Una nuova sentenza in tema di responsabilità civile dell’intermediario operazioni fraudolente compiute on line in danno dell’ignaro correntista. Ancora una volta la condanna a risarcire la vittima dell’azione di phishing è stata inflitta nei confronti di Poste Italiane, e, curiosamente, ancora una volta la pronuncia proviene da un Tribunale siciliano.Con provvedimento in data 15 marzo 2012, il Tribunale di Ragusa, nella persona del giudice Giuseppe Artino Innaria, ha condannato Poste Italiane a pagare al correntista 9.500,00 euro, che erano stati fraudolentemente carpiti tramite un postagiro truffaldino mediante il quale il phisher aveva girocontate le somme su un proprio conto corrente personale.
La sentenza in commento, muovendo i suoi passi nel solco tracciato dagli artt. 31 e 15 del codice privacy (rispettivamente in tema di obbligo di adozione di adeguate misure di sicurezza per i titolari di trattamenti di dati e responsabilità del titolare), in combinato con gli artt. 1176 (obbligo di eseguire le prestazioni contrattuali secondo diligenza adeguata all’attività esercitata) e 2050 (responsabilità per svolgimento di attività pericolose) del codice civile, ha individuato la responsabilità dell’intermediario nel caso di specie.
Chiave di volta della vicenda era stata la considerazione che l’utente aveva sempre operato on line sul proprio conto tramite il medesimo IP (codice identificativo della connessione da uno specifico computer alla rete), mentre nel caso esaminato il prelievo fraudolento era avvenuto mediante un altro IP. A tal riguardo il Tribunale ha enucleato il seguente principio di diritto «attesa l’anomalia dell’operazione, in quanto proveniente da indirizzo IP diverso da quello usualmente utilizzato dal cliente, l’aver consentito il prelievo della somma in un lasso di tempo così ristretto, senza prima aver verificato l’effettiva provenienza dell’ordinativo dal titolare del conto, costituisce senz’altro negligenza inescusabile, tale da fondare l’affermazione di responsabilità di Poste Italiane spa, tenuta, quindi, al risarcimento del danno patito dagli attori».
Da questa vicenda è possibile trarre il seguente insegnamento, quindi, utilizzare sempre lo stesso indirizzo IP nel compiere le operazioni finanziarie on line costituisce un elemento di garanzia maggiore per il correntista in caso di illecite movimentazioni.
A fronte dei condivisibili positivi auspici che tale pronuncia suscita, si contrappongo taluni aspetti poco chiari nella vicenda esaminata dal Tribunale di Ragusa.
La domanda che, tuttavia, resta inevasa dalla sentenza, e che per correttezza occorre comunque porsi, è la seguente: com’è possibile connettersi sempre con il medesimo IP se il codice IP, per l’appunto, viene assegnato di volta in volta dall’operatore telefonico che fornisce la rete nel momento in cui rileva l’elaboratore connesso?! Se si effettuano due connessioni a distanza di poco tempo l’operatore fornirà due differenti indirizzi IP per un medesimo elaboratore.
Forse sarebbe stato più corretto da un punto di vista tecnico, per evitare di prestare il fianco a facili opposizioni, dire che l’obbligo dell’intermediario, sarebbe quello di verificare che la connessione avvenga sempre tramite lo stesso elaboratore, individuabile mediante la verifica dell’IP di volta in volta riscontrato, e non puramente e semplicemente mediante l’IP propriamente detto.
Ad ogni modo tale sentenza costituisce un ulteriore elemento a sostegno della necessità per gli intermediari di aggiornare i propri livelli di sicurezza per ridurre al minimo (anche, naturalmente, mediante la costante verifica degli IP degli utenti) i rischi legati alle operazioni finanziarie compiute su internet.