Furti di identità per l’accesso ai servizi di home banking: le banche sono responsabili se non provano la colpa del cliente.

 

Sono aumentati nel 2021 – secondo il rapporto della Polizia Postale e delle Comunicazioni – le frodi online da parte di ignoti, più comunemente conosciute, a seconda della metodologia utilizzata, come spoofing, phishing, mishing, vishing  … ovverosìa trappole ben architettate da criminali per ingannare i malcapitati e carpire loro informazioni riservate o dati sensibili (nomi utente, indirizzo e mail, password ..) che permettano l’accesso su servizi online (quali home banking), con consequenziale sottrazione di denaro.

Queste tecniche vengono realizzate normalmente attraverso l’invio di una e-mail o sms o attraverso chiamate telefoniche, solo apparentemente provenienti da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l’accesso previa registrazione (web-mail, e-commerce ecc.).

I messaggi, il più delle volte riferendo di anomalie sui conti correnti o problemi di registrazione o di altra natura, invitano l’utente a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell’istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è fraudolentemente allestito in modo identico a quello originale. Qualora l’utente inserisca le proprie credenziali, il gioco è fatto: con i dati così ottenuti i criminali possono facilmente sottrarre denaro dai conti.

E’ facile incappare in queste frodi, considerato che i criminali riescono a carpire la fiducia dell’utente, inviando sms con lo stesso numero identificativo del servizio dell’istituto di credito (che quindi appaiono nella messaggistica ufficiale della banca) oppure effettuando chiamate (apparentemente) provenienti dal servizio clientela della banca.

E’ chiaro che, in tali casi, vi sia un affidamento incolpevole da parte dell’utente truffato, che confida sia sulla sicurezza degli sms ricevuti e dei link allegati, in quanto provenienti dai canali ufficiali, sia sull’affidabilità degli interlocutori, le cui chiamate provengono da “reali” numeri riferibili a istituti di credito.

Eppure spesso e volentieri i malcapitati vedono respingere le richieste di rimborso rivolte ai loro istituti di credito, in quanto ritenuti rei di aver custodito le credenziali di accesso allo strumento di pagamento in modo negligente.

Fino a pochi anni fa, molteplici pronunce, sia dei giudici ordinari che dei collegi ABF (Arbitro Bancario e Finanziario), infatti, esoneravano da responsabilità gli istituti di credito qualora avessero fornito la prova di aver adottato un sistema di autenticazione efficace e protetto, presumendo in tal caso la colpa dell’utente per non aver adeguatamente custodito le credenziali di accesso ai servizi online o per averle volontariamente riferite al sedicente operatore.

Di recente questo orientamento è stato messo in discussione, non ritenendolo coerente con la lettera e con la ratio della disciplina dettata dal d.lgs. n. 11/2010, attuativo della Direttiva Europea per i Servizi di Pagamento (detta anche PSD, acronimo di “Payment Services Directive”), emanata per realizzare un quadro comune di regole per i Paesi Europei, rafforzare diritti e tutele degli utilizzatori e accrescere la concorrenza del sistema.

La disciplina del d.lgs. 11/2010, infatti, non solo esprime il massimo favor verso l’utente (questi, infatti,  non deve fare altro che contestare la abusiva utilizzazione dello strumento di pagamento, non essendo tenuto a provare di aver adeguatamente custodito i propri codici di accesso), ma, soprattutto, fa ricadere sull’intermediario l’onere di provare l’inadempimento doloso o gravemente colposo del cliente, con l’importante precisazione che tale prova non può essere ricavata dalla “regolarità formale” delle operazioni (ossia dalla circostanza che nei sistemi informatici dell’intermediario la transazione risulta disposta mediante il corretto utilizzo delle credenziali di accesso).

Sulla base della suddetta disciplina, attualmente l’orientamento giurisprudenziale prevalente (si veda ad esempio Corte Appello Bologna, n. 1352/2020; Cass. Civ. 9158/2018) ritiene che in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), l’utilizzazione dei servizi telematici da parte dei correntisti (home banking) rientri nell’area del rischio professionale della banca. In forza di ciò, per andare esente da responsabilità è onere della banca fornire la prova della riconducibilità dell’operazione a un comportamento doloso o gravemente colpevole del cliente.

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close