Poste Italiane S.p.a e' stata condannata con sentenza del 15 marzo 2012 dal tribunale di Siracusa per aver omesso un'adeguata vigilanza sul proprio software anti-frode. Quest'ultimo, infatti, e' stato neutralizzato da un ingresso fraudolento che ha permesso all'intruso, in brevissimo tempo, di appropriarsi di una cospicua somma ai danni di un correntista.
Nel caso di specie l'illecito prelevamento per il tramite del servizio di pagamento via internet non è stato contrastato nonostante il software anti-frode avesse rilevato l'accesso da parte di un indirizzo IP non confacente a quello del cliente.
Il rimprovero mosso nei confronti della convenuta non è consistito nel non aver rilevato l'accesso illecito ai dati del correntista, bensì nel non aver impedito lo step successivo all'ingresso, ossia il prelievo non autorizzato di denaro.
La ricostruzione dei fatti, incontestata dalle parti, ha mostrato il profilo colposo della condotta tenuta dalla convenuta desunto, in particolare, dall'aver consentito il prelievo della somma in un ristrettissimo lasso di tempo (1 minuto), senza prima aver verificato l'effettiva provenienza dell'ordinativo del titolare del conto.
Un atteggiamento, questo, tacciato dal giudicante di “negligenza inescusabile” fondante la responsabilità di Poste Italiane S.p.a. per tutti i danni patiti dalla parte attrice.
Il giudice siracusano, inquadrata la vicenda come un caso di “phishing”, ha rilevato la violazione dell'articolo 31 del Codice della Privacy (decreto legislativo n. 196 del 2003), ai sensi del quale i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Nell'individuare il responsabile del prelievo illecito dal conto della vittima (privata di ben 9.500 euro), il giudice ha richiamato anche l'articolo 15 dello stesso decreto (il quale colloca la responsabilità per il trattamento dei dati personali nell'ambito dell'articolo 2050 del codice civile, che, a sua volta, disciplina la responsabilità per l'esercente attività pericolose) in combinato disposto con il comma 2 dell'articolo 1176 del codice civile, cui accede, come noto, il concetto di diligenza professionale.
L'epilogo della vicenda è stata la condanna di Poste Italiane S.p.a., oltre che alle spese legali, al risarcimento dei danni patrimoniali (quantificati nella esatta somma illecitamente prelevata, unitamente alla rivalutazione) e non patrimoniali, posto che la vicenda ha causato al cliente un pregiudizio di natura morale.
La sentenza merita attenzione soprattutto per l'influenza che potrà avere sulle scelte processuali dei clienti rimasti vittima del “phishing”, molto spesso arresisi innanzi a (meticolose) giustificazioni fornite dai gruppi bancari che hanno portato, quando esternate in sede processuale, al rigetto delle domande risarcitorie.
Dalla decisione, infatti, traspare con evidenza l'insufficienza di strumenti di prevenzione utili al solo monitoraggio degli accessi, ma non altrettanto efficaci ad impedire i prelevamenti dai conti correnti.
Il che, con buona probabilità, indurrà gli istituiti di credito a rivedere la sicurezza dei programmi anti-frode, anche alla luce della candidatura dell'internet banking a sostituire in futuro gli ormai superati sportelli delle filiali.
