Trib. Milano Sez. VI, Sent., 04/12/2014 – phishing – truffa informatica – condanna della banca alla restituzione delle somme prelevate ed al risarcimento dei danni – trasferimenti non autorizzati – Mitm – Otp – operazioni di addebito non autorizzate

Con atto di citazione notificato in data 8.6.2012, i fratelli [………….] chiamavano avanti a questo Tribunale […….. s.p.a.], lamentando che, nel periodo dal 10.9.09 al 15.9.09 sul conto corrente (…) agli stessi cointestato, erano state effettuate plurime operazioni di addebito per il complessivo importo di Euro 10.216,60, operazioni dagli stessi non disposte e di cui si erano avveduti accedendo al conto il 18.9.09. quando verificavano l’impossibilità di operazione d’acquisto tramite carta bancomat per insufficienza del saldo; effettuato immediato disconoscimento delle suddette operazioni e proceduto il 19.9.2009 a tempestiva denuncia penale, vanamente esperiti tentativi di conciliazione, chiedevano accertarsi la responsabilità contrattuale ed extracontrattuale di […….. s.p.a.], cui contestavano la mancata adozione di misure di sicurezza e protezione idonee a prevenire la sottrazione e il fraudolento utilizzo dei dati personali necessari per accedere al servizio home banking […], ascrivendo ciò a violazione degli artt.31 e 33 del Codice della Privacy ( D.Lgs. n. 196 del 2003 ), ovvero a responsabilità ex art.2050 c.c..

Costituitasi in data 6.12.12, […….. s.p.a.] chiedeva il rigetto della domanda e negava la propria responsabilità, affermando che il sistema di sicurezza dalla stessa adottato doveva reputarsi conforme allo stato dell’arte e idoneo a garantire piena tutela ai propri clienti avverso potenziali truffe informatiche, e imputando l’evento alla negligenza dei clienti, che avrebbero incautamente rivelato a terzi i propri dati di accesso, o si sarebbero avvalsi, per l’esecuzione di operazioni in via telematica, di apparecchi sprovvisti di adeguati software di protezione.

Concessi termini per memorie ex art. 183 c.6 c.p.c., all’udienza del 7.3.13 il Giudice ammetteva CTU in punto verifica dei sistemi di sicurezza adottati da […….. s.p.a.], dandone incarico all’Ing. …….., che assumeva l’incarico all’udienza del 3.4.13 e depositava relazione finale il 18.10.13. All’udienza del 16.9.14, sulle conclusioni precisate come in epigrafe, il giudice tratteneva la causa in decisione, dando termini di giorni 45 per memorie conclusionali e ulteriori 20 per memorie di replica.

Motivi della decisione

Fondale si reputano le domande svolte dagli attori, nei limiti e sulla base delle argomentazioni che seguono.

Non sembra in primo luogo possa essere posto in discussione che le 13 operazioni dispositive che compaiono in addebito sul conto corrente dei fratelli […] nei giorni dal 10 al 15 settembre 2009 (unitamente all’addebito delle relative commissioni), siano operazioni dagli stessi non volute, imputabili all’operato truffaldino di soggetti terzi; non solo in tal senso vi è tempestiva denuncia penale degli interessati (del 19.9.09), ma la stessa modalità e tempistica delle operazioni, tutte avvenute on line, e la maggior parte ripetute nella stessa giornata (9 nella stessa data del 11 settembre), per importi pari al massimale consentito per singola operazione, sono indici evidenti di siffatto procedere delittuoso, che la stessa convenuta peraltro non pare contestare nello specifico, negando piuttosto di poterne essere ritenuta responsabile.

Ciò detto vengono in esame le approfondite verifiche condotte dal nominato CTU, il quale, sul presupposto che le operazioni suddette siano state effettuate utilizzando i codici di accesso nella disponibilità del solo correntista, mostra di escludere che ciò sia avvenuto, o in esito alla violazione da parte di soggetto esterno dei sistemi interni di sicurezza di […….. s.p.a.], ovvero tramite accesso al computer del correntista.

Quanto al primo profilo, inerente i sistemi interni di sicurezza di […….. s.p.a.] (ossia quei canali di diretta custodia informatica di […….. s.p.a.] necessari alla verifica di correttezza dei dati immessi dal cliente durante le fasi di accesso al sistema “home banking”), il CTU riscontrava che “i sistemi delle […….. s.p.a.] furono effettivamente e palesemente violati in ottobre 2009”, rilevando tuttavia che, in merito a evento successivo ai fatti di cui è causa, era in ogni caso da escludere che “tale attacco -fosse stato- preceduto da altri, silenti, che avessero avuto accesso a codici identificativi di titolari di conto corrente”, osservando che “questo fatto, se accaduto, avrebbe avuto dimensione ben diversa da quella di cui si sta trattando”, ossia si sarebbe esplicato in contemporanea su un numero ben maggiore di rapporti di conto corrente e con risonanza ben più ampia, e di ciò si rileva non esservi prova.

Quanto al secondo profilo, parimenti il CTU esclude quanto ipotizzato dal CT di P[…….. s.p.a.] che “il PC di controparte fosse totalmente controllato da ignoti”, affermazione che ritiene indimostrata. Ove invero si fosse trattato del c.d. “attacco di man in the middle -MITM”, dispositivo che, frapponendosi tra il computer del privato e quello della banca, “imbroglia l’elenco telefonico di internet e fa indirizzare a un suo computer le richieste che l’utente indirizza alla banca” (pag.8 relazione iniziale CTU), lo stesso sarebbe stato “ragionevolmente arginato dal fatto che i due interlocutori utilizzino il protocollo cifralo HTTPS, che prevede che il server remoto invii al PC dell’utente un documento elettronico che contiene la firma univoca del mittente e che non è contraffabile …il PC dell’utente può accorgersi della falsificazione e interrompere il contatto” (pag.7 relazione finale CTU). Ove invece si fosse trattato di “attacco di man in the browser -MITB, virus che si insinua nel programma che si usa per accedere a internet… e che intercetta i dati mentre vengono digitati“, ciò avrebbe indirizzato un’operazione di bonifico digitata dal cliente verso un conto complice “presentando a video dati congruenti con quanto digitato dall’utente”, il che tuttavia si sarebbe tradotto in fattispecie diversa da quella denunciata, perché avrebbe dato luogo a “operazioni diverse da quelle disposte dal cliente ovvero all’assenza di quelle disposte da lui”; in presenza invece di operazioni mai digitate dal cliente, il CTU ne deduce che “le transazioni truffaldine non furono generale da un dispositivo automatico che, insinuatosi nel PC del cliente o inseritosi nelle comunicazioni, modificasse al volo le disposizioni impartite verso la banca”.

Escluse le suddette ipotesi, il CTU conclude invece affermando che i due correntisti siano stati vittima di “phishing”, ossia di quella tecnica informatica illecita finalizzata alla sottrazione fraudolenta dei dati personali di accesso ai conti correnti online, da utilizzare per compiere atti dispositivi in danno dei legittimi titolari, di cui carpiscono l’identità informatica; la modalità è ascrivibile per lo più all’ingannevole invio di mail, apparentemente provenienti dall’istituto di credito con il quale è in corso il rapporto, che contengono l’invito al titolare di accedere al conto on line, con ciò comunicandone i dati di accesso personali e riservati, onde scongiurare temporanei asseriti problemi.

In merito a tale tecnica di frode informatica, il CTU rappresenta trattarsi di fenomeno sorto ben prima delle operazioni di cui è causa, e che da tempo era stato oggetto di attenzione da parte delle banche, che si erano progressivamente attivate adottando politiche a protezione dei propri clienti; in particolare, come da indagini di cui riporta le fonti di conoscenza, afferma il CTU che “sin dal 2003 si stavano diffondendo nel mondo bancario delle tecniche specificamente messe a punto per prevenire gli attacchi dei programmi spia e del phishing…sulla base della constatazione che il pirata utilizzava i codici sottratti in un momento diverso da quello della sottrazione …e che se fosse stato possibile abbinare a una transazione bancaria un codice legato, non solo all’utente, ma anche all’istante in cui la transazione era svolta, anche se tutti i codici fossero stati rubati dal pirata, sarebbe stato impossibile per lui riutilizzarli una seconda volta in un secondo momento”. Nascevano cosi le c.d. “password usa e getta …tecnicamente OTP “One Time Password”, valido per pochi secondi da quando compare… al disporre di un’operazione il sistema chiede di introdurre l’OTP, che è generata in quell’istante… il sistema controlla che l’OTP immessa sia corrispondente a quella che quell’utente doveva immettere in quell’istante… se difforme, la transazione è rifiutata… in questo modo il ladro informatico, per operare la truffa, dovrebbe rubare anche il dispositivo generatore delle OTP, cosa impossibile per via informatica”.

Dalle verifiche condotte dal CTU è emerso che dal 2005 in avanti le principali banche, in contesto europeo, asiatico e statunitensi, iniziarono ad adottare il sistema di autenticazione OTP nel servizio bancario on line, e che già nel 2007, come da rapporto allegato alla CTU, in Italia erano svariate le banche che avevano proceduto in tal senso, e in particolare si erano già attivate quelle che, come […….. s.p.a.], avevano massima diffusione in territorio italiano […]

Si reputa con ciò che nel 2009, epoca delle operazioni di pirateria informatica di cui è causa, fosse gravemente in difetto […….. s.p.a.] per non essersi ancora adeguata agli standard di sicurezza dei sistemi informatici, non avendo adottato, nel servizio di “home banking”, quel “sistema di autenticazione basato su OTP, che all’epoca dei fatti costituiva uno standard consolidato per la tutela dei Clienti di banche dal phishing e dai programmi spia”.

Di ciò […….. s.p.a.] dovrà rispondere ai sensi dell’art. 1176 comma 2 c.c. , secondo cui “nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata”. Si stima invero che nel rapporto contrattuale di “…” stipulato tra la banca e il cliente privato, nel quale […….. s.p.a.] garantiva “la sicurezza del sistema …mediante idonei sistemi di crittografia dei dati di riconoscimento dell’utente” (art.2 Sez. VI Condizioni contrattuali), fosse la banca il contraente qualificato che, non ignaro delle modalità di frode mediante phishing da tempo note nel settore, era tenuto ad adeguarsi all’evoluzione dei nuovi sistemi di sicurezza informatici, altrettanto noti, idonei a contrastare il fenomeno; non poteva invece ascriversi a mancata diligenza del cliente il fatto di non essere stato al corrente di tali modalità di frode, e conseguentemente di non essersi accorto che possibili mail di apparente provenienza di […] S.p.A. fossero in realtà frutto di pirateria informatica e celassero l’intento truffaldino di carpire dati riservati.

A tale ultimo proposito, si reputa che la mail 21.9.09 destinata a […] (doc. 5 attori), che verosimilmente era stata veicolo della truffa informatica perpetrata, non presentasse palesi evidenze di contraffazione, ciò in particolare agli occhi di un cliente comune, di cui non è provata alcuna qualificata competenza nel settore informatico, né tanto meno nel settore dell’informatica bancaria; trattasi invero di mail inviata alla [….] presso l’account fornitole da […….. s.p.a.] mail, dichiaratamente proveniente dal[…] e da un indirizzo mail ……… di non immediata riconoscibilità truffaldina, riportando il logo di quel …………….., che compare nella stessa documentazione contrattuale rilasciata ai correntisti (doc. 3 convenuta).

Parimenti e peraltro si rileva che, quella stessa procedura predisposta da […….. s.p.a.] per “Analisi indicatori di frode” (documento menzionato dal CTU come di provenienza del CT di parte convenuta) si rivelava inadeguata nel caso di specie (E’ curioso constare come tale sistema non ha rilevato la situazione palesemente anomala illustrata nella mia bozza …pur utilizzando criteri che nel caso in oggetto avrebbero potuto scattare” -pag.5 CTU definitiva); non veniva segnalata, ad esempio, “l’operazione disposta da un conto corrente con un indirizzo IP differente dall’operazione precedente, anche se eseguita in una giornata differente”, differenza che pure emergeva più volte se si guarda alla “Lista operazioni T(…) ” fornita da […….. s.p.a.] […]; tale mancato riscontro è quindi parimenti fonte di responsabilità da parte di […….. s.p.a.] , atteso che, ove tempestivamente intervenuto, avrebbe se non altro interrotto il procedere truffaldino, limitando l’entità dell’importo sottratto dal conto.

Affermata la responsabilità contrattuale di […….. s.p.a.] , la convenuta sarà tenuta a risarcire il danno riportato dagli attori, danno che, sotto il profilo patrimoniale, va individuato nell’importo di Euro 10.210,60, pari al totale dell’importo sottratto dal conto degli stessi in esito alle disposizioni truffaldine accertate; trattandosi di debito risarcitorio e quindi debito di valore, l’importo andrà annualmente rivalutato a decorrere dal 15.9.2009 (data ultima delle operazioni dispositive) sino alla presente pronuncia di liquidazione del danno.

Parimenti fondata si stima la richiesta degli attori di risarcimento del danno non patrimoniale dagli stessi riportato, valutandosi l’inevitabile sofferenza e preoccupazione degli stessi, in esito alla truffa informatica subita, nel constatare la perdita dell’intera provvista accreditata sul conto, danno che si liquida in via equitativa in Euro 800,00 ciascuno al valore attuale.

Le spese seguono la soccombenza e si pongono pertanto a carico della parte convenuta, liquidandosi le spese sostenute dagli attori ex D.M. n. 55 del 2014 . Parimenti a carico della parte convenuta vanno poste le spese di CTU, come liquidate con decreto 18/21.10.13.

P.Q.M.

Il Tribunale, definitivamente pronunciando in contraddittorio delle parti, ogni diversa o ulteriore domanda ed eccezione reietta:

1. condanna […….. s.p.a.] a risarcire a … , in solido tra loro,

– danni patrimoniali liquidati in Euro 10.210,60, oltre interessi legali sulla somma come annualmente rivalutata dal 15.9.2009 alla data della presente pronuncia, e interessi legali sull’importo totale dalla presente pronuncia sino al saldo,

– danni non patrimoniali liquidati in Euro 1.600,00, oltre interessi legali dalla presente pronuncia sino al saldo;

2. condanna […….. s.p.a.] a rifondere a ………….. , in solido tra loro, le spese di procedimento, liquidate in Euro 230,00 per esborsi ed Euro 4.835,00 per compensi professionali, oltre 15% rimborso spese generali, CPA e IVA di legge;

3. pone a carico definitivo di […….. s.p.a.]. le spese di CTU, come liquidate in decreto 18/21.10.2013.

Così deciso in Milano, il 4 dicembre 2014.

Depositata in Cancelleria il 4 dicembre 2014.

Trib. Milano Sez. VI, Sent., 04/12/2014

Share This

Copy Link to Clipboard

Copy