Fenomeno phishing: la banca risponde del denaro sottratto al correntista.

La pronuncia in esame aderisce all'indirizzo giurisprudenziale diretto a tutelare il correntista fruitore del servizio di home banking a fronte della sottrazione fraudolenta di denaro.

Si ricorda che per home banking si intende il compimento di transazioni bancarie condotte tramite terminali connessi alla rete, mentre con mobile banking ci si riferisce alle medesime attività svolte tramite supporto mobile.

Con phishing si fa riferimento ad una truffa operata tramite Internet, caratterizzata dall’invio di messaggi di posta elettronica mendaci che imitano la grafica di istituti di credito e postali; le suddette e-mail inducono in errore l’utente rinviando ad un sito-truffa che appare del tutto equipollente all’originale, portando il malcapitato a digitare le proprie credenziali, per poi carpirle ed impiegarle fraudolentemente al fine di sottrarre liquidità.

Nel caso in commento, i correntisti si erano visti addebitare un bonifico per un importo di poco inferiore a 4.000,00 euro e, a seguito di denuncia, si erano rivolti alla propria banca per ottenere la ripetizione della somma, la cui erogazione non era stata da loro autorizzata.

A fronte del rifiuto dell’istituto creditizio, avevano agito in sede giurisdizionale.

Ebbene, il giudice di pace adito inquadra la fattispecie nell’ambito della responsabilità contrattuale stante l’esistenza di un rapporto di conto corrente tra gli attori e la banca convenuta; richiama, altresì, l’orientamento della Suprema Corte secondo cui l’istituto di credito deve adottare tutte le misure idonee a garantire la sicurezza del servizio, giacché la diligenza ad esso richiesta (art. 1176 c. 2 c.c.) ha natura tecnica e «deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere».

In particolare, nel caso di erogazione del servizio di home banking, la banca deve garantire uno standard di sicurezza adeguato nell’effettuazione dei pagamenti al fine di precludere l’accesso a soggetti non abilitati al sistema.

L’istituto di credito, pertanto, può considerarsi esente da responsabilità solo qualora dimostri l’adozione dei succitati meccanismi di tutela del cliente e soprattutto la messa in atto di misure idonee a scongiurare il verificarsi di condotte fraudolente.

Sotto il profilo probatorio, ai clienti è sufficiente dimostrare la fonte del proprio diritto (vale a dire il contratto di conto corrente) ed allegare l’inadempimento, mentre spetta alla banca provare il fatto estintivo dell’altrui pretesa.

Nel caso qui d'interesse, la suddetta prova non è stata fornita. Inoltre, nella presente fattispecie, trova applicazione quanto disposto dall’art. 15 del d. lgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali); tale norma prevede la risarcibilità nei casi in cui il trattamento dei dati personali cagioni un danno, equiparando il suddetto trattamento all’esercizio di un’attività pericolosa.

Trattasi, a ben vedere, di responsabilità oggettiva, in cui la prova liberatoria consiste nel dimostrare di avere assunto tutte le misure idonee ad evitare il danno.

A ciò si aggiunga che l’art. 31 del d. lgs. 30 giugno 2003 n. 196 dispone che la custodia dei dati debba avvenire in ossequio alle conoscenze acquisiste in base al progresso tecnico del momento, in modo da ridurre al minimo i rischi ad essa connessi. Le misure idonee, nel caso oggetto di scrutinio, potevano ravvisarsi nella doppia autenticazione e nella conferma dell’operazione con apposito pin inviato tramite sms al titolare del conto.

Trattasi del meccanismo dell’One Time Password (OTP), vale a dire l’impiego di una parola chiave temporanea, usa e getta, che rende le transazioni molto più sicure dato che è impiegabile una volta soltanto.

Per le ragioni sopra esposte, il giudice di pace di Campobasso ha riconosciuto agli attori il diritto alla restituzione della somma loro sottratta. L’orientamento della giurisprudenza dominante, ormai, è in tal senso; ad esempio, il Tribunale di Milano, in una recente pronuncia, sottolinea come, a partire dal 2005, i principali istituti di credito europei (e non solo) si siano dotati di meccanismi di autenticazione OTP nei casi di servizio bancario erogato on line e, proprio perciò, ha ritenuto responsabile la banca convenuta «per non essersi ancora adeguata agli standard di sicurezza dei sistemi informativi, non avendo adottato, nel servizio di “ home banking”, quel sistema di autenticazione basato su OTP, che all’epoca dei fatti costitutiva uno standard consolidato per la tutela dei clienti di banche dal phishing e dai programmi spia». Del pari, una sentenza del Tribunale di Firenze ha ravvisato la responsabilità delle Poste per non aver impiegato misure idonee ad evitare la sottrazione fraudolenta di somme ai correntisti.

Recentemente, inoltre, la Suprema Corte si è pronunciata sul caso della sottrazione fraudolenta di somme da un bancomat smarrito ed ha statuito quanto segue: «ai fini della valutazione della responsabilità della banca per il caso di utilizzazione illecita da parte di terzi di carta bancomat, non può essere omessa, a fronte di un’esplicita richiesta della parte, la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio da eventuali manomissioni, nonostante l’intempestività della denuncia dell’avvenuta sottrazione da parte del cliente».

In materia di uso fraudolento della carta di pagamento o di sottrazione delle credenziali nell’home banking, si segnala, altresì, che l’ABF (Arbitro Bancario Finanziario), ha emesso vari provvedimenti con i quali si è ribadito l’obbligo per la banca di rimborsare le somme sottratte, invito domino, al cliente. Si ricorda tuttavia che l’istituto di credito non è tenuto a risarcire il correntista allorché provi che la sottrazione dei dati a quest’ultimo o dello strumento di pagamento (bancomat) sia avvenuta a causa di una condotta negligente od imprudente del suo titolare.