La Corte di Cassazione ha determinato con una sentenza che, in determinati casi, il cliente di una banca che ha subito danni economici a causa di una truffa tramite il metodo del phishing attuato con mezzi che imitano comunicazioni dell’istituto di credito stesso deve essere risarcito.
Saranno proprio le banche stesse o, come nel caso specifico, le Poste o altri istituti che propongono prodotti simili al conto corrente, a doversi fare carico del risarcimento. La sentenze segue alcune decisioni di arbitrato finanziario che avevano dato ragione alle vittime di truffa e avevano costretto gli istituti di credito a pagare un risarcimento.
La sentenza della Cassazione: i clienti vanno risarciti in caso di phishing
La sentenza 3780/2024 della Corte di Cassazione sancisce che le banche sono obbligate ad adottare “soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento”, o potranno essere costrette a risarcire i propri clienti che hanno subito una truffa tramite il metodo del phishing.
La Suprema Corte ha respinto in questa specifica situazione il ricorso presentato da Poste Italiane contro un uomo che era stato truffato tramite una email. Poste è stata quindi condannata, come da sentenza di appello, al pagamento di 2.900 euro sottratti alla vittima da alcuni hacker.
Ciò che la sentenza sottolinea, come riportato attentamente nella motivazione, non è la colpa a priori dell’istituto bancario, in questo caso le Poste, ma un altro tipo di negligenza. Secondo quanto deciso, la banca non avrebbe fatto tutto il possibile per prevenire quanto accaduto, sia a livello informativo che a livello di precauzioni di sicurezza informatica.
Di conseguenza, in casi futuri, soltanto quando il collegio difensivo riuscirà a dimostrare la grave colpa dell’utente nello sviluppo della truffa, potrà svincolarsi dal dovere di ripagare quanto è stato rubato dal suo conto corrente grazie al phishing.
Cos’è il phishing e come riconoscerlo
Spesso definito come un metodo di attacco informatico, il phishing è in realtà una strategia di ingegneria sociale. Il truffatore infatti non si introduce in nessun sistema informatico ma, tramite semplici mail, sms o telefonate, ottiene le credenziali di accesso a account, profili o anche conti corrente della propria vittima.
In queste comunicazioni, come accaduto nel caso della sentenza della Cassazione e di altri casi, come la decisione dell’arbitro finanziario di Verona di inizio febbraio 2024, il truffatore si spaccia per la banca della sua vittima. La mail è spesso creata con attenzione per ricordare, sia nel linguaggio che nelle immagini, quelle ufficiali, spesso anche utilizzando indirizzi mail dall’apparenza ufficiale.
Una volta approcciata la vittima, il truffatore la convince a seguire link che lo conducono a portali simili a quello degli istituti di credito e lì a inserire la propria password e codice cliente. Una volta commesso questo errore il conto corrente della vittima è pienamente vulnerabile.
Ci sono alcuni modi per difendersi da questo tipo di truffe, ma non trattandosi di attacchi informatici veri e propri, si tratta soprattutto di attenzione da parte sia dell’istituto di credito, che deve informare i propri clienti sui rischi di questo tipo, che del cliente stesso. Un consiglio può essere telefonare alla propria banca in caso si riceva una email che richiede l’inserimento delle proprie credenziali, in modo da verificare che si tratti realmente di una comunicazione ufficiale.
