In materia di internet banking, il Tribunale di Ragusa sez. civ. è intervenuto, con sentenza n. 420 del 7 marzo 2024, ad affermare la responsabilità della Banca per phishing, la quale venuta a conoscenza di sottrazione di credenziali e password home banking ai danni del proprio correntista, ad opera di terzi, non abbia cautelativamente provveduto al blocco del suo conto corrente. Analizziamo insieme ad un team di avvocati esperti in tema di responsabilità civile, cosa è tenuta a fare la banca nei casi assai diffusi di sottrazione di credenziali e password dell’home banking attraverso la tecnica del phishing nei confronti del proprio cliente correntista.
Lo Studio Legale Bertuzzi e Associati forte dell’esperienza e competenza maturata nel tempo ti consente di fare chiarezza sulla questione se debba ritenersi responsabile l’istituto di credito che, sebbene abbia prontamente rilevato anomali movimenti bancari non provveda a bloccare immediatamente l’utenza del cliente raggirato. Siamo qui per aiutarti a comprendere le regole dettate in codesto settore, tutelando i tuoi diritti al fine di ottenere i migliori risultati possibili. Contattaci subito e richiedi una consulenza personalizzata a te e alle tue esigenze.
Responsabilità della Banca per phishing: il caso di specie
Nel caso in esame il cliente, titolare di un conto corrente, dopo aver ricevuto una telefonata da parte di un presunto addetto ai sistemi di sicurezza della banca, veniva sollecitato da quest’ultimo a modificare in tempo reale il suo codice PIN e la password del servizio di home banking, motivando tale richiesta con la necessità di mettere in sicurezza il conto corrente e la app di home banking del correntista.
Il correntista, confidando nella legittimità della richiesta, inseriva tramite il tastierino numerico, i nuovi dati richiesti dal presunto addetto ai sistemi di sicurezza della banca, che divenuti così immediatamente visibili venivano repentinamente utilizzati da quest’ultimo per compiere prelievi dal conto corrente del cliente raggirato.
La Banca, pur rilevando in tempo reale le movimentazioni anomale sul conto corrente del proprio cliente, tuttavia non si adoperava al fine di adottare le misure di sicurezza adeguate al caso, trascurando di provvedere al blocco del servizio di home banking e permettendo così la reiterazione del reato da parte del truffatore.
A seguito del danno subito, il correntista decideva pertanto di agire in giudizio al fine di ottenere la condanna dell’istituto bancario per inadempimento negoziale oltre al risarcimento del danno.
Responsabilità della Banca per phishing: il phishing e la normativa di riferimento in tema di responsabilità dell’istituto di credito
In tema di responsabilità dell’istituto di credito in ipotesi di phishing ovvero di un particolare ed alquanto diffuso tipo di truffa effettuata su Internet, attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali (numero della carta di credito), codici di accesso (password), fingendosi un ente affidabile in una comunicazione digitale al fine di sottrarre indebitamente somme di denaro, vige il D.Lgs n. 27 gennaio 2010, n. 11, modificato dal D. Lgs. n. 218/17, di attuazione della direttiva 2015/2366/EU.
Il comma 1 dell’art. 10 del citato D.Lgs. prevede che l’istituto di credito deve provare di aver adottato tutte le misure idonee a evitare il danno, di aver osservato la diligenza qualificata e che l’operazione non autorizzata è riconducibile alla volontà del cliente o alla sua grave negligenza. Ricade pertanto in capo al prestatore di servizi di pagamento (ovvero la banca) l’onere di provare che l’operazione di pagamento, disconosciuta dall’utente, “è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Ai fini dell’accertamento della responsabilità dell’istituto di credito in ipotesi di phishing, occorre nella pratica, dapprima verificare se la banca abbia predisposto un sistema di autenticazione forte, idoneo a proteggere le operazioni del cliente da interventi fraudolenti di terzi.
La sottrazione dei codici mediante tecniche fraudolente è un rischio d’impresa che la banca deve gestire adottando misure idonee a prevenire o ridurre l’uso fraudolento dei sistemi di pagamento (Cassazione civile sez. III, 12/02/2024, n.3780).
Inoltre, il comma 2 dell’art. 10 del predetto D.Lgs. stabilisce che nel caso in cui l’utente correntista neghi di aver autorizzato una operazione di pagamento, l’istituto di credito deve fare di più che semplicemente dimostrare che lo strumento di pagamento è stato utilizzato. Ciò significa che la banca deve fornire ulteriori prove che dimostrino in modo convincente che l’operazione è stata autorizzata dal correntista, ovvero che costui ha agito con dolo o colpa grave. A tal proposito, “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell’utente”. (Cass. Civ., sez. VI, ord. 26916/2020). La banca deve dunque fornire la prova positiva che le operazioni disconosciute dal cliente siano riconducibili alla volontà di quest’ultimo o alla sua grave negligenza. La colpa grave del correntista, infatti, non può ritenersi integrata a priori ma va invece verificata caso per caso, ovvero a seconda della tecnica phishing utilizzata dal truffatore capace di suscitare il cd. “effetto sorpresa” e spiazzare la vittima.
In caso di phishing, il comportamento del correntista è considerato imprudente e negligente se quest’ultimo ha fornito i propri codici personali in risposta ad una richiesta fraudolenta (Cass. Civ. sez. I, 13/03/2023, n. 7214).
Responsabilità della Banca per phishing: conclusioni
Alla luce delle predette considerazioni, l’istituto bancario che – pur rilevando tempestivamente la movimentazione fraudolenta – avverta il cliente ma non provveda a bloccare immediatamente il conto al fine di tutelare la posizione del correntista, è responsabile di inadempimento e per questo condannata al risarcimento.
Contatti: https://legalebertuzziassociati.it/contact-studio-legale-bertuzzi/