REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
GIUDICE DI MACE DI MESSINA
SEZIONE CIVILE
Il Giudice di pace Dr. Corrado GIARDINELLA ha pronunciato la seguente
SENTENZA
nella causa civile iscritta al n.1747/10 di RG promossa da
Sig. C. D. - attore-
CONTRO
Poste Italiane S.p.a. -convenuto-
Oggetto: Risarcimento danni
CONCLUSIONI DELLE PARTI
Per parte attrice
Voglia il Giudice di Pace adito:
1) Accertare e dichiarare la piena responsabilità dell'Ente Poste Italiane Spa e per l'effetto condannarlo al pagamento della complessiva somma di € 851,00 oltre interessi di legge dalla data di messa in mora fino al soddisfo.
2) Con vittoria di spese diritti ed onorari del giudizio.
PER PARTE CONVENUTA
Affinchè il sig. Giudice di pace di Messina adito, voglia, respinta ogni contraria istanza eccezione e deduzione rigettare l'atto di citazione proposto, con qualsiasi statuizione.
Con vittoria delle spese di lite.
Svolgimento del processo
Con atto di citazione notificato in data 05.02.2010, parte attrice evocava in giudizio la convenuta società, per sentir accogliere le conclusioni riportate.
Assumeva l'attore che, quale titolare della carta di credito prepagata Postepa n.____, in data 25.11.09 si accorgeva che la stessa veniva utilizzata da ignoti.
Denunciato l'evento, sia all'autorità giudiziaria che alla convenuta società, quest'ultima respingeva ogni addebito, non provvedendo a riaccreditare le somme illecitamente prelevate, nè a provvedere ad alcun altro risarcimento, così che l'attore intraprendeva l'odierno giudizio.
All'udienza del 07.05.10 si costituiva in giudizio la convenuta società con deposito di propria comparsa di risposta che rassegnava le conclusioni riportate, contestando le avverse domande ed evidenziando che l'attore era rimasto vittima del fenomeno denominato "phishing", con catturare dei codici PIN forniti dallo stesso attore, senza alcuna violazione del sistema di sicurezza predisposto ed adottato dall'ente convenuto, così da imputarsi l'evento all'imprudente e colpevole azione del sig. O.
Presente a tale udienza parte attrice, questa insisteva in domanda e chiedeva rinvio dell'udienza al fine di poter articolare i propri mezzi istruttori.
Il Giudice, in accoglimento, rinviava la causa all'udienza del 24.09.10 per gli adempimenti di cui all'art. 320 ult. co. c.p.c.
Alla data di rinvio, presenti le parti, queste chiedevano fissarsi udienza di precisazione delle conclusioni, stante la natura documentale della controversia.
Il Giudice, in accoglimento, fissava l'udienza del 03.12.10 per la precisazione delle conclusioni e discussione, assegnando termine sino all'udienza per il deposito di note conclusive.
Precisate le proprie conclusioni dalle parti alla data fissata, il Giudice tratteneva la causa per la decisione.
Motivazione
Ai fini della decisione della presente controversia, deve preliminarmente, rilevarsi che dalla documentazione in atti, la domanda proposta ha come finalità la richiesta del ristoro dei danni patiti da un'azione di frode informatica, effettuata attraverso quella particolare modalità denominata "phishing".
Con tale termine, usato per la prima volta nel 1996. generalmente si definisce in ambito informatico, il c.d. "spillaggio di dati sensibili", ovvero una forma di truffa con la quale un soggetto (phisher – truffatore), con metodi illeciti, carpisce le credenziali (password) di accesso ad un'internet banking, cioè ad un conto bancario on-line, ad un altro soggetto (truffato) titolare dell'indicato conto, e nel conseguente uso delle suddette credenziali al fine di spostare e/o prelevare le somme ivi depositate.
In ambito della sicurezza informatica, il "phishing" è, così, il tentativo criminale di impadronirsi di dati personali di qualcuno come il suo username ed la sua password, piuttosto che dei dati della carta di credito servendosi di una comunicazione digitale (c.d. email) che millanta falsità volte a trarre in inganno l'utente ignaro.
Per ottenere il proprio scopo i malfattori, in altri termini, si celano dietro ad una comunicazione di amministratori di siti web, o di popolari siti autorevoli, come quelli delle banche o delle poste, per le quali l'utente sprovveduto non si pone in diffidenza, rilasciando, su richiesta, i propri dati sensibili.
Il modo di procedere di tale truffa, ordinariamente, inizia con l'invio di una mail che si presenta come una comunicazione ufficiale fatta dal proprio istituto bancario o dall'amministrato di un sito web, nella quale, per asseriti erroti, si formula la richiesta di fornire le informazioni sensibili del mal capitato.
Oppure, la mail invita a cliccare su di un link suggerito, che porta ad un sito web che ricalca, per grafica e comunicazione, quello dell'ente di cui i malfattori sfruttano l'autorevolezza, richiedendo i dati sensibili segreti.
Pertanto è il mal capitato che fornisce quei dati sensibili (username e password) che permettono, in un secondo tempo, al malfattore di accedere al conto bancario online, così da prelevare le somme ivi depositate e spostarle su conti di terzi (c.d. Financial manager) che li ritirano e li spediscono al fine di riciclarli.
Proprio per la tipologia della fattispecie criminosa e delle modalità con cui essa viene attuata, la giurisprudenza oggi esclude qualsiasi obbligo per l'ente di credito di un qualche diritto risarcitorio in favore del soggetto vittima del "phishing", tranne nel caso che tale diritto sia stato preventivamente e contrattualmente previsto.
Delineata la fattispecie criminosa, è di tutta evidenza, come riconosciuto dalle stesse parti in giudizio, che nel caso che ci occupa, la frode si è realizzata con le modalità sopra descritte, non risultando in atti che l'evento è stato causato da una violazione del sistema informatico, nè da clonazione della carta intestata all'attore.
Infatti, dall'estratto conto allegato alla denuncia fatta dall'attore all'autorità giudiziaria, risulta che la carta era stata utilizzata anche per effettuare pagamenti online, così è lecito dedurre che inconsapevolmente l'utilizzatore della carta, abbia fornito i propri dati segreti (username e password) ad un terzo, cadendo in quel raggiro informatico denominato, come detto, phishing.
Pertanto, non essendovi alcuna espressa previsione contrattuale, circostanza questa non provata da nessuna delle parti in giudizio, nessun obbligo sussiste in capo alla convenuta società in ordine al riconoscimento di un qualche diritto risarcimento nei confronti dell'attore, non essendo questo previsto da alcuna norma di legge.
Le sentenze prodotte dalle parti in causa (Cass. Civ. n. 1377/07, Tr. Palermo del 20.12.09) e lo stesso richiamo alle norme del codice del consumo (art. 56) atengono ad una fattispecie del tutto diversa da quella in esame, trattandosi di violazione del sistema informatico operato su ATM (Automated Teller Machine, ovvero sportello automatico) e/o su clonazione delle carte di credito bancomat operate su POS (Point of Sale, ovvero punto di vendita).
In ragione di quanto dedotto, deve, quindi, rigettarsi integralmente la domanda attorea in quanto non fondata in diritto.
Data la materia trattata e l'esiguità dell'attività processuale svolta, le spese del presente giudizio vengono integralmente compensate tra le parti.
PQM
Il Giudice di Pace
definitivamente pronunciando
disattesa ogni contraria istanza, eccezione e deduzione
- rigetta la domanda attorea non fondaa in diritto
- compensa integralmente le spese del giudizio tra le parti in giudizio.
Così deciso in Messina il 10 dicembre 2010.
Il Giudice di Pace
Dr. Giardinella
Depositato in cancelleria il 10 dicembre 2010
