Rischi operativi: i crimini informatici (computer’s crimes) – dove si consuma il delitto

Rischi operativi: i crimini informatici (computer’s crimes) – dove si consuma il delitto

La giurisprudenza di legittimità ha fornito una definizione, in relazione a diverse fattispecie incriminatrici che fanno riferimento all’espressione sistema informatico, considerandolo, in senso ampio, una pluralità di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo, attraverso l’utilizzazione (anche in parte) di tecnologie informatiche. Le Sezioni Unite della Cass. pen. n.17325/2015, in tema di competenza per territorio e di consumazione del delitto da accesso abusivo ad un sistema informatico o telematico, di cui all’art.615-ter, cod. pen., hanno ripercorso le vicende giurisprudenziali sul tema e, in particolare, hanno affermato il principio di diritto, per cui: “Il luogo di consumazione del delitto di accesso abusivo ad un sistema informatico o telematico, di cui all’art.615-ter cod. pen., è quello nel quale si trova il soggetto che effettua l’introduzione abusiva o vi si mantiene abusivamente”. …. “L’abusiva introduzione in un sistema informatico o telematico – o il trattenimento contro la volontà di chi ha diritto di esclusione – sono le uniche condotte incriminate, e, per quanto rilevato, le relative nozioni non sono collegate ad una dimensione spaziale in senso tradizionale, ma a quella elettronica, trattandosi di sistemi informatici o telematici che archiviano e gestiscono informazioni ossia entità immateriali.” Pertanto, non è esatto ritenere che … Continua a leggere...
Rischi operativi: phishing – l’onere della prova e le misure di sicurezza

Rischi operativi: phishing – l’onere della prova e le misure di sicurezza

Veniva chiesto il ristoro del danno patrimoniale e di quello non patrimoniale ad un Istituto bancario per illecito trattamento dei dati personali, a causa di un’operazione di bonifico online transitato sul conto del ricorrente e dallo stesso disconosciuto. Si occupava della questione la Cassazione Civile n.10638/2016 analizzando la decisione della Corte di merito che aveva rigettato la pretesa risarcitoria, alla luce degli esiti della consulenza tecnica d’ufficio. Era emerso che il sistema implementato dall’Istituto di credito non consentiva a terzi di venire a conoscenza dei dati necessari per compiere operazioni online all’insaputa del correntista, ma come affermato dalla stessa c.t.u. si evidenziava che il sistema, all’epoca, adottato, (codice dispositivo segreto composto di dieci caratteri) non fosse sufficientemente efficace nella prevenzione delle frodi informatiche e che proprio dopo i fatti occorsi quel sistema era stato sostituito con altro più sicuro. La S.C. osservava sul tema: “..ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali”. Il danneggiato/attore “… è … Continua a leggere...
Rischi operativi: cybercrime – la responsabilità del prestatore di servizi a pagamento

Rischi operativi: cybercrime – la responsabilità del prestatore di servizi a pagamento

Nel dare seguito alla giurisprudenza di legittimità, Cass. civ. n.13204/2023 in tema di responsabilità del prestatore di servizi a pagamento ovvero di erogazione del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, è ragionevole ricondurre la fattispecie nell’area del c.d. “rischio professionale”. Un rischio, in tal senso, che può essere previsto ed evitato con appropriate misure destinate a verificare, in anticipo, la riconducibilità delle operazioni alla volontà del cliente, salvo il dolo od il comportamento incauto dello stesso, per impedire a terzi non autorizzati di utilizzare i codici di accesso al sistema. La S.C. ha osservato che, “..anche prima dell’entrata in vigore del D.Lgs. n.11/2010, attuativo della Dir. n.2007/64/CE relativo ai servizi di pagamento nel mercato interno, l’erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuto a fornire la prova della riconducibilità dell’operazione al cliente”. (vds. Cass. civ. n.26916/2020; Cass. civ. n.18045/2019; Cass. civ. n.10638/2016). Spetta, quindi, al prestatore del servizio di pagamento, non al cliente, provare detta riconducibilità dell’operazione al cliente stesso e, inoltre, la produzione di certificazioni di sistemi di sicurezza di incerta provenienza ed autorità non possono valere quale assolvimento della prova … Continua a leggere...