L’istituto di credito deve rimborsare il proprio cliente qualora
la carta ricaricabile venga “svuotata” tramite operazioni di “hackeraggio”.
Una recente sentenza del Giudice di Pace di Lecce (sent. n.
97/2014) ha disposto, infatti, che il malcapitato correntista vittima di phishing, dopo essersi visto
svuotare interamente la propria carta di credito ricaricabile da un hacker, ha
ottenuto l’integrale ripristino della provvista. Il magistrato onorario ha
dunque condannato la banca per violazione
del codice della privacy e
per non aver predisposto un
sistema sicuro che garantisse al cliente l’accesso all’home banking.
Il codice privacy impone ad
ogni istituto di credito di garantire, ai propri clienti, un sistema di home
banking sicuro, con credenziali di accesso anti-phishing. Il
che implica la necessità dei cosiddetti sms-alert (messaggini
che avvisino di eventuali prelievi dalla carta) o del token (un sistema generatore di infinite password).
Se tali garanzie non vengono predisposte e non sono funzionanti,
la banca che fa home o internet banking è tenuta a risarcire il cliente vittima
dell’hacker che gli ha clonato la carta ricaricabile o comunque è riuscito ad
intrufolarsi nel suo account di home banking.
Nella sentenza in commento si ricorda che il codice della privacy impone, a chi è responsabile
del trattamento dei dati personali, di tutelare la riservatezza delle
informazioni, inclusi i codici di accesso alle provviste economiche on line.
Lo stratagemma messo in atto dal phisher è il
consueto: una mail nella casella di posta elettronica del correntista che lo
invita ad accedere urgentemente al proprio servizio di home bancking. In realtà, l’utente viene dirottato
verso una pagina in tutto identica a quella dell’istituto di credito, ma che è
invece una perfetta imitazione. Ivi, una volta immesse le credenziali di
accesso all’account, le stesse vengono “intercettate” dal criminale informatico
e usate successivamente per svuotare il conto (quello reale) del malcapitato.
Ebbene, se il sistema di sicurezza adoperato dalla banca risulta
debole e l’istituto non garantisce accorgimenti come sms-alert o la chiave
d’accesso token, che segnalino ogni singola operazione, il correntista potrebbe
non accorgersi mai di essere caduto della trappola del phishing. In
questi casi, dunque, l’istituto di credito deve essere condannato al
risarcimento del danno per mancata attuazione delle norme del codice della
privacy. La banca, peraltro, nei rapporti contrattuali con il cliente risponde
secondo le regole del mandato. E la
diligenza del “buon banchiere” richiede un livello di prudenza elevata quando si
ha a che fare con transazioni via web.