Il phishing: cosa succede se la banca non protegge chi abbocca

Il phishing è una particolare tipologia di truffa telematica e si concretizza principalmente, attraverso messaggi di posta elettronica ingannevoli.

Una e-mail,  invita l’utente ignaro, facendo riferimento a problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio.

Solitamente nel messaggio, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.

Ci si collega invece ad un sito identico a quello originale, dove l’utente, può inserire i propri dati riservati, che però saranno immediatamente disponibili per usi fraudolenti.

L’attuale regolamento GDPR stabilisce, all’art. 82 che:

–          “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”.

In questo caso, il Responsabile del trattamento è la banca che, tramite il servizio di home-banking, raccoglie i dati personali, le user id e le password dei proprio clienti, ed quindi tenuta al risarcimento dei danni anche se non ha alcuna colpa o non è in malafede. Si parla, cioè, di una “responsabilità oggettiva” che scatta per il solo fatto di svolgere un’attività pericolosa, come quella della gestione del risparmio online.

La giurisprudenza ha da sempre precisato che, nell’espletamento dei servizi di pagamento tramite internet, la banca è tenuta ad adottare tutte le misure tecniche idonee a garantire un adeguato standard di sicurezza, quando il cliente opera con questi sistemi di “home-banking”, effettuando dei pagamenti.

Deve quindi adoperarsi, in modo da impedire l’accesso di soggetti non abilitati al sistema ed evitare danni ai clienti.

Il correntista che si sia accorto della sottrazione della somma, nei tempi stabiliti dalla regolamentazione (60 giorni), può attuare la procedura di rimborso facendo richiesta alla banca.

Il cliente al quale l’attività fraudolenta non sia riconosciuta risarcibile dalla banca, prima di avviare l’attività di recupero in sede giudiziale, può rivolgersi all’ABF, un arbitrato che è sostanzialmente gratuito. I vari orientamenti dell’ABF, nell’analisi di queste problematiche, sono quasi sempre a favore del correntista.

Sono varie anche le pronunce dell’ABF, che hanno stabilito quando sia gravemente colposa la condotta del correntista.

In particolare, qualora vengano inserite le proprie credenziali, nel caso che l’e-mail truffaldina sia redatta in un italiano maccheronico, con errori marchiani e lessico inadeguato, rendendo evidente lo scopo fraudolento, il cliente non può richiedere nessun risarcimento.

Parimenti, è responsabile il cliente che cada reiteratamente in errore, continuando ad inserire i propri dati di accesso in risposta a e-mail palesemente “false”.

Tuttavia, al di là di tali “casi limite”, l’orientamento dominante è volto a tutelare il correntista e ad ascrivere la responsabilità alla banca, in quanto l’eventualità di sottrazione delle credenziali rientra nel rischio professionale dell’erogatore dei servizi di pagamento.

La giurisprudenza ritiene che:

• «la sottrazione dei codici del correntista, attraverso il phishing, rientra nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente».

In buona sostanza, non è sufficiente che chi esegue l’operazione bancaria – ad esempio, il bonifico – inserisca le credenziali per garantire la volontarietà dell’azione.

Nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all’istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza del “accorto banchiere”.

L’eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.

I prestatori dei servizi di pagamento che forniscono gli strumenti di home banking, dispongono dei dati sensibili dei clienti, pertanto trova applicazione il Codice in materia di protezione dei dati personali, oggi coordinato con il regolamento GDPR.

In un giudizio, relativo ad una truffa telematica, la domanda dell’attore, veniva rigettata nel giudizio ordinario. In particolare, secondo la Corte territoriale, la responsabilità per l’accaduto era ascrivibile al comportamento negligente degli appellati, i quali avevano digitato i propri codici personali, a seguito della ricezione di un’e-mail fraudolenta (cosiddetto phishing), in tal modo consentendo al truffatore di utilizzarli.

La Suprema Corte, invece, ritiene che spetti alla banca fornire la prova della riconducibilità dell’operazione al cliente. Inoltre, l’istituto di credito deve dimostrare di aver adottato tutte le misure idonee per garantire la sicurezza dell’home banking. Viene, quindi, enunciato il seguente principio:

–          «in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente»

La sentenza impugnata è cassata e rinviata per nuovo esame alla Corte d’Appello che si dovrà attenere al principio di cui sopra.

(Corte di cassazione con l’ordinanza 12 aprile 2018, n. 9158)

Alla luce di tali disposizioni, l’ABF, definisce due situazioni sono necessarie:

–          La prima è che deve essere l’intermediario a dover provare, la insussistenza di malfunzionamenti, autenticazione, corretta registrazione e contabilizzazione dell’operazione. Prova tra l’altro non sufficiente a dimostrare il dolo o la colpa grave dell’utilizzatore;

–          La seconda è che deve essere sempre l’intermediario a dover provare tutti i fatti idonei ad integrare la colpa grave dell’utilizzatore, unica ipotesi in cui, oltre al dolo, lo stesso può patire le conseguenze dell’utilizzo fraudolento dello strumento di pagamento

(Collegio di Milano, decisione n. 1588/2017 e la più recente decisione del Collegio di Milano, n. 577/19 del 10/01/2019).

Scarica ordinanza e decisione ABF