Tribunale di Como – Sezione Seconda – Sentenza n. 1186 del 24.10.2023
In presenza di un’ipotesi di frode informatica denominata MITB, ossia “Man in the browser”, perfezionatasi mediante minaccia informatica che permette al cybercriminale di intercettare e manipolare il traffico internet che l’utente crede privato e protetto, l’istituto di credito, al pari di un’impresa che esercita un’attività pericolosa ex art. 2050 c.c., incorre sempre in una responsabilità oggettiva aggravata la cui presunzione di colpevolezza è superabile solo in quanto esso istituto dimostri sia di aver adottato le misure idonee ad evitare il danno che l’inescusabile colpevolezza del correntista.
Il Tribunale di Como si occupa di una particolare fattispecie di truffa informatica bancaria, e precisamente di quella denominata MITB, ossia “Man in the browser”, certamente la più subdola ed insidiosa possibile nel novero delle minacce informatiche perché tale da consentire al cybercriminale di intercettare e manipolare il traffico internet che l’incolpevole utente ritiene privato e protetto.
I Giudici lombardi, infatti, rammentano anzitutto come questo tipo di attacco hacker si manifesti attraverso un programma malevolo che, una volta annidatosi in un certo numero di computer, genera quella che in gergo suole definirsi una “botnet”, ossia per l’appunto una rete di macchine egualmente infettate dallo stesso virus, senza tuttavia creare alcun malfunzionamento o alterazione del sistema tali da attrarre l’attenzione dell’utente.
La particolare insidiosità di questo malware risiede nel fatto che esso resti completamente “in sonno” attivandosi solo nel momento in cui l’utente si colleghi ad un sito finanziario compreso fra quelli che il programma abbia posto nel mirino, captando in tal modo il collegamento dell’utente e propinandogli una pagina-video esattamente identica a quella che l’utente è abituato a riconoscere in sede di accesso regolare al sito del proprio intermediario, con l’unica differenza, obiettivamente impercettibile, della stringa di descrizione della pagina che, a differenza di quella originale, reca un prefisso di accesso “http” e non già “https”, dove la “s” finale sta per “secured” e dunque protetto.
Secondo i Giudici lariani, pertanto, il MITB, a differenza di altre fattispecie di phishing dove l’aggiramento dei sistemi di sicurezza avviene con sms, chiamate, email e altre false comunicazioni apparentemente riconducibili all’istituto di credito di fiducia, determina l’illegittima appropriazione indebita dei codici di sicurezza in maniera così subdola che l’utente, del tutto ignaro dell’intervenuta sostituzione della pagina, viene indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera.
Il Tribunale, dunque, giustamente ha ritenuto che proprio in questi casi così particolari di accesso non autorizzato al servizio online della banca, quest’ultima, al pari di un’impresa che esercita un’attività pericolosa ex art. 2050 c.c., incorra in una responsabilità oggettiva aggravata qualora non dimostri non solo di aver adottato tutte le misure idonee ad evitare il danno ma anche e soprattutto l’inescusabile colpevolezza a carico dell’utente e, più precisamente, il suo inadempimento doloso e/o gravemente colposo.
Secondo i Giudici comaschi, quindi, sull’istituto di credito grava inevitabilmente un doppio onere probatorio che nel caso di specie risulta difficilmente assolvibile quanto al secondo presupposto, dal momento che, proprio per la singolare ed inusuale insidiosità della truffa utilizzata, è certamente complicato dimostrare che vi possa essere un dolo del titolare o un suo comportamento talmente incauto da non poter essere fronteggiato in anticipo, sì da provare senza ombra di dubbio la riconducibilità dell’operazione alla reale volontà del cliente.
Il Tribunale, pertanto, significativamente evidenzia come tali circostanze di fatto non siano in alcun modo sussistenti sia qualora l’indirizzo IP utilizzato non possa essere noto all’istituto di credito per non avervi mai fatto uso da parte del cliente, sia ancora per il fatto che quest’ultimo si attivi prontamente, dopo il verificarsi del fatto lesivo, per la denuncia dello stesso alle competenti autorità di pubblica sicurezza, in tal modo disconoscendone integralmente la paternità.