Il Tribunale di Milano, VI sezione civile, con questa sentenza in commento, emessa in data 4 dicembre 2014 è alle prese con il classico caso di phishing che vede come vittime due clienti–correntisti di una banca, i quali si sono trovati un addebito complessivo di ben € 10.210,60, a seguito di ripetute operazioni disposte nell’arco di sei giorni ad opera di ignoti, riusciti a penetrare nel servizio di home banking.

Come noto, il phishing è una tecnica informatica illecita finalizzata alla sottrazione dei dati personali di accesso ai conti correnti on-line, per compiere atti dispositivi in danno dei legittimi titolari, di cui carpiscono l’identità informatica; la modalità è ascrivibile per lo più all’ingannevole invio di mail, apparentemente provenienti dalla Banca con la quale è in corso il rapporto, che contengono l’invito al titolare di accedere al conto on line, con ciò comunicandone i dati di accesso personali e riservati, onde scongiurare temporanei asseriti problemi.

Di fronte a simili attività truffaldine nasce un interrogativo e cioè se sia configurabile una responsabilità dell’Istituto Bancario coinvolto e, in caso di risposta positiva, quale sia la responsabilità da contestare.  

Il Tribunale di Milano, nel caso di specie, cerca appunto di rispondere a tale interrogativo e non ha dubbi sulla responsabilità della Banca per carenza di adeguate misure di sicurezza che, invece, erano state adottate dagli altri operatori all’epoca in cui si erano verificate le indebite intrusioni.

Il Giudice, infatti, ha evidenziato che “dalle verifiche condotte dal CTU è emerso che dal 2005 in avanti le principali banche, in contesto europeo, asiatico e statunitensi, iniziarono ad adottare il sistema di autenticazione OTP (che consiste in un dispositivo in grado di generare una password usa e getta, comunemente indicata come one time password) nel servizio bancario on line, e che già nel 2007, come da rapporto allegato alla CTU, in Italia erano svariate le banche che avevano proceduto in tal senso (…). Si reputa con ciò che nel 2009, epoca delle operazioni di pirateria informatica di cui è causa, fosse gravemente in difetto P.I. per non essersi ancora adeguata agli standard di sicurezza dei sistemi informativi, non avendo adottato, nel servizio di “ home banking”, quel sistema di autenticazione basato su OTP, che all’epoca dei fatti costitutiva uno standard consolidato per la tutela dei clienti di banche dal phishing e dai programmi spia. Di ciò P. dovrà risponderne ai sensi dell’art. 1176 comma 2 c.c., secondo cui “nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata”.

Si ritiene opportuno segnalare, infine, che con il D. Lgs. N. 11/2010 (non applicabile dunque ratione temporis al caso de quo) è stata data attuazione nel nostro ordinamento alla Direttiva n. 2007/64/CE (anche nota come PSD Payment services directive). Tale atto normativo prevede che, salvo i casi di dolo o colpa grave, il cliente in caso di uso indebito dello strumento di pagamento conseguente a furto o a smarrimento e per i pagamenti eseguiti prima dell’invio della comunicazione all’intermediario di tali eventi, non può subire una perdita complessiva superiore ad € 150,00.