Google+ Facebook Twitter Google Currents Tumblr


Phishing come illecito civile

È bene tenere in considerazione la circostanza che il phishing sarebbe quasi impossibile da realizzare al di fuori dell’internet: all’interno della rete avviene l’iniziale truffaldino invio dell’e-mail con cui si invita il destinatario a recarsi presso il sito del proprio istituto di credito; si consiglia di recarsi all’interno dell’area del sito dedicata al proprio conto corrente, e quindi compilare, eventualmente, ulteriori form. Sempre attraverso la rete avviene la successiva raccolta delle informazioni da parte del phisher e quindi la sottrazione del denaro dell’utente.

Appare utile ricordare come l’art. 122 del D.Lgs. n. 196/2003 (Codice privacy) inibisca a chiunque la possibilità di utilizzare «una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchi terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente», al contrario di quanto pratica il phisher nel compimento del proprio comportamento illecito.

Ricordando che per «abbonato» il codice intende «qualunque persona fisica o giuridica, ente od associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico» appare di tutta evidenza come il disposto normativo dell’art. 122 del D.Lgs. n. 196/2003 riguardi senz’altro anche i dati contenuti nei server degli istituti di credito, dati utilizzati dal phisher -una volta che li abbia ottenuti ingannevolmente dai legittimi titolari- per sottrarre il danaro dell’utente o dell’abbonato e per trasferirlo presso altri beneficiari.

Violando il disposto dell’art. 122 il comportamento del phisher si appalesa come illegittimo in quanto contra ius, e pertanto suscettibile di configurare in capo al phisher una responsabilità civile extracontrattuale, ai sensi dell’art. 2043 del codice civile. Una volta individuato il responsabile dell’illecito, questi sarà senz’altro tenuto al risarcimento dei danni patrimoniali e non patrimoniali che abbia eventualmente cagionato alla propria vittima.

Sempre restando in ambito civilistico, l’intera attività del phisher si configura come un illecito trattamento di dati personali dei soggetti colpiti dalla propria attività: i dati vengono carpiti senza che vi sia un effettivo consenso informato dell’interessato, anzi quest’ultimo non può sapere che in realtà le informazioni che riceve dal phisher per convincerlo a recarsi presso il proprio account sono assolutamente false.
In base al disposto dell’art. 15 del codice privacy, «chiunque cagioni un danno per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile». La formulazione della norma tuttavia si presta a considerazioni ed a conclusioni ulteriori, e per certi versi sorprendenti.

Se il fine della norma è quello di punire «chiunque» cagioni un danno nell’ambito del trattamento, c’è da chiedersi se una parte di responsabilità non sia attribuibile anche agli stessi istituti di credito, vista l’ampia gamma semantica della nozione di «trattamento» che il codice prevede.

All’interno del procedimento che consente al phisher di danneggiare le proprie vittime, un ruolo importante viene, infatti, rivestito anche dalle banche che consentono (o meglio non impediscono) a terzi estranei di accedere alle informazioni relative a propri clienti.

Non è superfluo ricordare che, a mente dell’art. 31 del codice, ogni titolare di un trattamento di dati personali (qual è per l’appunto l’istituto di credito riguardo i dati dei propri clienti) deve custodire e controllare i dati personali trattati in modo da ridurre al minimo il rischio di accessi non autorizzati agli stessi.

In particolare, prescrive il codice privacy, tale custodia e tale controllo devono essere commisurati alla conoscenze acquisite in base all’evoluzione del progresso tecnico, oltre che del tipo di trattamento effettuato. Ergo, la gestione di conti correnti on-line, piuttosto che off-line, prevede per il titolare l’obbligo di predisporre misure ulteriori ed “evolute” per cautelarsi dal rischio di accessi non consentiti o non autorizzati. Ciò con particolare riguardo ad un rischio “nuovo” per l’istituto di credito, legato all’evoluzione del progresso tecnico in materia di software per la realizzazione di pagine web, ovvero quello di subire il pharming (ovvero una illecita “clonazione”) del sito da cui vengono gestiti gli account dei propri clienti.

Anche questa omissione -ovvero la mancata vigilanza circa l’esistenza di attività di pharming nei confronti del proprio sito, ove esso sia, beninteso, possibile- potrebbe riverberarsi sul proprio cliente come un’attività idonea ad arrecargli un danno. Quindi, nell’ottica della dialettica prevista dal testo unico sui dati personali, il danno deriverebbe per effetto del trattamento effettuato dal titolare-banca, nei confronti dell’interessato-cliente.

In tal caso potrebbe rivelarsi decisamente arduo per il titolare fornire in giudizio la dimostrazione di aver posto in essere ogni attività idonea ad evitare il verificarsi del danno, come prescrive l’art. 2050 c.c., quando in realtà non è stata posta in essere alcuna misura per evitare che il proprio sito venisse clonato.
Tuttavia gli aspetti di natura civilistica passano senz’altro in secondo piano rispetto ai profili di natura penale legati al fenomeno.

Avv. Luca Bovino – legal@anti-phishing.it



I nostri RSS nel tuo PC. Iscriviti


Galleria Video


Inserisci un commento

L'utente accetta e sottoscrive le condizioni generali relative all'utilizzo dei commenti.