Il c.d. phishing, termine traducibile in italiano come “spillaggio” e variante del termine inglese “fishing” (letteralmente pescare), previsto e punito dagli artt. 615 ter e 640 ter c.p., consiste in un’attività illegale perpetrata inviando comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, contenenti il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati, quali numero di carta di credito o password di accesso al servizio di home banking, motivando tale richiesta con ragioni di ordine tecnico o di sicurezza.

Questi dati vengono in seguito utilizzati fraudolentemente per acquistare beni, clonare carte di credito e/o di pagamento o disporre on line operazioni di trasferimento di denaro su conti correnti nella disponibilità dei criminali.

Accanto all’hacker, l’esperto informatico che si procura i dati della vittima, assume rilievo anche la figura del collaboratore “prestaconto” (cd. financial manager) che mette a disposizione un conto corrente per accreditare le somme illecitamente trasferite.

I reati perpetrati dalle due figure criminali, però, rimangono ben distinti.

A tal proposito, i Giudici di Piazza Cavour hanno precisato come il comportamento del “prestaconto” “è punibile a titolo di riciclaggio ex art. 648 bis c.p., e non a titolo di concorso nei reati con cui si è sostanziato il phishing (art. 615 ter e 640 ter c.p.), giacché la relativa condotta interviene, successivamente, con il compimento di operazioni volte a ostacolare la scoperta della provenienza delittuosa delle somme depositate sul conto corrente e successivamente utilizzate per prelievi di contanti, ricariche di carte di credito o ricariche telefoniche” (Cassazione penale, Sez. II, sentenza 9.02.2017 n. 10060).

Ma una volta accertato l’avvenuto raggiro del correntista, la banca coinvolta è tenuta a ripianare la perdita in conto corrente?

La risposta è positiva.

Infatti, gli artt. 10 e 11 del d.lgs. 27 gennaio 2010 n. 11 prevedono che, qualora l'utente neghi di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade sul prestatore del servizio (banca o istituto di credito), che nel contempo è obbligato a rifondere il correntista con “sostanziale immediatezza in caso di operazione disconosciuta”.

Facendo applicazione di questa normativa, poi, la Giurisprudenza di legittimità e di merito ha individuato i principi fondamentali in materia di phishing.

Così, nel 2014, il Tribunale di Milano, Sez. VI civile, con la sentenza del 4.12.2014, ha osservato che “nel rapporto contrattuale di home banking, la banca ha la veste di contraente qualificato che, non ignaro delle modalità di frode mediante phishing da tempo note nel settore, è tenuto ad adeguarsi all'evoluzione dei nuovi sistemi di sicurezza” (cfr., ex multis, Giudice di Pace di Campobasso, sentenza 03.05.2016 n. 277; Tribunale di Firenze, sentenza del 20.05.2014).

E ancora, il Giudice di legittimità ha affermato che “in tema di ripartizione dell'onere della prova, al correntista abilitato a svolgere operazioni "on line" che, alla stregua degli artt. 15 del d.lgs. n. 196 del 2003 e 2050 c.c., agisca per l'abusiva utilizzazione (nella specie, mediante illegittime disposizioni di bonifico) delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l'istituto creditizio risponde, quale titolare del trattamento di dati, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore” (Cassazione civile, Sez. I, sentenza 23.05.2016 n. 10638).

Da ultimo, la Sezione I civile della Corte di Cassazione, con la sentenza 03.02.2017 n. 2950, ha ricordato come “anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.

In conclusione, la vittima di phishing, che si sia vista “svuotare” il conto corrente ad opera di criminali informatici, ha il diritto ad essere immediatamente rifusa dall’istituto di credito di quanto illecitamente sottrattogli, avendo il solo onere di provare il danno denunciato.