E’ responsabile la banca se non blocca subito il conto corrente oggetto di phising

In materia di internet banking deve affermarsi la responsabilità dell’istituto di credito che, a conoscenza dell’illegittima sottrazione ai danni del proprio correntista di credenziali e password, ad opera di terzi, non abbia cautelativamente e immediatamente provveduto al blocco del conto corrente del medesimo cliente. Lo precisa il Tribunale di Ragusa con la sentenza 7 marzo 2024 nr. 420.

Il fatto – Il Tribunale di Ragusa è chiamato a pronunciarsi in materia di phishing, ovvero su quel procedimento che, pur senza violare il sistema di sicurezza degli istituti bancari, riesce a catturare i codici di accesso all’internet banking dei clienti.

La vicenda posta all’attenzione dell’adito Giudice origina, in estrema sintesi, dalla telefonata ricevuta da un correntista (attore) da parte di un individuo che si qualificava come addetto alla sicurezza di un istituto di credito (convenuto) ma che in realtà era un truffatore, il quale sollecitava il suo interlocutore telefonico ad una serie di operazioni per mettere in sicurezza la sua carta di credito.

Operazioni tra le quali vi era anche l’inserimento del codice di sicurezza e in conseguenza delle quali venivano effettuati prelievi non autorizzati sul conto corrente bancario. Da parte sua, il vero servizio antifrode della banca rilevava prontamente le anomalie riferite all’utenza del cliente truffato ma non bloccava con altrettanta immediatezza, e con efficienza, il servizio di home banking per cui la truffa proseguiva e si aggravava.

La decisione del Tribunale di Ragusa – Nell’ambito dei cyber crimes, si colloca il phishing, termine derivante dal vocabolo inglese “fishing” (pescare) associato a “phreaking” (hacking telefonico), consistente in una tecnica fraudolenta di social engineering mirante a carpire informazioni personali e sensibili facendo leva sugli aspetti sociali di internet, con il fine di consumare illeciti bancari attraverso la rete, accedendo ai sistemi di home banking, ovvero a conti correnti e servizi online, per disporre dei depositi attraverso operazioni e bonifici attuati in frode ai titolari.

Nella maggior parte delle volte gli intestatari dei conti correnti on line ricevono una email (ma può trattarsi anche di una telefonata come nel caso all’esame del Giudice di Ragusa) che sembra inviata dall’istituto bancario in cui si richiede di cliccare su di un link e di inserire i codici di accesso.

In realtà, seguendo le istruzioni riportate, il cliente si collega ad un sito clone ove il truffatore riesce a catturare le informazioni personali inserite, per poi utilizzarle a proprio beneficio (Trib. Nola, 11 gennaio 2024, n. 2055).

Il tema è dunque quello della sicurezza nell’esecuzione di operazioni di pagamento a distanza, ossia tramite internet o tramite un dispositivo che può essere utilizzato per comunicare a distanza.

Il sistema di autenticazione – Nella disciplina comunitaria, allo stato, il sistema più evoluto di autenticazione è quello che prevede l’autenticazione del cliente non solo tramite le credenziali statiche (UserId e Pin), consegnate al cliente al momento dell’apertura del rapporto e solo da lui conosciute, ma anche attraverso l’utilizzo di un codice dinamico, detto OTP (one time password), ovvero un codice cifrato monouso generato contestualmente all’accesso al servizio/esecuzione dell’operazione e con durata limitata nel tempo.

L’utente dovrebbe così poter fare affidamento sull’adozione di misure che tutelano la riservatezza e l’integrità delle credenziali di sicurezza personalizzate.

Tali misure comprendono, di norma, sistemi di cifratura basati su dispositivi personali del pagatore, tra cui lettori di carte o telefoni cellulari. A tal fine è stato imposto l’obbligo ai prestatori di servizi di pagamento di applicare, sia in fase di accesso al conto on line, sia in fase di pagamento elettronico, l’autenticazione forte del cliente che comprenda elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico nel rispetto delle norme tecniche dell’Autorità Bancaria Europea.

Mentre in precedenza l’OTP veniva generato dal cd. Token, ovvero un dispositivo fisico fornito al cliente dal prestatore di servizi di pagamento per generare l’OTP, oggi è prevista la creazione di un OTP personalizzato generato attraverso un algoritmo che utilizza i dati specifici dell’operazione da autorizzare (Trib. Prato, 11 febbraio 2024).

La fattispecie in esame può essere ricondotta nell’alveo del Dlgs n. 11/2010 norma di attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno.

Occorre in limine evidenziare che l’articolo 7 Dlgs n. 11 cit. come modificato dal Dlgs n. 218/2017, che ha recepito la direttiva 2007/64/CE, pone a carico dell’utente abilitato all’utilizzo di uno strumento di pagamento, tra l’altro, l’obbligo di utilizzare lo strumento di pagamento in conformità con i termini esplicitati nel contratto quadro, e di adottare le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate.

Inoltre, l’articolo 10, in ordine all’onere della prova in caso di operazioni contestate e disconosciute dal cliente, pone a carico del prestatore di servizi di pagamento di provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

E dunque, ai fini dell’accertamento della responsabilità dell’istituto di credito in ipotesi di phishing occorre in primis verificare se lo stesso abbia posto in essere un sistema di autenticazione forte, idoneo come detto a proteggere le operazioni del cliente da interventi fraudolenti di terzi.

L’inadempimento dell’istituto di credito – Un secondo profilo sarà poi la valutazione dell’(eventuale) inadempimento del medesimo istituto sotto il profilo dell’intempestivo intervento volto a bloccare le operazioni fraudolente.

Il tutto fermo restando che, sulla base del fatto notorio che esistono tentativi di frode effettuati tramite gli ordinari mezzi di comunicazione, viola la normale diligenza il cliente che comunichi a terzi il PIN rendendo così possibile l’effettuazione di disposizioni illecite (Trib. Napoli, sez. II, 1 marzo 2024, n. 2456).

Quanto alla presa in carico della segnalazione di disposizioni disconosciute dall’utente la circostanza che la segnalazione stessa avvenga in un giorno festivo non può esimere la banca da responsabilità laddove si consideri che un intermediario finanziario qualificato deve necessariamente predisporre strumenti tempestivi di intervento rispetto alle segnalazioni dei propri clienti atti a disconoscere operazioni presuntivamente fraudolente così da contrastare un fenomeno sempre più diffuso.

La natura giuridica della responsabilità della banca per operazioni poste in essere con strumenti elettronici, in riferimento in particolare al profilo della riconducibilità delle stesse non già all’effettivo volere cliente bensì all’illecito consumato da parte di terzi, è contrattuale potendo così essere esclusa in presenza di una colpa grave del medesimo utente (Cass. civ., sez. I, 3 febbraio 2017, n. 2950; Cass. civ., sez. I, 23 maggio 2016, n. 10638).

Non può peraltro ritenersi provata la colpa grave del cliente ogniqualvolta egli incorra in un phishing, dovendosi piuttosto distinguere caso per caso, a seconda della tecnica utilizzata dal truffatore per porre in essere il phishing, in quanto tale tecnica è in grado di conferire un diverso rilievo giuridico alla condotta del cliente.

In particolare, non possono essere sovrapposti i casi in cui la trappola informatica sia nota e riconoscibile dal cliente, e dunque sia ravvisabile una colpa grave dello stesso – si pensi all’sms o alla e-mail di dubbia provenienza che richiedano l’inserimento dei codici di accesso al sistema informatico – con quelli in cui la tecnica truffaldina si presenta più sofisticata e subdola, come nel caso di trojan che carpiscano i dati del cliente attraverso maschere di pop up frapposte nel sito dell’intermediario o attraverso il reindirizzamento su siti clone di quello della banca.

In questi ultimi casi, infatti, la truffa viene perpetrata attraverso un sofisticato metodo di intrusione caratterizzato da un “effetto sorpresa” capace di spiazzare il cliente, il quale non ha elementi per dubitare della genuinità dell’operazione che sta compiendo (Trib. Padova, sez. II, 21 novembre 2023, n. 2309).

Fonte: Il Sole 24 Ore – di Giuseppe Cassano