Quante volte è capitato di ricevere nella propria casella di posta elettronica email in cui è presente la richiesta di inserimento dei codici di accesso all’home banking al fine dell’aggiornamento dei servizi e dei dati ?
Solitamente nel messaggio è indicato un link che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati.
Talvolta il logo appare del tutto identico a quello dell’istituto di credito provocando di fatto l’errore del correntista che, digitando fiducioso numero di adesione e pin, inserisce i propri dati riservati i quali, però, verranno immediatamente utilizzati per autorizzare transazioni a favore di terzi malintenzionati.
Home banking e truffa via web
Trattasi, dunque, di una vera e propria truffa effettuata sul web, con la quale criminali informatici ingannano la vittima convincendola a dare informazioni personali, dati o codici di accesso e password, facendole credere di essere proprio la sua banca in una comunicazione di tipo elettronico.
Il correntista che si sia accorto della sottrazione della somma, nei tempi stabiliti dalla regolamentazione, qualora l’attività fraudolenta non sia riconosciuta risarcibile dalla banca, prima di avviare l’attività di recupero in sede giudiziale, può presentare tramite il portale www.arbitrobancariofinanziario.it ricorso all’Arbitrato bancario e finanziario (ABF) che è sostanzialmente gratuito (in verità vi è un costo di soli Euro 20) e decide secondo diritto sicché le sue decisioni possono influenzare la successiva giurisprudenza di merito e perfino di legittimità in materia bancaria.
Ebbene, i vari orientamenti dell’ABF nell’analisi di queste problematiche sono quasi sempre a favore del correntista. Ed infatti, ai sensi dell’art. 10, co. 1 del D.lgs. n. 11/2010 – attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno -, il disconoscimento da parte del cliente dell’operazione fraudolenta implica l’inversione dell’onere probatorio. Sicché è l’istituto, nella sua qualità di prestatore di servizi di pagamento, a dover dimostrare la riconducibilità dell’operazione contestata al proprio correntista (Cass. Civ. Sent. n. 9158/2018).
In altre parole, deve essere sempre l’intermediario, sul qual incombono specifici obblighi di precauzione, primo tra tutti quello di garantire l’inaccessibilità dei dispositivi di pagamento a soggetti non autorizzati, a dover provare tutti i fatti idonei ad integrare la colpa grave del correntista. Con la conseguenza che sarà quest’ultimo, avendo violato gli obblighi nascenti dal contratto, a subire le conseguenze dell’utilizzo fraudolento dello strumento di pagamento (Cfr. Collegio di Milano, decisione n. 1588/2017 e la più recente decisione del Collegio di Milano, n. 577/19 del 10/01/2019).
Ma cosa deve intendersi per colpa grave del cliente ?
Trattasi invero di quella “straordinaria ed inescusabile imprudenza e negligenza”, caratterizzata non solo dall’omissione della diligenza media del buon padre di famiglia, ma anche da “quel grado minimo di diligenza osservato da tutti”.
Ne consegue, quindi, che, qualora l’e-mail truffaldina risulti palesemente falsa (perché redatta con errori marchiani e lessico inadeguato) rendendo lapalissiano lo scopo fraudolento, il cliente non può pretendere alcun risarcimento.
Ancora, se la banca dimostra di avere avvisato il cliente dell’assoluta necessità di non comunicare via email il proprio ID e la propria password, il ricorso all’autorità giudiziaria civile sarà certamente rigettato con condanna alle spese processuali per il cliente il quale, avendo ignorato le raccomandazioni della propria banca, versa in colpa grave e non avrà diritto al rimborso.
La Corte di Cassazione
Al di là di tali particolari ipotesi, però, precisa la Corte di Cassazione con sent. n. 9158/18 , “in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.
Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente.
La responsabilità degli Istituti di credito
A tal riguardo, si ricorda infatti che gli istituti di credito, nella predisposizione del sistema informativo utilizzato dai clienti per le operazioni bancarie ai sensi dell’art. 1176. comma II, c.c., devono necessariamente utilizzare la diligenza del bonus argentarius o accorto banchiere necessaria per un adeguato funzionamento e grado di sicurezza per lo stesso. Pertanto sono responsabili se soggetti terzi si introducono in maniera fraudolenta nel sistema telematico utilizzato dai propri clienti.
L’ accesso non autorizzato o l’impiego dei dati raccolti per finalità non conformi alla legge, genera in capo al gestore una forma di responsabilità oggettiva “aggravata” ex art. 2050 c.c., ove il prestatore del servizio, per andare esente da responsabilità, non deve solo dimostrare di aver adottato tutte le misure idonee ad evitare il danno, ma è tenuto a fornire la prova positiva di una causa esterna consistente in un fatto naturale, del terzo o dello stesso danneggiato che, per imprevedibilità ed inevitabilità, sfugge alla sfera di controllo dell’esercente l’attività pericolosa.
La banca, ad esempio, può escludere la sua responsabilità civile dimostrando al giudice di avere adottato sistemi che dovrebbero garantire la sicurezza delle transazioni (sistema Otp: one time password) oppure avendo consegnato al cliente una “chiavetta” che indica di volta in volta un pin code da inserire dopo avere digitato ID e password.
E’ quanto statuito dalla decisione dell’ABF di Napoli n. 2121/14.
Avv. Dario Coglitore