Information Technology

Misure minime di sicurezza dell’internet banking

È considerata misura di sicurezza adeguata l’invio di un SMS al cliente di una banca ogni qual volta viene effettuata una operazione a debito sul suo conto corrente attraverso il servizio di e-banking.

Ai sensi dell’art. 31 del d.lgs. 196/2003 (la c.d. legge privacy), il titolare del trattamento (ovvero colui che si propone di raccogliere ed elaborare i dati personali di terzi per fini commerciali), al fine di prevenire accessi non autorizzati ai dati o ulteriori operazioni di trattamento illegittime, ha l’obbligo di adottare delle misure di sicurezza adeguate. Sebbene il codice non indichi specificamente quali siano le misure di sicurezza adeguate, stabilisce che queste debbano essere adottate «in relazione alle conoscenza acquisite in base al progresso tecnico».

Una definizione così vaga, consente al legislatore di non ancorare il dettato normativo ad una particolare tecnologia che potrebbe diventare obsoleta anche in breve tempo e, dall’altro, di imporre ai titolari di mantenere sempre alta la guardia e provvedere ad un costante aggiornamento delle proprie misure e procedure. Dovrà poi essere il giudice, di volta in volta chiamato a decidere un caso concreto, a stabilire se il titolare si sia o meno adeguato allo stato della tecnica.

Proprio così ha fatto il giudice di pace di Lecce il dicembre scorso (sentenza 97 del 15 gennaio 2014) allorché ha stabilito che costituisce misura minima di sicurezza l’invio di un messaggio di testo telefonico (SMS) al cliente per segnalargli tempestivamente il tipo di operazione effettuata sul suo conto corrente, e il relativo importo. La banca, citata in giudizio, non aveva adottato tale procedura ed è stata condannata al pagamento dell’intero importo sottratto dal conto corrente di un suo cliente ad opera di un terzo che, attraverso una richiesta e-mail camuffata da comunicazione ufficiale della banca stessa, aveva chiesto e ottenuto le chiavi di accesso al servizio di e-banking.

Benché l’utente fosse stato poco avveduto, tale truffa – peraltro assai comune – non avrebbe dato alcun frutto se dopo l’operazione bancaria il titolare del conto fosse stato avvertito.

A fondamento della sua decisione, il giudice ha correttamente non solo considerato il fatto che nell’ambito dei servizi di e-banking è assai avvertita l’esigenza di garantire agli utenti la massima riservatezza e protezione dei dati, ma ha anche valutato la frequenza delle truffe informatiche dovute a mancata custodia o appropriazione fraudolenta delle credenziali e ha altresì verificato i costi e l’efficacia della procedura di SMS nonché la prassi comune dalle altre banche.

Postilla. Similmente si è anche pronunciato l’Arbitro Bancario Finanziario con decisione del 7 marzo scorso (n. 0001363/14) con cui ha stabilito che, la mancata adozione da parte di una banca di un servizio di sms alert è indice di negligenza nell’esecuzione della prestazione oggetto del contratto per il servizio di home banking, mancando di svolgere tutte quelle attività strumentali che appaiano idonee a garantire l’interesse del cliente.

4 luglio 2014

(Francesco Rampone – f.rampone@lascalaw.com)

Print Friendly

Condividi su

Potrebbe interessarti anche
Il fornitore non è sempre responsabile del trattamento

La scelta di Facebook di oscurare la pagina di Casapound (Associazione di Promozione Sociale CasaPou...

Information Technology

Il fornitore non è sempre responsabile del trattamento

Ancora una volta vengono dalla California i segnali di un cambiamento nel mondo dei servizi della so...

Information Technology

Il fornitore non è sempre responsabile del trattamento

Al lupo al lupo. Da qualche giorno non si parla d’altro nel “mondo digitale”. Libra, improp...

Information Technology

X