Phishing bancario: le truffe di nuova generazione. Il diritto al rimborso e la colpa grave della vittima

Phishing bancario: le truffe di nuova generazione. Il diritto al rimborso e la colpa grave della vittima

Il phishing bancario è una particolare tipologia di truffa, perpetrata attraverso e-mail, sms (smishing), telefonate (vishing) apparentemente provenienti dalle banche.

Il truffatore trae in inganno la vittima contattandola o mediante e-mail e sms, riproducenti la grafica dell’istituto e contenenti un link che rinvia al “sito-truffa” – in apparenza simile all’originale – o, nel caso di vishing, attraverso chiamate apparentemente provenienti dal numero verde dell’istituto di credito stesso.

In tal modo, il truffatore invita la vittima ad accedere alle proprie aree riservate. La vittima, ritenendo di essere stata contattata dalla propria banca, inserisce le proprie credenziali, consentendo così al malintenzionato di accedere al proprio conto al fine di sottrarre le sue disponibilità.

La normativa in materia è contenuta nel D.Lgs. 11/2010 (emanato in attuazione della Direttiva 2007/64 CE[1] e successivamente modificato dal D. Lgs. 218/2017[2], in attuazione della Direttiva 2015/2366/UE, in vigore dal 13/01/2018 ed operativa dal 14/09/2019).

Tale decreto, in particolare, all’art. 10, co. 1, stabilisce che qualora il cliente neghi di aver autorizzato un’operazione di pagamento, è onere dell’istituto bancario (prestatore di servizi, intermediario) provare che l’avvenuta operazione di pagamento: è stata autenticata; è stata correttamente registrata e contabilizzata; e che non ha subito il malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti.

Pertanto, chi si accorge di essere stato vittima di una truffa informatica e proceda immediatamente a segnarla, disconoscendo l’operazione di pagamento, avrà diritto al rimborso immediato della somma illecitamente sottratta, mentre spetterà all’Istituto bancario o postale, provare che l’operazione di pagamento sia stata regolarmente autorizzata[3].

Ai sensi dell’art. 10, co. 2, tale prova da parte dell’istituto di bancario non è tuttavia sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi sul medesimo gravanti di cui all’art. 7 (vd. infra), essendo onere dell’istituto bancario fornire la prova della frode, del dolo o della colpa grave in capo all’utente [4].

L’art. 10, pertanto, istituisce un regime di speciale protezione e di speciale favor probatorio a beneficio degli utenti, essendo onere della banca dimostrare la colpa grave ovvero il comportamento fraudolento dell’utente. Per quanto attiene alla prova – come già affermato dal Collegio di Coordinamento, Dec. n. 897/2014, e ribadito nella più recente Dec. n. 22745/2019, essa dev’essere fornita mediante “indizi chiari, precisi e concordanti”, idonei a comprovare che l’utente non abbia custodito il mezzo di pagamento con la dovuta diligenza, ovvero, fermo restando che “la produzione documentale volta a provare l’autenticazione e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio”, la prova dev’essere fornita dall’istituto bancario mediante “una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.

La responsabilità dell’utente è circoscritta, pertanto, ai soli casi di comportamento fraudolento del medesimo, nonché al suo doloso o gravemente colposo inadempimento degli obblighi ex art. 7, i quali consistono:

1) nell’uso da parte degli utenti dello strumento di pagamento in conformità alle condizioni contenute nell’accordo-quadro che regola il servizio, (quali obiettive, non discriminatorie e proporzionate) adottando le misure idonee atte a garantire la sicurezza delle credenziali personalizzate; per converso, la banca deve assicurare che tali credenziali non siano accessibili a soggetti diversi dall’utente;

2) nella tempestiva denuncia di furto, smarrimento, appropriazione indebita o altro uso non autorizzato dello strumento di pagamento alla banca o ad altro soggetto da questi indicato, non appena ne viene a conoscenza, secondo le modalità stabilite nell’accordo-quadro. La comunicazione da parte dell’utente deve, in ogni caso, essere effettuata entro 13 mesi ai sensi dell’art. 9, co. 1.

Peraltro, la prova incombente sull’istituto bancario dev’essere letta in combinato disposto con il principio generale previsto dall’art. 1218 c.c., che – in base all’interpretazione della Suprema Corte[5], recepita dai diversi Collegi dell’ABF[6] – impone all’intermediario di provare di aver adempiuto agli obblighi di custodia e salvaguardia delle somme dei clienti con la “diligenza del buono ed accorto banchiere[7] (art. 1176, co. 2, c.c.), considerato anche che nei rapporti contrattuali con il cliente “risponde secondo le regole del mandato” (art. 1856 c.c.).

Per tale motivo, infatti, ciò che rileva è altresì che l’istituto bancario, oltre a fornire il servizio di home banking, debba adottare tutti gli strumenti di controllo atti ad impedire che soggetti terzi possano introdursi nel sistema, nonché attaccarlo, proteggendo gli utenti. Infatti, lo stesso art. 8, co. 1, lett. a) del D.Lgs. 11/2010 impone espressamente al prestatore di servizi doveri di sicurezza a garanzia dell’utente.

Alla luce di quanto esposto sinora, appare evidente che se l’utente nega di aver autorizzato la transazione (che potrebbe derivare da un episodio di phishing, smishing o vishing), la relativa perdita è a carico del cliente stesso solo ed esclusivamente se risulta il dolo o la colpa grave del cliente.

In materia, però, non si può non considerare come tale fenomeno di frode informatica negli ultimi anni, si sia alquanto diffuso.

Per tale motivo, di recente, i Collegi si sono orientati per riconoscere, in tutto o in parte – quanto meno nelle ipotesi classiche di phishing perpetrate mediante SMS ed email – l’esistenza di una colpa in capo all’utente. Trattasi della cd. “colpevole credulità”, in quanto la vittima comunica le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario, abboccando a forme di truffa ormai note anche ai non esperti della materia, non tenendo conto anche delle abbondanti campagne preventive adottate dagli istituti bancari in tema di cybercrimes.

Non a caso, il Collegio di Roma, con decisione n. 396/2020, ha affermato che “il Collegio di coordinamento ha chiarito che mentre non può ravvisarsi un comportamento colposo del cliente qualora egli, a causa di un virus (malware, trojan, man in the browser), si veda sottrarre le proprie credenziali di accesso, è invece senz’altro connotato dall’elemento soggettivo della colpa grave il comportamento di chi “abbocchi” ad una tradizionale mail di phishing. Nello specifico il Collegio di coordinamento, con la decisione n. 3.498/2012, ha identificato il phishing c.d. tradizionale nella situazione in cui “ … il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet”, escludendo, pertanto, la responsabilità dell’istituto di credito.

Ovviamente, non è detto che la soluzione sia sempre analoga, in quanto essa dipende da molteplici fattori, quali il caso concreto, il comportamento dell’utente, nonché dell’istituto bancario, non potendo escludere, a priori, una responsabilità della banca, la quale, talvolta, anche stragiudizialmente, su richiesta della vittima, rimborsa in tutto o in parte le somme sottratte tramite Phishing.

 

 

 

 

 


[1] Conosciuta anche come Payment Services Directive (PSD).
[2] C.d. PSD2
[3] v. Cass. sent. n.  9158/2018, la quale ha da ultimo risolto un caso che vedeva due correntisti agire in giudizio contro Poste Italiane S.p.A., riconoscedone il diritto al rimborso e sostenendo che “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente”.
[4] In tal senso vd. anche Coll. Bologna, Dec. n. 7258/2020; v. anche ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca (in tale decisione, però, ha riconosciuto la colpa grave del cliente).
[5] Cass., sez. I civ., 24/09/2009, n. 20543 secondo cui “la diligenza del buon banchiere deve essere qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell’agente consente e richiede”; v. anche Cass., sez. I civ., 12/06/2007, n. 13777 ove si ha l’affermazione del medesimo principio con riguardo agli strumenti aventi funzione di pagamento o che comunque si avvalgono di mezzi meccanici o elettronici.
[6] Coll. Roma, Dec. n. 960/2012; Coll. Milano, Decc. nn. 2191/2012 e 1725/2012.
[7] In merito vd. anche Coll. Bari, Dec. n. 13094/2017 che riporta la Cass. civ., sez. I, 03/02/2017, n. 2950: secondo la S.C. la disciplina speciale, in tema di strumenti di pagamento, ha esplicitato un principio generale, in tema di onere probatorio a carico del debitore professionale, nelle azioni di risoluzione contrattuale, risarcimento del danno o adempimento, “in quanto si è ritenuto che non può essere omessa la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio […]; infatti la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (sulla scia di Cass., 12/06/2007, n. 13777., cfr., ex ultimis, Cass., 12/04/2018, n. 9158).
[8] Coll. Milano, Decc. nn. 111/2012 e 113/2012.
[9] Coll. Milano, Dec. 528/2012.

Salvis Juribus – Rivista di informazione giuridica
Ideatore e Coordinatore Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it

Articoli inerenti