| |
Phishing come illecito
civile
È bene tenere in considerazione la circostanza che il
phishing sarebbe quasi impossibile da realizzare al di fuori
dell’internet: all’interno della rete avviene l’iniziale
truffaldino invio dell’e-mail con cui si invita il
destinatario a recarsi presso il sito del proprio istituto
di credito; si consiglia di recarsi all’interno dell’area
del sito dedicata al proprio conto corrente, e quindi
compilare, eventualmente, ulteriori form. Sempre attraverso
la rete avviene la successiva raccolta delle informazioni da
parte del phisher e quindi la sottrazione del denaro
dell’utente.
Appare utile ricordare come l’art. 122 del D.Lgs. n.
196/2003 (Codice privacy) inibisca a chiunque la possibilità
di utilizzare «una rete di comunicazione elettronica per
accedere a informazioni archiviate nell’apparecchi terminale
di un abbonato o di un utente, per archiviare informazioni o
per monitorare le operazioni dell’utente», al contrario
di quanto pratica il phisher nel compimento del proprio
comportamento illecito.
Ricordando che per «abbonato» il codice intende
«qualunque persona fisica o giuridica, ente od associazione
parte di un contratto con un fornitore di servizi di
comunicazione elettronica accessibili al pubblico»
appare di tutta evidenza come il disposto normativo
dell’art. 122 del D.Lgs. n. 196/2003 riguardi senz’altro
anche i dati contenuti nei server degli istituti di credito,
dati utilizzati dal phisher –una volta che li abbia ottenuti
ingannevolmente dai legittimi titolari- per sottrarre il
danaro dell’utente o dell’abbonato e per trasferirlo presso
altri beneficiari.
Violando il disposto dell’art. 122 il comportamento del
phisher si appalesa come illegittimo in quanto contra ius, e
pertanto suscettibile di configurare in capo al phisher una
responsabilità civile extracontrattuale, ai sensi dell’art.
2043 del codice civile. Una volta individuato il
responsabile dell’illecito, questi sarà senz’altro tenuto al
risarcimento dei danni patrimoniali e non patrimoniali che
abbia eventualmente cagionato alla propria vittima.
Sempre restando in ambito civilistico, l’intera attività del
phisher si configura come un illecito trattamento di dati
personali dei soggetti colpiti dalla propria attività: i
dati vengono carpiti senza che vi sia un effettivo consenso
informato dell’interessato, anzi quest’ultimo non può sapere
che in realtà le informazioni che riceve dal phisher per
convincerlo a recarsi presso il proprio account sono
assolutamente false.
In base al disposto dell’art. 15 del codice privacy,
«chiunque cagioni un danno per effetto del trattamento di
dati personali è tenuto al risarcimento ai sensi dell’art.
2050 del codice civile». La formulazione della norma
tuttavia si presta a considerazioni ed a conclusioni
ulteriori, e per certi versi sorprendenti.
Se il fine della norma è quello di punire «chiunque»
cagioni un danno nell’ambito del trattamento, c’è da
chiedersi se una parte di responsabilità non sia
attribuibile anche agli stessi istituti di credito, vista
l’ampia gamma semantica della nozione di «trattamento»
che il codice prevede.
All’interno del procedimento che consente al phisher di
danneggiare le proprie vittime, un ruolo importante viene,
infatti, rivestito anche dalle banche che consentono (o
meglio non impediscono) a terzi estranei di accedere alle
informazioni relative a propri clienti.
Non è superfluo ricordare che, a mente dell’art. 31 del
codice, ogni titolare di un trattamento di dati personali
(qual è per l’appunto l’istituto di credito riguardo i dati
dei propri clienti) deve custodire e controllare i dati
personali trattati in modo da ridurre al minimo il rischio
di accessi non autorizzati agli stessi.
In particolare, prescrive il codice privacy, tale custodia e
tale controllo devono essere commisurati alla conoscenze
acquisite in base all’evoluzione del progresso tecnico,
oltre che del tipo di trattamento effettuato. Ergo, la
gestione di conti correnti on-line, piuttosto che off-line,
prevede per il titolare l’obbligo di predisporre misure
ulteriori ed “evolute” per cautelarsi dal rischio di accessi
non consentiti o non autorizzati. Ciò con particolare
riguardo ad un rischio “nuovo” per l’istituto di credito,
legato all’evoluzione del progresso tecnico in materia di
software per la realizzazione di pagine web, ovvero quello
di subire il pharming (ovvero una illecita “clonazione”) del
sito da cui vengono gestiti gli account dei propri clienti.
Anche questa omissione -ovvero la mancata vigilanza circa
l’esistenza di attività di pharming nei confronti del
proprio sito, ove esso sia, beninteso, possibile- potrebbe
riverberarsi sul proprio cliente come un’attività idonea ad
arrecargli un danno. Quindi, nell’ottica della dialettica
prevista dal testo unico sui dati personali, il danno
deriverebbe per effetto del trattamento effettuato dal
titolare-banca, nei confronti dell’interessato-cliente. In
tal caso potrebbe rivelarsi decisamente arduo per il
titolare fornire in giudizio la dimostrazione di aver posto
in essere ogni attività idonea ad evitare il verificarsi del
danno, come prescrive l’art. 2050 c.c., quando in realtà non
è stata posta in essere alcuna misura per evitare che il
proprio sito venisse clonato.
Tuttavia gli aspetti di natura civilistica passano
senz’altro in secondo piano rispetto ai profili di natura
penale legati al fenomeno.
Avv. Luca Bovino -
legal@anti-phishing.it |
