Le banche sono responsabili della sicurezza dei loro siti Internet e sono obbligate a risarcire i loro utenti che hanno perso del denaro a causa della perdita delle credenziali della carta di credito, cioè le password, tramite il phishing.

Lo hanno deciso, in due sentenze differenti, un giudice di Pace e l'Arbitro Bancario e Finanziario (ABF) una figura istituita appositamente per risolvere i contenziosi fra le banche e i promotori finanziari e i loro utenti.

Il primo caso riguarda una donna che lo scorso anno, il 14 dicembre, era stata avvisata da alcuni sms di una attività insolita della sua carta di credito che stava prelevando denaro dal conto corrente della sua banca, un grande istituto di credito, in diverse operazioni. Il conto era stato immediatamente bloccato, ma i truffatori erano comunque riusciti a prelevare 600 euro che erano andati perduti.

Si era poi dimostrato che le credenziali della carta di credito erano state sottratte tramite un malware che si era auto-installato sul computer della donna durante la normale navigazione con internet. L'Arbitro ha deciso che la banca dovrà risarcire il denaro sottratto. La norma di legge stabilisce che il risarcimento può essere evitato solo se l'utente è stato negligente nella custodia delle credenziali della carta di credito, e non era questo il caso e quindi l'avvocato di Confconsumatori che ha seguito il caso ha ottenuto che la banca risarcisse la cliente in toto.

Il secondo caso riguarda Poste Italiane nella sua attività di istituto che emette carte di credito, caso che è stato seguito da Codacons. Un cliente di Poste Italiane era stato truffato tramite il phishing, cioè tramite quelle mail che ogni tanto arrivano nella posta e imitano quasi alla perfezione le mail delle Poste e che invitano a collegarsi ad un link per sbloccare al propria carta di credito, inserendo i propri dati.

In questo caso la cifra che Poste Italiane ha dovuto risarcire al cliente è stata di 1322 euro. In questo caso il Giudice di pace cui si è rivolto l'utente ha stabilito che spetta all'istituto di credito provare che l'utente è stato negligente nella custodia di propri dati, e non può solo supporre questa negligenza. Se sicurezza della carta di credito è violata da degli hacker la responsabilità è delle banche, e non dell'utente, e su questa base anche in questo caso la sentenza è stata favorevole all'utenza.