Se il cliente è caduto vittima di un attacco di phishing, la responsabilità è sua che ha abboccato. Questo, in estrema sintesi, è il contenuto della sentenza numero 7214/2023 della Corte di Cassazione che ha assolto Poste Italiane, denunciata da due correntisti che avevano perso i loro risparmi sul conto perché vittime di un attacco di phishing. Ecco i dettagli.
L’attacco di phishing alla base della sentenza
L’attacco risulta molto semplice: una correntista aveva ricevuto un messaggio di phishing e, non riconoscendo la natura malevole della comunicazione, aveva fornito a ignoti lo username, la password e il pin del proprio conto Bancoposta online.
A seguito di ciò, la coppia titolare del conto aveva notato che sul conto compariva un’operazione svolta online relativa a un bonifico di 6.000 € verso terzi da loro mai autorizzato.
Da lì la richiesta di risarcimento a Poste Italiane per non aver bloccato l’operazione sospetta.
La vicenda giudiziaria
Inizialmente, il Tribunale di Palermo a cui si era rivolta la coppia, aveva dato ragione ai correntisti ritenendo che l’intermediario (Poste Italiane) non aveva adottato tutte le misure di sicurezza idonee a prevenire il fatto.
Di opinione diversa è stata invece la Corte d’Appello di Palermo, confermata dalla Suprema Corte, che ha assolto Poste Italiane che non aveva bloccato l’operazione svolta online dell’importo di 6.000 €.
Il motivo: l’operazione è stata effettuata utilizzando username, password e pin “assegnati ai correntisti e dei cui contenuti solo costoro avrebbero dovuto essere a conoscenza”. Quindi Poste Italiane non aveva alcun motivo per pensare che l’accesso fosse stato effettuato da persone non autorizzate.
È stata quindi la correntista che, comunicando i codici di accesso a terzi, ha messo in atto un comportamento “imprudente e negligente”.
La sentenza storica che determina un precedente valido per tutti
Tale sentenza, numero 7214/2023 della Corte di Cassazione, rappresenta un passo molto importante in quanto rappresenta:
- Uno scudo per tutti gli istituti di credito contro le richieste di risarcimento di clienti vittime di attacchi di phishing
- Una responsabilizzazione dell’utente, il quale non può più demandare interamente all’istituto di credito la responsabilità di proteggerli dalle truffe online. Come affermato infatti dalla Corte di Cassazione, è il cliente ad avere la responsabilità della custodia e del corretto utilizzo delle credenziali/dispositivo di accesso.
Vuoi insegnare ai tuoi dipendenti a difendersi dagli attacchi di phishing, sia nella sfera personale che professionale? Il nostro servizio di formazione in Cyber Security è pensato proprio per questo. Per maggiori informazioni, contattaci!
