Smishing
Lo Smishing si riferisce a condotte relative a frodi informatiche realizzate nel contesto di una organizzazione criminale.
Lo Smishing è una forma di phishing che viene realizzato attraverso messaggi di testo o SMS e altri sistemi di messaggistica (da ciò deriva il nome Smishing o phishing via SMS).
L’obiettivo principale è quello di raccogliere dati sensibili della vittima, o anche dati personali, finanziari e bancari degli ignari utenti.
I messaggi di Smishing invitano le vittime a compiere azioni o fornire informazioni personali o finanziarie. A titolo esemplificativo invitano le vittime a cliccare un link e ad inserire le credenziali di accesso al proprio conto corrente; a rispondere ad un messaggio inviando dati o credenziali personali con presunto riferimento all’istituto di credito; scaricare una falsa app “antispam”; aprire messaggi sms che contengono Malware ovvero chiamare un numero di telefono al quale risponde un falso operatore.
Spesso i meccanismi utilizzati sono certamente insidiosi e particolarmente sofisticati, in modo da spiazzare l’utente, e tali da indurre una persona di normale avvedutezza in errore sulla provenienza della richiesta e sulla plausibilità della stessa.
Aspetti negativi di tali meccanismi è la presunta deducibilità della colpa grave del cliente (cfr. Cass. n. 7217/2023; n. 9158/2018; n. 9721/2020; 10638/2016) nei casi in cui il cliente, violando gli obblighi di custodia dei codici di accesso al conto corrente on-line posti a suo carico dalle previsioni contrattuali, abbia colposamente fornito tali dati ai truffatori, cosi permettendo il compimento della frode informatica in suo danno.
Per quanto concerne la responsabilità dell’ente creditizio la giurisprudenza della Corte di legittimità ha affermato che la diligenza posta a carico del professionista, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento assumendo come parametro quello dell’accorto banchiere (Cass. n. 806 del 2016); dunque la diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo.
La giurisprudenza della Corte di legittimità è infatti consolidata nel senso di ritenere che la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, va esclusa se ricorre una situazione di colpa grave dell’utente configurabile, ad esempio, nel caso di protratta attesa prima di comunicare l’uso non autorizzato dello strumento di pagamento ma il riparto degli oneri probatori posto a carico delle parti segue il regime della responsabilità contrattuale. Mentre, pertanto, il cliente è tenuto soltanto a provare la fonte del proprio diritto ed il termine di scadenza, il debitore, cioè la banca, deve provare il fatto estintivo dell’altrui pretesa, sicché non può omettere la verifica dell’adozione delle misure atte a garantire la sicurezza del servizio. Ne consegue che, essendo la possibilità della sottrazione dei codici al correntista attraverso tecniche fraudolente una eventualità rientrante nel rischio d’impresa, la banca per liberarsi dalla propria responsabilità, deve dimostrare la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto al debitore (Cass., 1, n. 2950 del 3/2/2017; Cass., 3, n. 18045 del 5/7/2019; Cass., 6-3, n. 26916 del 26/11/2020). (cit. Corte di Cassazione, sentenza n. 3780 del 12 febbraio 2024).