Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9069 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Phishing 13.04.2023    Pdf    Appunta    Letti    Post successivo  

Phishing e la Cassazione: un caso che non fa precedente

Il caso: 6000 euro in un postagiro scompaiono per phishing

Il caso di cui all'ordinanza 7214 2023 della Cassazione I civile non fa precedente.

Per due motivi sui quali chiunque potrà concordare.

  1. Le cause con le banche non si vincono usando solo il codice civile. La normativa bancaria speciale e' molto precisa sul phishing, bisogna pero' invocarla
  2. Per la Cassazione i servizi della banca si presumono sicuri. Vorrei che parlassero con gli esperti per approfondire la nozione di sicurezza informatica pur con certificazioni di ogni tipo.

Per il resto e' un provvedimento da conoscere per evitare talune strategie difensive.

Da notare che si tratta di postagiro ... ! E qui si aprono troppe domande per avere risposte.


Valentino Spataro

 

R

REPUBBLICA ITALIANA LA CORTE SUPREMA DI CASSAZIONE PRIMA SEZIONE CIVILE

Composta dagli Ill.mi Sigg.ri Magistrati ...

Oggetto rapporti bancari operazione on line Ud. 12/10/2020 Cc Cron. I Li R.G.N. 7061/2016 ha emesso la seguente


ORDINANZA sul ricorso n. 7061/2016

proposto da;
xxx xxx e xxx xxx, elettivamente domiciliati in Roma, xxx , presso lo studio dell'avvocato xxx , rappresentati e difesi dall'avvocato xxx xxx per procure speciali estese in calce al ricorso


ricorrenti contro


Poste Italiane s.p.a., in persona del suo legale rappresentante pro tempore, elettivamente domiciliata in Roma, Viale Europa, n.175, presso lo studio dell'avvocato Paola Fabbri che la rappresenta e difende, unitamente all'avvocato Salvatore Castellese per procura speciale estesa a margine del controricorso


controricorrente


avverso la sentenza n. 1782/2015 della Corte di appello di ..., pubblicata il 30 novembre 2015;
udita la relazione della causa svolta nella camera di consiglio del 12 ottobre 2020 dal consigliere...

FATTI DI CAUSA

1. Con sentenza emessa il 12 gennaio 2010 il Tribunale di xxx condannò la Poste Italiane s.p.a. a pagare ad xxx xxx e a xxx xxx euro 6.000, rivalutati anno per anno, oltre interessi, a titolo di risarcimento del danno loro cagionato da tale società nell'esercizio di attività bancaria per via telematica in conseguenza di addebito di euro 6.000 sul loro conto corrente bancario derivato da operazione di bonifico (c.d. "postagiro") eseguita per via telematica da un terzo; e ciò sul rilievo che la società convenuta non aveva adottato "tutte le misure di sicurezza tecnicamente idonee a prevenire danni come quelli verificatisi in capo agli attori".

2. Adita dalla parte soccombente, la Corte di appello di ..., in riforma della sentenza di primo grado, rigettò la domanda risarcitoria in quanto:

  • l'attività svolta da Poste, in quanto relativa anche a trattamento informatico di dati personali, è da considerarsi pericolosa (art. 15 del d.lgs. n. 196 del 2003 e art. 2050 cod. civ.) "in considerazione delle sempre più frequenti truffe informatiche (c.d. Phishing), miranti a carpire fraudolentemente i suddetti dati per il compimento di operazioni illecite, per lo più finalizzate, come nel caso di specie, all'accesso ai dati personali del correntista per il trasferimento di somme dal conto corrente dello stesso a quello di terzi";
  • dai dati acquisiti al processo risulta che Poste Italiane adottò "un sistema di sicurezza tale da impedire l'accesso ai dati personali del correntista da parte di terzi";
  • in primo luogo, risulta che gli appellati approvarono espressamente per iscritto l'art. 3 della Sezione "G" Bancoposta on line - relativo alla sicurezza del servizio bancario per via telematica - elencante i codici necessari per accedere al servizio (nella sentenza specificamente descritti);
  • inoltre, alla luce del contenuto dei documenti depositati dalla società appellante nel giudizio di appello ("indispensabile ai fini della decisione, ai sensi dell'art. 345, 3° comma c.p.c."), risulta che "i livelli di sicurezza dei sistemi informatici di Bancoposta "on line" di Poste Italiane s.p.a. sono stati "certificati" da appositi enti certificatori secondo i più rigorosi ed affidabili standard internazionali";
  • risulta dal contenuto di tali documenti che l'utilizzazione del servizio Bancoposta on line può avvenire "esclusivamente attraverso l'inserimento di vari codici segreti in possesso dell'utente e sconosciuti allo stesso personale di Poste Italiane";
  • l'operazione, eseguita per via telematica di trasferimento di euro 6.000 dal conto corrente di cui erano titolari gli appellati ad altro conto intestato a terzi "non può che essere avvenuta grazie all'utilizzo dei codici identificativi personali dell'xxx, il che, a sua volta, porta a ritenere che, assai verosimilmente, lo stesso sia rimasto vittima di una delle sempre più frequenti truffe informatiche, a seguito della quale l'appellato è stato indotto a fornire "on line" i propri codici personali (user id, password, pin), poi utilizzati dal truffatore (c.d. hacker) per il compimento dell'illecita operazione dispositiva";
  • nel foglio informativo a suo tempo ricevuto dagli appellati è precisato che "il cliente è responsabile della custodia e dell'utilizzo corretto dell'identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio e che la mancanza di precauzioni da parte del titolare nel mantenere segreti i suddetti codici può determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terzi";
  • inoltre, sul sito internet di Poste Italiane, agevolmente consultabile da xxx, "viene dedicato apposito spazio, nel quale vengono fornite le necessarie informazioni per evitare le frodi informatiche (in particolare il phishing), con l'avvertenza, in particolare, che Poste Italiane non richiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali e con le indicazioni necessarie per distinguere il sito internet autentico e protetto di Poste Italiane da quelli donati, nei quali l'utente è indotto a digitare i propri codici personali";
  • pertanto, "non può dubitarsi del comportamento decisamente imprudente e negligente dell'appellato, il quale ha digitato i propri codici personali (verosimilmente richiestigli con un e-mail fraudolenta), in tal modo consentendo all'ignoto truffatore di successivamente utilizzarli, per effettuare la disposizione sul conto degli appellati";

tale condotta colposa degli appellati "è stata la causa esclusiva dell'operazione postagiro, che ha determinato l'addebito della somma di € 6.000,00 sul loro conto" e "ha assunto i caratteri del caso fortuito, che ha interrotto il nesso eziologico tra l'attività pericolosa e l'evento dannoso, con conseguente esclusione della responsabilità dell'odierna appellante".

3. xxx xxx e xxx xxx chiedono la cassazione di tale sentenza con ricorso contenente cinque motivi di impugnazione, assistiti da memoria.

4. La Poste Italiane s.p.a. resiste con controricorso, assistito da memoria.

RAGIONI DELLA DECISIONE


1. Con il primo motivo i ricorrenti deducono che la sentenza impugnata omette di esaminare il fatto decisivo per il giudizio costituito dall'avere essi ricorrenti espressamente disconosciuto, nell'ambito del rapporto contrattuale fra loro e Poste Italiane, come a essi riferibile l'operazione contabile di addebito sul conto corrente di cui essi erano titolari della somma di euro 6.000, oggetto di ordine di bonifico in favore di terzi; con la conseguenza che era onere di Poste Italiane dimostrare che l'operazione disconosciuta era da "ricondurre...ai codici dispositivi e di accesso dei correntisti".


2. II motivo, per come dedotto, è inammissibile in quanto non attinente alla ragione fondante la decisione della Corte di appello, in quanto il "disconoscimento" dell'operazione da parte dei ricorrenti (id est, il non avere costoro impartito il 27 aprile 2005 a Poste Italiane l'ordine di bonifico di euro 6.000) costituisce il presupposto del ragionamento del giudice di merito, consistente nell'affermazione secondo cui: l'addebito della somma di danaro al conto corrente postale di cui i ricorrenti erano titolari costituì esecuzione di ordine di bonifico dato alla società previa utilizzazione di username, di password e di pin per l'accesso ai dati interni al conto corrente postale assegnati ai correntisti e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza; alla luce delle caratteristiche di sicurezza proprie del sistema informatico di Poste per l'esecuzione di operazioni bancarie per via telematica, vi era la prova, derivata da presunzioni, che tali username, pin e password, che i ricorrenti affermavano di non avere utilizzato per impartire tale ordine, vennero utilizzati da un terzo, previa loro illecita captazione.


3. Con il secondo motivo i ricorrenti deducono che la sentenza impugnata è caratterizzata da falsa applicazione degli artt. 1218 e 2697 cod. civ., nonché degli artt. 115 e 116 cod. proc. civ, "e dei principi in tema di responsabilità contrattuale e riparto dell'onere della prova", non avendo Poste Italiane, a fronte del disconoscimento dell'operazione da parte di essi ricorrenti, provato che l'addebito della sopra indicata somma di danaro "era frutto di una specifica disposizione di pagamento proveniente dai clienti stessi, mediante il corretto utilizzo della sua username e password".


4. Anche tale motivo è inammissibile perché, come detto, secondo la sentenza impugnata la prova, per presunzioni, della apparente provenienza dai ricorrenti dell'ordine di bonifico previa immissione nel sistema informatico di username, di password e di pin per l'accesso ai dati interni al conto corrente postale loro assegnati e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza; inferendo dunque che, a fronte del diniego dei ricorrenti di avere utilizzato tali dati identificativi per dare l'ordine di bonifico controverso, gli stessi dati fossero stati fraudolentemente, dapprima captati e, dappoi, in concreto utilizzati da un terzo.


5. Con il terzo motivo i ricorrenti censurano la sentenza impugnata per avere, con errata applicazione dell'art. 345 cod. proc. civ. (nel testo antecedente alla sua nel testo vigente prima della novella recata dalla legge n. 134 del 2012), "senza tenere conto della responsabilità contrattuale di Poste Italiane,ritenuto indispensabile per la definizione del giudizio il documento prodotto in sede di appello dall'appellante, ex art. 345 c.p.c., concludendo, sulla scorta di tale documento, che Poste Italiane S.p.a. avesse superato la presunzione di responsabilità di cui all'art. 2050 c.c.".


Secondo i ricorrenti, in particolare: tale documentazione non era affatto indispensabile ai fini della decisione in quanto in essa si menziona certificazione rilasciata dal RINA a Poste Italiane (peraltro non depositata nel giudizio di appello) relativamente al sistema di sicurezza del servizio telematico avente inizio successivo ai fatti di causa; con la conseguenza che non solo detta documentazione era inidonea a vincere la presunzione di cui all'art. 2055 cod. civ.; la sentenza impugnata non contiene alcuna motivazione alla base dell'affermata indispensabilità.


6. La censura è inammissibile, in quanto: non risulta dalla sentenza impugnata che fra le parti vi sia stata nel giudizio di appello discussione relativa ai documenti depositati per la prima volta in tale giudizio da Poste Italiane; la motivazione relativa all'affermata indispensabilità è implicita, dal momento che dal contenuto della sentenza risultava già acquisita al processo di primo grado la prova (desumibile dal contenuto del documento indicato nelle pagg. 4 e 5 della sentenza impugnata) che il sistema informatico di Poste Italiane relativo alle operazioni bancarie eseguite on line dai titolari di conto corrente era dotato di sistemi di sicurezza finalizzati a impedire che al conto potessero avere accesso persone estranee al rapporto, mentre il contenuto del documento menzionato dalla sentenza attesta la concreta idoneità di tale sistema a impedire accessi abusivi; la pag. 12 del documento n. 4 (depositato nel giudizio di appello da Poste Italiane) evidenzia che la certificazione menzionata dai ricorrenti era stata preceduta dalla utilizzazione, a far tempo dal 5 settembre 2002, di una nuova versione dello standard britannico di sicurezza denominato "BS 7799".


7. Nel quarto motivo i ricorrenti censurano la sentenza impugnata per violazione ovvero falsa applicazione degli artt. 115 e 116 cod. proc. civ., degli artt. 2050, 2697 e 2729 cod. civ., nonché degli artt. 40 e 41 cod. pen., non potendo (per le ragioni nell'atto indicate) ritenersi dimostrata, neppure per presunzioni, la condotta colposa dei danneggiati, idonea a interrompere il nesso di causalità fra attività pericolosa e danno subito; non avendo, in particolare, Poste Italiane "dimostrato che l'operazione disconosciuta...fosse stata compiuta mediante l'effettivo utilizzo ed inserimento delle credenziali di accesso dei ricorrenti (quand'anche acquisite fraudolentemente",


8. Anche tale motivo è inammissibile, in quanto la motivazione della sentenza impugnata contiene un compiuto ragionamento presuntivo e le critiche a essa mosse dai ricorrenti sono di merito, in questa sede non rilevanti.


9. Con il quinto motivo la sentenza di appello è dai ricorrenti censurata per violazione ovvero falsa applicazione degli artt. 115 e 116 cod. proc. civ. e dell'art. 2050 cod. civ., "nonché dei principi di valutazione delle prove", quanto all'accertamento del concreto funzionamento del sistema di sicurezza caratterizzante il sistema informatico di Poste Italiane. Secondo i ricorrenti, tale sistema di sicurezza era di modesto livello, risultando invece dal contenuto dei documenti depositati da loro depositati che Poste Italiane non aveva al tempo adottato tutte le misure idonee ad evitare il danno.


10. La censura, per come dedotta, è ancora una volta inammissibile in quanto con essa si sollecita (pagg. 24-27 del ricorso) una valutazione del merito delle acquisizioni istruttorie non consentito in sede di giudizio di legittimità.


11. L'accertata inammissibilità del ricorso comporta, in applicazione del principio di soccombenza, la condanna dei ricorrenti a rimborsare, col vincolo della solidarietà passiva, alla Poste Italiane le spese processuali da tale parte vittoriosa anticipate nel giudizio di legittimità, nella misura liquidata in dispositivo.

 P.Q.M.

dichiara inammissibile il ricorso e condanna i ricorrenti a rimborsare, con il vincolo della solidarietà passiva alla controricorrente le spese processuali da questa anticipate nel presente giudizio, liquidate in euro 200 per esborsi ed euro 3.000 per compenso di avvocato, oltre spese forfetarie pari al 15% del compenso, I.V.A. e C.P.A. come per legge.



 Dà atto che sussistono i presupposti previsti dall'art. 13, comma 1-quater, del d.P.R. n. 115 del 2002, inserito dall'art. 1, comma 17, della legge n. 228 dei 2012, per il versamento da parte dei ricorrenti, ove dovuto, di un ulteriore importo a titolo di contributo unificato pari a quello previsto per l'impugnazione.

Così deciso ìn Roma, nella camera di consiglio della Prima Sezione Civile della Corte, il 12 ottobre 2020.

Depositato in Cancelleria Roma, il 13.3.2023

13.04.2023 Valentino Spataro



Phishing - Due nuovi tipi di comunicazioni truffaldine - Bpay e Aruba
Un attacco di phishing sventato per un pelo - guida utilissima
Pretexting
Escroquerie en ligne: condannata la banca che non vigila i bonifici dei correntisti non profilati
Bec
La truffa: urgente e risolutiva
Phishing in breve - Come viene svuotato un conto
Phishing della settimana: costruito in fretta, plausibile
Il phishing della settimana: semplice, ordinario, senza errori
027 Come Controllare Le Comunicazioni E Difendersi Dal Phishing027



Segui le novità in materia di Phishing su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.031