Il caso di phishing impone di valutare se l’intermediario, con specifico riferimento ai servizi offerti via Internet, abbia adottato tutte le cautele e gli accorgimenti idonei, in base al criterio della diligenza professionale, ad evitare e a prevenire la frode informatica. Laddove la banca, pur in presenza di un sistema informativo risultato ex post accessibile all’esterno, non abbia attivato, rispetto ai tre codici di accesso a disposizione del cliente, ulteriori presidi di sicurezza pur presenti sul mercato e illustrati nello stesso sito della banca (generazione di numeri casuali attraverso tokens o analoghi dispositivi) idonei a ridurre se non a eliminare il danno, deve ritenersi che la banca abbia violato i doveri di diligenza professionale, anche alla luce di quanto previsto dagli artt. 15 e 31 del d.lgs. n. 196/2003 in materia di protezione dei dati personali relativi ai conti bancari.