Skip to main content

La sicurezza informatica necessità di tutti

Una recente sentenza della Cassazione (7214 del 13 marzo 2023) ha posto in evidenza come, in caso di phishing, l’errore dell’utente possa avere una connotazione colposa tale da esonerare l’istituto di credito dalla responsabilità risarcitoria.

Si tratta di un principio ormai piuttosto affermato anche nelle pronunce dell’Arbitro Bancario e Finanziario e dei Tribunali di primo grado e che oggi è, così, affermato in sede di legittimità.

La vicenda riguardava una coppia di signori intestatari di un conto di Bancoposta presso Poste Italiane sul quale era stato fatto un addebito di 6000,00 euro grazie a un bonifico eseguito per via telematica da un terzo, il criminale informatico. I due hanno poi disconosciuto l’operazione bancaria, che però era stata effettuata utilizzando le loro credenziali di accesso. La ricostruzione dei fatti ha portato i giudici a ritenere che la causa esclusiva dell’addebito sia stata la condotta colposa dei ricorrenti, che avevano imprudentemente e negligentemente consentito al truffatore informatico di entrare in possesso dei codici personali, verosimilmente rispondendo a una e-mail fraudolenta.

Per quanto riguarda Poste Italiane, è risultato che i livelli di sicurezza adottati dalla società fossero tali da impedire accessi illeciti ai dati dei correntisti da parte di terzi, tanto da essere certificati secondo standard internazionali.

La Cassazione ha quindi confermato la sentenza della Corte di Appello, che aveva negato il risarcimento ai ricorrenti per via della loro condotta colposa. 

Un’altra recente pronuncia (Tribunale di Napoli, sentenza n. 10743 del 30 novembre 2022) fornisce alcune indicazioni interessanti sul rapporto tra responsabilità dell’istituto di credito e comportamento imprudente o negligente dell’intestatario del conto. A seguito dell’entrata in vigore del D. Lgs. 11/2010, per liberarsi da responsabilità il primo deve dimostrare sia di aver adottato tutti i sistemi di sicurezza ragionevolmente esigibili, sia la colpa grave del correntista nell’aver utilizzato in modo scorretto lo strumento di pagamento o non aver protetto adeguatamente le credenziali di accesso. Insomma, le modalità con cui si verifica la truffa e il comportamento dell’utente non sono affatto irrilevanti, seppur sia onere dell’istituto di credito provare la negligenza o imprudenza dell’intestatario del conto. Trattandosi di un elemento soggettivo, rilevano certamente anche le qualità personali dell’utente: nel caso deciso dal Tribunale di Napoli, ad esempio, il giudice ha concluso che la vittima della truffa, essendo un soggetto particolarmente qualificato (si trattava di un avvocato), avrebbe dovuto riconoscere le anomalie nella comunicazione che potevano fargli presumere la sua natura truffaldina. 

È chiaro che ormai la sicurezza informatica non può più essere una preoccupazione solo delle aziende. Viviamo in una società dove sempre più operazioni vengono svolte online e questo sta aumentando la superficie di attacco da parte dei criminali informatici, costringendo anche gli utenti meno esperti ad adottare sempre più complessi meccanismi di difesa. 

Certamente non si pretende che tutti sappiano sventare attacchi sofisticati, ma bisogna essere in grado di riconoscere alcuni segnali d’allarme diffusi (testo della mail pieno di errori di sintassi, link non riferibili all’istituto di credito). È quindi necessario avere almeno una consapevolezza sui rischi della rete per evitare di cadere vittima delle truffe più grossolane.


Prof. Avv. Marco Martorana
Professore a contratto Diritto della Privacy – Università Mercatorum
Coordinatore scientifico di ISDIFOG