Con la diffusione dei sistemi di pagamento informatico e degli strumenti di gestione del conto on line (home banking) è sempre più frequente il pericolo di operazioni non autorizzate sul conto ad opera di terzi che, in maniera truffaldina, hanno avuto accesso alle credenziali personali del cliente.
Il phishing è un tipo di truffa effettuata su Internet o con altri strumenti informatici attraverso cui un terzo cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile, di solito mediante l’utilizzo di una comunicazione digitale che imita, nell’aspetto e nel contenuto, messaggi legittimi dei fornitori di servizi.
Phishing: quali misure di sicurezza esistono
Proprio per evitare il pericolo delle frodi informatiche, gli istituti di credito sono tenuti ad apprestare una serie di misure di sicurezza e di protocolli di accesso al conto e alle singole operazioni che possano garantire la riferibilità dell’operazione al titolare del conto attraverso l’utilizzo di dispositivi elettronici (c.d. token), generazione di password temporanee (OTP – One time password) e sistemi di allerta (sms alert).
La normativa in materia di pagamento degli strumenti informatici (D.Lgs. n.11/2010 – c.d. PSD – Payment Services Directive) prevede infatti un sistema di autenticazione forte a tutela della sicurezza dei sistemi di pagamento.
Phishing: responsabilità oggettiva della banca
L’obbligo di apprestare una serie di misure di sicurezza è connesso anche alla particolare responsabilità in capo all’Istituto di credito che viene ritenuta dalla giurisprudenza come esercizio di un’attività pericolosa ex art.2050 c.c., per cui la banca risponde del danno patito dal cliente per responsabilità oggettiva aggravata, salvo che dimostri di aver adottato tutte le misure per evitare il danno.
Inoltre, per quanto previsto dall’art.11 del D.Lgs. n.11/2010 (c.d. PSD – Payment Services Directive), la banca è tenuta, in prima battuta, a rimborsare al cliente l’importo dell’operazione eseguita senza autorizzazione, salvo l’ipotesi in cui l’utente abbia agito con dolo o colpa grave.
Quali sono le tutele della banca
L’Istituto di credito per andare esente dalla responsabilità oggettiva non solo dovrà dimostrare di aver adottato tutte le misure idonee ad evitare il danno, ovvero l’adozione degli strumenti informatici tali da evitare la captazione dei dati sensibili del cliente e dei codici di accesso (c.d. prova liberatoria) ma è tenuta altresì a fornire la prova positiva di una causa non imputabile alla propria condotta che può trattarsi di un fatto imprevedibile e inevitabile che sfugge alla sfera di controllo del prestatore di servizi o, come accade nell’ipotesi di pishing, riferita alla condotta dolosa e/o colposa del danneggiato.
In caso di phishing che responsabilità ha il correntista?
Il phishing si pone in essere a seguito di un comportamento incauto del titolare del conto il quale fa in modo che terzi si approprino delle credenziali di accesso.
Per garantire la sicurezza dei sistemi di pagamento on line, incombe in capo al titolare del conto l’obbligo di adottare tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate e di comunicare senza indugio alla banca il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento di pagamento (art.7 del D.Lgs.27.1.2010 n.11).
La violazione dell’obbligo, qualora sia imputabile a dolo o colpa del cliente e costituisca la causa dell’operazione di pagamento non autorizzata, può escludere la responsabilità dell’istituto di credito.
Non mancano pronunce infatti che attribuiscono alla grave negligenza del cliente la responsabilità dell’operazione truffaldina poiché incautamente ha fornito a terzi le proprie credenziali di accesso (ABF n.9649 del 28.5.2020) o altre pronunce che attribuiscono al cliente un concorso di responsabilità (ABF n.1006 del 4.6.2020).
Ogni violazione deve essere valutata singolarmente sulla base del concreto comportamento posto in essere dal cliente e sulla verifica degli strumenti di sicurezza apprestati dalla banca, soprattutto in un contesto normativo teso a garantire principalmente il cliente e ad attribuire il rischio professionale in capo all’istituto di credito.
È però doveroso precisare che alla banca è richiesta nell’approntare la sua condotta la diligenza massima, talché è più frequente che la vera causa dei furti operati con modalità telematica sia proprio imputabile all’istituto di credito.
Lo studio legale Dedoni, con i suoi avvocati specializzati nel diritto bancario è a disposizione per ogni consulenza e gestione del caso concreto.
Avv. Marcello Ibba mail: marcello.ibba@studiolegalededoni.it
Nato a Cagliari il 14 novembre 1973, è iscritto all’Albo presso il Consiglio dell’Ordine degli Avvocati di Cagliari dal 24 ottobre 2005 e collabora con lo Studio Legale Dedoni sin dal 2002.