Il Phishing è una vera e propria frode informatica, volta all’acquisizione abusiva delle credenziali di utilizzo relative a home banking e carte prepagate, attraverso il c.d. furto delle identità telematiche, consistente nell’appropriazione fraudolenta di codici (user id e passwords) identificativi di un dato soggetto, ovvero delle credenziali che lo stesso soggetto utilizza in ambito internet, allo scopo di conseguirne determinate illecite utilità.

Il phisher, attraverso l’invio di e-mail, apparentemente provenienti da enti o istituzioni reali, utilizza i dati in tal modo ottenuti per conseguire l’abilitazione all’accesso a determinati servizi on-line, assumendo virtualmente l’identità del legittimo titolare o utente vittima dell’attacco.

Accade sempre più spesso che vengano sostituite illecitamente le sim dei clienti (tramite una richiesta di sostituzione presso i centri abilitati delle compagnie telefoniche) al fine di ricevere direttamente i codici (OTP) sulla sim “clonata”.

In caso di verificazione di tale fattispecie l’Istituto di credito incorre in molteplici violazioni di legge quali:

• Violazione della Direttiva 200/64/CE del 13 Novembre 2007, art. 59, co. 2 la quale ha introdotto importanti principi generali in materia di servizi di pagamento nel mercato interno, successivamente trasfusi nel corpo del Lgs 11/2010 e precisamente all’art. 10, co. 1 e 2. Secondo tali disposizioni è attualmente onore dell’intermediario dimostrare la legittimità dell’operazione on line non autorizzata e la violazione, da parte del cliente, degli obblighi nascenti da contratto;
• Violazione del Lgs 196/2003 (Codice Privacy) secondo cui il gestore dei conti correnti online è tenuto a predisporre misure evolute per cautelarsi dal rischio di accessi non consentiti e non autorizzati. La responsabilità del gestore che contravviene a tali disposizioni (in particolare art. 15 e 31) è quella tratteggiata dall’art. 2050 c.c. che deriva dallo svolgimento di attività pericolose, configurabile, dunque, come responsabilità oggettiva.
• Violazione art. 1176, co. 2 c.c., per cui all’intermediario è richiesta, nello svolgimento delle proprie funzione, una diligenza professionale specifica, di natura tecnica, detta anche diligenza dell “accorto banchiere”.

In materia è ormai consolidata la posizione della Cassazione a favore del correntista/consumatore (Cass. N. 9158/2018) nonché quella dell’Arbitrato Bancario e Finanziario (ABF Decisione. 34 del 07 gennaio 2016).

L’onere della prova della riconducibilità della transazione al cliente è a carico dell’istituto di credito bancario / postale.

Ne deriva che in caso di mancanza di tale dimostrazione, la Banca rischia concretamente di dover risarcire il danno subito dal cliente vittima di una frode telematica.