Phishing, Cassazione: la responsabilità è del cliente. Banche salve

Con sentenza numero 7214 del 13 marzo 2023 la Cassazione ha stabilito le responsabilità in caso di phishing, optando per fare ricadere ogni addebito sul truffato e non sulla banca. Benché non stupisca, è una sentenza che stabilisce in modo definitivo i ruoli dei soggetti coinvolti ed è stata accolta con favore dall’Associazione bancaria italiana (ABI) che ha già provveduto a inviare una circolare ai propri associati, affinché la decisione della Cassazione sia nota e condivisa.

Cos’è il phishing

È una truffa a tutti gli effetti tramite la quale dei malintenzionati, spesso associazioni criminali, riescono a farsi dare dalla vittima designata i codici di accesso alle proprie relazioni bancarie, di norma creando situazioni di stress per fare in modo che il malcapitato non abbia tempo e modo di riflettere.

Per esempio, un sedicente operatore della banca contatta la vittima sostenendo che è necessario intervenire immediatamente sul suo conto corrente al fine di scongiurarne un blocco imminente dovuto ad attività sospette.

Fino a oggi, in assenza di regole e sentenze chiare, le vittime in molti casi hanno ottenuto la piena collaborazione delle banche, rientrando in possesso del maltolto. La sentenza della Cassazione però traccia in modo chiaro che non sarà più così in futuro.

La sentenza della Cassazione

Nel caso specifico un cittadino si è rivolto alla giustizia ordinaria per ottenere il rimborso in seguito a un’operazione fraudolenta sul proprio conto corrente. Il giudice di primo grado ha accolto la sua richiesta, condannando la banca al rimborso. La Corte di appello di Palermo ha ribaltato la sentenza e altrettanto ha fatto la Cassazione.

Per il giudice di prima istanza la banca non avrebbe fatto tutto il possibile per scongiurare un’eventuale truffa ma, i gradi di giustizia superiore, hanno smentito tale ipotesi.

Ed è proprio il livello di sicurezza offerto dagli istituti di credito a fare da spartiacque e a corroborare la linea di difesa della banca coinvolta.

La sicurezza e la direttiva Psd2

La direttiva Psd2, entrata in vigore nel 2018, ha dato venti mesi agli attori coinvolti per adeguarsi alle nuove norme, tra le quali un aumento della sicurezza delle transazioni online. Di fatto, in pratica, ogni operazione svolta su un conto corrente deve essere autorizzata senza ombra di dubbio da chi ha diritto a operare sul conto stesso. A tale proposito l’istituto di credito attua delle misure – tipicamente dei codici che il cliente deve inserire – affinché sia chiaro e ineluttabile che c’è una senziente volontà di concludere la transazione in corso.

Le truffe e le difese

Non c’è soltanto il phishing, ma anche l’hacking. Le carte di credito ingolosiscono i cyber criminali, tant’è che l’Italia è tra i Paesi che contano più vittime di truffe. In ogni caso l’unica misura difensiva sono la discrezione e la prudenza: mai comunicare dati sensibili – come codici d’accesso alle relazioni bancarie o postali – a persone le cui generalità non sono inconfutabilmente note e, quando si usa la carta di credito online, evitare di inserirne i dati in siti poco noti. Tutto ciò che si può comprare su un sito non troppo conosciuto può essere acquistato anche su portali di fama più accreditata.

Se la discriminante è il prezzo, vale sempre la regola aurea secondo la quale, quando un prodotto ha un costo troppo invitante per sembrare vero, probabilmente non è vero.