Il furto di identità digitale come mostrano le indagini più note, è un fenomeno in forte crescita e che può essere realizzato tramite diverse azioni semplici o più complesse. Vi è da premettere che il termine furto di identità appartiene al linguaggio comune e non giuridico, per quanto interessa questo breve approfondimento il fenomeno verrà analizzato sotto il profilo del diritto civile e della legislazione applicabile al settore bancario volto ad individuare le responsabilità dei danni causati a correntista danneggiato.
In primo luogo occorre evidenziare che i professionisti che assisteno frequentemente clienti vittime di furti di identità si accorgono che purtroppo si tratta di un fenomeno dagli effetti devastanti per le vittime, non solo perché viene violata la loro identità personale e la propria riservatezza, ma soprattutto perché i tempi per recuperare questa identità sottratta possono richiedere anche alcuni anni e occorre comunque un monitoraggio continuato per un certo periodo dovuto al rischio di nuove azioni.
Tra le più note azioni illecite volte a sottrarre telematicamente dati al correntista vi è sicuramente phishing nel quale il correntista forniva inconsciamente a terzi i propri dati personali tramite email fasulle, inclusi password e nome utente, sono nate frodi sempre più complesse dal vishing che sfrutta la tecnologia internet, spesso realizzata tramite sistemi voip, call center, allo smishing nel quale i frodatori ottengono le password tramite semplici sms.
Purtroppo, tutte queste tattiche illegali sfruttano anche l’anello debole della catena, ossia il correntista che in qualche modo viene preso di mira ed al quale i frodatori sottraggono i dati personali utili per compiere la frode.
In tale contesto, la giurisprudenza ha effettuato un percorso iniziale nel quale il correntista era considerano parte posta sullo stesso piano contrattuale dell’altra, così fino a quasi tutto il 2009 queste erano le motivazioni maggiormente ricorrenti a sfavore del correntista vittima di furto di identità: dalla assenza di previsioni contrattuali volte a tenere indenne il cliente alla omessa dimostrazione delle vulnerabilità del sistemi informatici bancari, alla omessa dimostrazione delle modalità con le quali erano state sottratte le credenziali di accesso al servizio di home banking del correntista.
La pronuncia del Tribunale di Palermo del 20 dicembre 2009 è sicuramente tra le prime pronunce in Italia ad affrontare la questione sotto un’altra angolatura: “Nel caso di specie gli attori hanno provato l'esistenza del rapporto obbligatorio in forza del quale agiscono ed allegato l'inadempimento della convenuta, dal canto suo le (omissis) nulla hanno dimostrato in ordine al corretto adempimento delle proprie obbligazioni”. Pertanto, il giudicante ritiene il correntista viene visto come una parte debole del contratto tenuto a fornire la sola prova della fonte dell’obbligazione contrattuale e del danno subito.
Prescindendo dalla prova del danno sempre presente, il giudicante si trova a dover individuare il concreto significato di inadempimento, il quale si fa talvolta perfino coincidere con la prova della vulnerabilità del sistema informatico bancario, prova molto difficile da dimostrare lato correntista. D’altro canto, la prova dell’inadempimento dell’istituto bancario non può neppure consistere nel dimostrare inequivocabilmente che il sistema informatico sia inidoneo perché per verificare le vulnerabilità del sistema informatico della banca occorrerebbero in tal caso conoscenze tecniche specialistiche nonché supportare costi spesso troppo elevati per il correntista.
Seguendo questo approccio parte della giurisprudenza successiva al 2009 riconosceva che è l’istituto bancario, in qualità di titolare del trattamento, a doversi fare carico dei rischi connessi alla protezione dei dati personali ed in particolare lo stesso è tenuto ad adottare i migliori standard di sicurezza del settore bancario: “L’art. 31 del d.lgs. n. 196/2003 impone che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico […] Va, quindi, applicata nel caso di specie la previsione di cui all’art. 15 del d.lgs. 196/2003[…] Le […], non impedendo a terzi estranei di introdursi illecitamente nel proprio sistema hanno provocato un danno al proprio cliente”.Tale approccio viene accolto da numerose pronunce successive, sebbene il percorso argomentativo si appoggi talvolta sulla responsabilità da custodia, tal volta sulla disciplina sul mandato.
In tal senso è bene richiamare anche la recente pronuncia del Tribunale di Milano del 4 dicembre 2014, sez. VI, il correntista lamentava plurime operazioni non autorizzate sul proprio conto corrente, il quale presumibilmente vittima di phishing, aveva comunicato il disconoscimento delle stesse alla banca.
L’attore aveva chiesto il risarcimento dei danni patrimoniali ed extrapatrimoniali subiti per effetto della mancata adozione delle misure di sicurezza idonee a prevenire un utilizzo fraudolento dei dati personali del correntista, il Tribunale accoglieva le richieste dell’attore non avendo l’istituto bancario adottato l’elevato standard di diligenza richiesto (c.d. diligenza del buon banchiere).
Tuttavia, vi è da rilevare che nel corso degli ultimi anni le frodi sono diventate sempre più insidiose e complesse.
Tra queste la c.d. sim swap fraud merita certamente di essere analizzata anche perché di recente è stata sottoposta all’attenzione dell’organo giudicante. Lo schema della frode realizzata è piuttosto complesso, si realizza tramite disattivazione della sim card detenuta dal correntista e si sfruttano le debolezze di sistema di sicurezza bancari che forniscono al correntista la password tramite un sms, una semplice autocertificazione di smarrimento della sim presso il dealer telefonico, una carta di identità acquistata su internet a prezzo contenutissimo ed la frode è sostanzialmente realizzata.
Il Tribunale di Roma il 31 agosto 2016 pronunciandosi su caso di sim swap fraud ha condannato gli istituti di credito coinvolti ad un considerevole risarcimento dei danni patrimoniali, questo sulla base della normativa privacy e di quella sui servizi di pagamento nel mercato interno, il percorso argomentativo dell’organo giudicante anche qui si poggiava sul correntista visto come parte debole del rapporto contrattuale, il quale poteva pertanto giovarsi dell’inversione dell’onere della prova posta a carico dell’istituto di credito.
In primo luogo occorre evidenziare che i professionisti che assisteno frequentemente clienti vittime di furti di identità si accorgono che purtroppo si tratta di un fenomeno dagli effetti devastanti per le vittime, non solo perché viene violata la loro identità personale e la propria riservatezza, ma soprattutto perché i tempi per recuperare questa identità sottratta possono richiedere anche alcuni anni e occorre comunque un monitoraggio continuato per un certo periodo dovuto al rischio di nuove azioni.
Tra le più note azioni illecite volte a sottrarre telematicamente dati al correntista vi è sicuramente phishing nel quale il correntista forniva inconsciamente a terzi i propri dati personali tramite email fasulle, inclusi password e nome utente, sono nate frodi sempre più complesse dal vishing che sfrutta la tecnologia internet, spesso realizzata tramite sistemi voip, call center, allo smishing nel quale i frodatori ottengono le password tramite semplici sms.
Purtroppo, tutte queste tattiche illegali sfruttano anche l’anello debole della catena, ossia il correntista che in qualche modo viene preso di mira ed al quale i frodatori sottraggono i dati personali utili per compiere la frode.
In tale contesto, la giurisprudenza ha effettuato un percorso iniziale nel quale il correntista era considerano parte posta sullo stesso piano contrattuale dell’altra, così fino a quasi tutto il 2009 queste erano le motivazioni maggiormente ricorrenti a sfavore del correntista vittima di furto di identità: dalla assenza di previsioni contrattuali volte a tenere indenne il cliente alla omessa dimostrazione delle vulnerabilità del sistemi informatici bancari, alla omessa dimostrazione delle modalità con le quali erano state sottratte le credenziali di accesso al servizio di home banking del correntista.
La pronuncia del Tribunale di Palermo del 20 dicembre 2009 è sicuramente tra le prime pronunce in Italia ad affrontare la questione sotto un’altra angolatura: “Nel caso di specie gli attori hanno provato l'esistenza del rapporto obbligatorio in forza del quale agiscono ed allegato l'inadempimento della convenuta, dal canto suo le (omissis) nulla hanno dimostrato in ordine al corretto adempimento delle proprie obbligazioni”. Pertanto, il giudicante ritiene il correntista viene visto come una parte debole del contratto tenuto a fornire la sola prova della fonte dell’obbligazione contrattuale e del danno subito.
Prescindendo dalla prova del danno sempre presente, il giudicante si trova a dover individuare il concreto significato di inadempimento, il quale si fa talvolta perfino coincidere con la prova della vulnerabilità del sistema informatico bancario, prova molto difficile da dimostrare lato correntista. D’altro canto, la prova dell’inadempimento dell’istituto bancario non può neppure consistere nel dimostrare inequivocabilmente che il sistema informatico sia inidoneo perché per verificare le vulnerabilità del sistema informatico della banca occorrerebbero in tal caso conoscenze tecniche specialistiche nonché supportare costi spesso troppo elevati per il correntista.
Seguendo questo approccio parte della giurisprudenza successiva al 2009 riconosceva che è l’istituto bancario, in qualità di titolare del trattamento, a doversi fare carico dei rischi connessi alla protezione dei dati personali ed in particolare lo stesso è tenuto ad adottare i migliori standard di sicurezza del settore bancario: “L’art. 31 del d.lgs. n. 196/2003 impone che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico […] Va, quindi, applicata nel caso di specie la previsione di cui all’art. 15 del d.lgs. 196/2003[…] Le […], non impedendo a terzi estranei di introdursi illecitamente nel proprio sistema hanno provocato un danno al proprio cliente”.Tale approccio viene accolto da numerose pronunce successive, sebbene il percorso argomentativo si appoggi talvolta sulla responsabilità da custodia, tal volta sulla disciplina sul mandato.
In tal senso è bene richiamare anche la recente pronuncia del Tribunale di Milano del 4 dicembre 2014, sez. VI, il correntista lamentava plurime operazioni non autorizzate sul proprio conto corrente, il quale presumibilmente vittima di phishing, aveva comunicato il disconoscimento delle stesse alla banca.
L’attore aveva chiesto il risarcimento dei danni patrimoniali ed extrapatrimoniali subiti per effetto della mancata adozione delle misure di sicurezza idonee a prevenire un utilizzo fraudolento dei dati personali del correntista, il Tribunale accoglieva le richieste dell’attore non avendo l’istituto bancario adottato l’elevato standard di diligenza richiesto (c.d. diligenza del buon banchiere).
Tuttavia, vi è da rilevare che nel corso degli ultimi anni le frodi sono diventate sempre più insidiose e complesse.
Tra queste la c.d. sim swap fraud merita certamente di essere analizzata anche perché di recente è stata sottoposta all’attenzione dell’organo giudicante. Lo schema della frode realizzata è piuttosto complesso, si realizza tramite disattivazione della sim card detenuta dal correntista e si sfruttano le debolezze di sistema di sicurezza bancari che forniscono al correntista la password tramite un sms, una semplice autocertificazione di smarrimento della sim presso il dealer telefonico, una carta di identità acquistata su internet a prezzo contenutissimo ed la frode è sostanzialmente realizzata.
Il Tribunale di Roma il 31 agosto 2016 pronunciandosi su caso di sim swap fraud ha condannato gli istituti di credito coinvolti ad un considerevole risarcimento dei danni patrimoniali, questo sulla base della normativa privacy e di quella sui servizi di pagamento nel mercato interno, il percorso argomentativo dell’organo giudicante anche qui si poggiava sul correntista visto come parte debole del rapporto contrattuale, il quale poteva pertanto giovarsi dell’inversione dell’onere della prova posta a carico dell’istituto di credito.
