi rapidamente sparire nei meandri del cyberspazio.

Comportamento del phisher rilevante sotto il profilo penale

Il comportamento del "phisher" è sicuramente rilevante sotto il profilo penale (i reati più frequentemente contestati sono la sostituzione di persona - art. 494 cp. - l'abusivo accesso a sistema informatico - art. 615ter cp. - oltre, ovviamente, a quello di truffa - art. 640 cp.).

La prima pronunzia del Tribunale di Milano

Sotto il profilo civile, a più riprese correntisti gabbati da abili criminali telematici hanno tentato di chiedere al proprio istituto bancario di ripristinare la provvista sparita dai propri conti correnti.
Invero, ritenuto che il "phishing" nella sua accezione più frequente, è ritenuta addebitabile al correntista, il quale subendolo non fa altro che "consegnare le chiavi di casa" ad un estraneo malintenzionato; per tali ragioni la giurisprudenza ha assunto all'inizio un atteggiamento di generalizzato rigetto delle istanze del correntista.
Sul punto, si richiama una prima pronunzia del Tribunale di Milano, che ha negato il diritto al rimborso in favore del correntista, fatto salvo il caso in cui la banca abbia assunto un espresso obbligo contrattuale in tal senso (così il Tribunale di Milano, con ordinanza del 29 ottobre 2008).

La successiva giurisprudenza di merito

Solo successivamente la giurisprudenza di merito ha assunto delle posizioni di maggior tutela per il correntista, imponendo ad ogni istituto bancario l'adozione di idonee e preventive misure di sicurezza idonee ad evitare le ipotesi di accesso non autorizzato.

Carmelo Barreca
Silvio Motta