sostituzione persona

Il furto di identità è un fenomeno crescente, generalmente da inquadrare nell'ambito delle frodi creditizie. Consiste nell'ottenere indebitamente le informazioni personali di un soggetto al fine di sostituirsi a lui per compiere delle azioni illecite a suo nome (frodi informatiche) con notevole danno economico e non solo, per la vittima del reato (il soggetto al quale si carpiscono i dati). Il caso classico è l'apertura di un conto corrente al fine di ottenere un prestito.
La normativa definisce il furto di identità tramite il decreto legislativo n. 64 dell'11 aprile 2011, in materia di prevenzione di frodi nel credito al consumo, il quale modifica il decreto legislativo 141 del 2010 che, in attuazione di una direttiva comunitaria, regola i contratti di credito ai consumatori.

 

 

1. Ai fini del presente decreto legislativo per furto d'identità si intende:
a) l'impersonificazione totale: occultamento totale della propria identità mediante
l'utilizzo indebito di dati relativi all'identità e al reddito di un altro soggetto.
L'impersonificazione può riguardare l'utilizzo indebito di dati riferibili sia ad un soggetto in
vita sia ad un soggetto deceduto;
b) l'impersonificazione parziale: occultamento parziale della propria identità mediante
l'impiego, in forma combinata, di dati relativi alla propria persona e l'utilizzo indebito di
dati relativi ad un altro soggetto, nell'ambito di quelli di cui alla lettera a)

 

Si tratta, ovviamente, di una definizione circoscritta nell’ambito applicativo del decreto, che tra l'altro riguarda l'identità in genere e non l'identità digitale, ma che finisce inevitabilmente per orientare l’applicazione delle fattispecie penali e delle controversie civili che riguardano l’appropriazione di dati identificativi di altre persone.
A tale proposito, pur rimarcando che la definizione di “furto di identità” non è corretta perché in realtà ci si appropria dei dati identificativi di una persona al fine di usare l’identità altrui, possiamo ricordare che in essa si cumulano numerose fattispecie abbastanza simili. L’ipotesi più rilevante è il reato di sostituzione di persona previsto dall'art. 494 del codice penale. In subordine si può configurare il reato di accesso abusivo ad un sistema informatico, od altre fattispecie minori.

 

In campo penale dal 2013 è stata introdotta un'aggravante per la frode informatica (art. 640 ter cod. pen.) “se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”, al fine di rendere più efficace il contrasto del preoccupante fenomeno del furto di identità digitale.

 

Per quanto riguarda la tutela del correntista bancario che ha subito un furto di identità, la giurisprudenza nel tempo si è evoluta. Inizialmente per l'assenza di clausole contrattuali volte a tenere indenne il cliente, unita alla mancata dimostrazione delle modalità di sottrazione delle credenziali di accesso al servizio di home banking, risultava difficile ottenere una pronuncia di responsabilità a carico dell'istituto di credito.
Oggi, invece, sulla base della considerazione che il correntista è la parte debole del rapporto contrattuale, cioè un consumatore, mentre l'istituto di credito opera quale professionista e quindi deve attenersi ad un livello di diligenza elevata (diligenza del buon banchiere), la situazione è alquanto mutata.

 

Tra l'altro dal marzo 2010 è in vigore la Payment Service Directive (PSD) europea, recepita tramite il decreto legislativo 11 del 2010, che sposta l'onere della prova sulla banca.
In base alla direttiva, il correntista ha l'obbligo di comunicare tempestivamente alla banca il disconoscimento di operazioni, mentre la banca ha l'obbligo di impedire l'accesso a terzi rispetto all'utilizzatore degli strumenti di pagamento. Se il cliente dimostra di aver adottato misure di protezione adeguate (all'utente medio), sarà la banca a dover dimostrare che la colpa della truffa dipende dal cliente. In assenza di prova di colpa grave del cliente (es. se il cliente ha fornito le credenziali di accesso a terzi), la banca deve restituire le somme truffate.

 

Ma già dal 2009 la giurisprudenza ha modificato il suo orientamento in materia, con la sentenza del 20 dicembre 2009 del tribunale di Palermo. Nella citata sentenza il tribunale ritiene che spetti al correntista provare il rapporto contrattuale, e poi in relazione alla prova dell'inadempimento, considerato che se essa dovesse consistere nella prova che il sistema informatico è inidoneo finirebbe per divenire prova diabolica, ritiene che la banca debba adottare tutte le misure di sicurezza tecnicamente idonee e conosciute in base al progresso tecnico (es. one time password), per prevenire danni, non valutando sufficiente la non violazione di norme di legge proprio perché la prestazione dell'istituto si inserisce nell'ambito di una attività professionale.

 

La Banca d'Italia, col provvedimento del 5 luglio 2011, ha fissato le pratiche bancarie al fine di realizzare strumenti di pagamento più sicuri. Non si tratta di presidi obbligatori ma comunque rappresentano dei parametri di riferimento importanti.

 

Questa tesi si basa sulla normativa in materia di protezione dei dati personali, infatti l'art. 131 del Codice Privacy recita:

 

Art. 131. Informazioni a contraenti e utenti
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa il contraente e, ove possibile, l'utente circa la sussistenza di situazioni che permettono di apprendere in modo non intenzionale il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei.
2. Il contraente informa l'utente quando il contenuto delle comunicazioni o conversazioni può essere appreso da altri a causa del tipo di apparecchiature terminali utilizzate o del collegamento realizzato tra le stesse presso la sede del contraente medesimo.

 

La normativa in materia di privacy impone, infatti, la custodia ed il controllo dei dati personali oggetto di trattamento “anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta” (art. 31 Codice privacy), per cui, ai sensi dell'art. 15 del medesimo Codice, il titolare del trattamento (la banca) è obbligato a risarcire il danno conseguente al trattamento medesimo.
L'apprensione da parte di terzi delle credenziali di accesso al sistema di home banking, quindi, viene considerata una conseguenza di una insufficiente diligenza da parte della banca nella custodia dei dati (tribunale di Milano, sentenza del 4 dicembre 2014).

 

Cioè, se la diligenza dell'istituto di credito non è adeguata al livello richiesto quale esercente un'attività professionale (art. 1176 cod. civ., diligenza del debitore qualificato), e quindi il sistema informatico non è adeguato agli standard di sicurezza, la banca incorre in responsabilità. Per andare esente da responsabilità la banca deve dimostrare che le credenziali fornite al cliente sono entrate in possesso di un terzo per una condotta colposa del cliente.

 

Di contro la diligenza del correntista (consumatore) viene valutata sulla base dell'utente medio (cliente comune). Nella sentenza del tribunale di Milano citata, si evidenzia che il correntista non fosse a conoscenza del fenomeno del phishing, e che le mail ricevute non presentassero palesi evidenze di contraffazione. Tali elementi sono ritenuti sufficienti ad evitare una responsabilità del correntista, cliente comune non dotato di specifica competenza in ambito informatico.
Si tratta di una palese inversione dell'onere della prova che avvantaggia il cliente/consumatore.

 

Anche l'Arbitro Bancario e Finanziario sta consolidando l'orientamento in base al quale il correntista risponde solo dei casi in cui sussiste una prova di colpa grave o dolo a suo carico.

 

In conclusione, il cliente deve dimostrare soltanto di aver adottato misure minime di protezione delle credenziali e del proprio personal computer (es. antivirus), di non aver agito in maniera fraudolenta, e deve avvisare tempestivamente l'istituto di credito in caso di operazioni non autorizzate o non correttamente eseguite, disconoscendole.
La banca, invece, per andare esente da responsabilità deve dimostrare che le credenziali d'accesso al sistema di home banking sono entrate in possesso di un terzo per una condotta colposa del cliente, in assenza di ciò si presuppone che i suoi sistemi di sicurezza non sono adeguati.