Le piccole e medie imprese i cui conti bancari sono stati attaccati e saccheggiati dai pirati informatici, possono sperare in una maggiore tutela da parte delle banche: due recenti sentenze potrebbero rivoluzionare il consueto equilibrio tra le parti.
Le banche che non garantiscono specifiche esigenze di protezione online, infatti, potrebbero essere considerate sempre e in ogni caso responsabili del denaro sottratto.
Oggi – come spiegato dal Wall Street Journal – le leggi statali statunitensi impongono l’obbligo ai clienti commerciali di dimostrare che le banche non hanno saputo proteggere i loro soldi, in quanto si presuppone che le aziende debbano provvedere a priori alla loro sicurezza.
Le due recenti sentenze USA, invece, potrebbero portare verso importanti cambiamenti: ai proprietari delle piccole aziende potrebbe essere riconosciuta l’incapacità di comprendere i rischi informatici nel momento in cui accettano le procedure di sicurezza delle banche. Esonerandole dall’obbligo di dimostrare la colpevolezza delle banche nella insufficiente tutela, e capovolgendo di fatto le responsabilità.
Quale corrispondenza trova in Italia questo cambio di rotta?
Da noi, le responsabilità degli istituti finanziari sono regolate dal Codice della Privacy (Decreto Legislativo n. 196 del 30 giugno 2003) e dal Dlgs 27 gennaio 2010 n. 11, che recepisce la Direttiva Europea sui Servizi di Pagamento 2007/64/CE (PSD).
Nei casi di attacco informatico, l’onere della prova è sostanzialmente a carico della banca, mentre il cliente commerciale deve dimostrare di aver adottato misure minime di protezione (protezione delle password…) e di aver avvisato subito il fornitore dei servizi di banking online in caso di operazioni non autorizzate o sospette.
Tuttavia, le nuove sentenze statunitensi spostano l’accento sulla difficoltà che molte piccole aziende possono incontrare nella gestione della sicurezza online, assolvendole anche dall’onere di dimostrare la propria “collaborazione” alle generali misure di sicurezza adottate.
In linea di massima, banche e istituti di credito sono chiamati al risarcimento dei danni purché non riescano dimostrare la negligenza del cliente. Dunque, un rischio le PMi poco accorte lo corrono: vedersi sottrarre i beni senza riceverne alcun rimborso.
Sta di fatto che ogni giorno sono centinaia le imprese vittime di un attacco informatico, con un sensibile incremento di quelli rivolti alle imprese più piccole. Per le micro imprese diventa quindi sempre più difficile tenere lontani i cracker in maniera efficace, motivo per cui si tende ad affidarsi misure di sicurezza offerte dalle banche. Se però tali misure si rivelano inefficaci, su chi ricade la responsabilità?
Le due recenti sentenze potrebbero segnare una pietra miliare, coinvolgendo le banche e chiamandole a mettersi in discussione sulla sicurezza offerta ai clienti commerciali.
Un cambiamento che potrebbe portare a denunce da parte delle PMI i cui conti sono stati colpiti dai cybercriminali, ponendo fine ai consueti patteggiamenti o accordi extragiudiziari.