Il gioco delle parti nella verifica dei crediti

Phishing: fino a che punto l’intermediario concorre nel causare l’evento pregiudizievole?

Con la decisione in commento, il Collegio di Milano è stato chiamato a pronunciarsi su un caso di cd. “phishing”, soffermandosi sul discusso tema della responsabilità dell’intermediario nelle truffe informatiche a danno dei clienti.

Nel caso di specie, il ricorrente rispondeva ad una mail, apparentemente proveniente dalla sua Banca, ove veniva invitato a contattare l’ufficio frodi ad un numero specificatamente indicato.

L’interlocutore lo informava che dei beneficiari esteri stavano per compiere acquisti con la sua carta per l’importo di € 2.550,00; così, dietro specifica richiesta dell’interlocutore, il ricorrente bloccava la carta fornendo a quest’ultimo il codice OTP ricevuto sul proprio cellulare (codice che sarebbe servito ad autorizzare l’operazione per poi stornarla).

Insospettitosi, successivamente, chiamava il servizio clienti che gli confermava di esser stato vittima di cd. “phishing”.

Constatato ciò, il cliente chiedeva il rimborso della somma corrispondente al valore dell’operazione disconosciuta.

Il fenomeno del cd. “phishing” rientra nell’ambito dei cyber crimes, e consiste in una tecnica fraudolenta di “social engineering” che mira a carpire informazioni personali e sensibili degli utenti, al fine di consumare illeciti bancari attraverso la rete, accedendo ai sistemi di home banking ovvero a conti correnti e servizi online per disporre dei depositi attraverso operazioni e bonifici attuati in frode ai titolari.

La tesi prevalente in dottrina, accolta anche dalla giurisprudenza maggioritaria, individua tra i soggetti responsabili del danno anche gli stessi istituti di credito che, a loro volta, sono vittime del phisher.

Tale responsabilità, a cui sovente consegue un risarcimento dei danni patiti dai correntisti, si fonda sul presupposto di un’inadeguatezza delle “misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico” tese ad “evitare prelievi fraudolenti (c.d. phishing)“.

Con la Decisione in commento, il Collegio di Milano, tuttavia, accoglie solo parzialmente il ricorso del cliente facendo riferimento alla normativa in materia  riportata dal D.lgs. n. 11/2010, come modificato dal D.lgs. n. 218/2017, di attuazione della Direttiva 2015/2366/EU (PSD II).

Ed invero, secondo la normativa di settore, l’intermediario ha l’onere di allegare l’insussistenza di malfunzionamenti dei dispositivi di pagamento, nonché l’autenticazione, la corretta registrazione e contabilizzazione della operazione disconosciuta, prova comunque di per sé non sufficiente a dimostrare il dolo o la colpa grave dell’utente.

Nel caso che ci occupa, la Banca produceva le evidenze dell’operazione disconosciuta, idonee a comprovare che la stessa era stata realizzata mediante i codici identificativi statici e i dispositivi di sicurezza dinamici affidati al cliente, per mezzo dei quali è stata resa possibile la transazione e la contestuale autenticazione ad opera dell’utente.

Allegava, altresì, l’evidenza dell’invio al cliente del sms contenente il codice OTP con il testo che la necessità del codice al fine di completare l’operazione disconosciuta, sul sito estero a favore del quale era avvenuta.

L’intermediario, infine, produceva i log relativi all’operazione, attestanti la corretta autenticazione e, in particolare, il rispetto dei protocolli di sicurezza con riferimento alle operazioni 3D secure.

Quanto al livello di diligenza del cliente, il Collegio rileva un evidente concorso di colpa dello stesso atteso che, con un comportamento ritenuto gravemente colpevole, rendeva possibile l’operazione fraudolenta.

Prosegue la Decisione, rilevando che trattasi ormai di fenomeni abbastanza noti per cui gli intermediari mettono sempre in guardia i clienti – nel caso di specie l’sms era chiaramente fraudolento anche perché, significativamente, non rimandava ad un “numero verde” o al numero del servizio clienti della Banca ma ad un numero di telefono fisso.

È interessante osservare come l’onere probatorio, nel caso che ci occupa, non venga esclusivamente posto a carico dell’intermediario ma venga equamente ripartito; ed invero, il Collegio richiedeva al ricorrente una produzione integrativa (“copia di sms analoghi a quello truffaldino ma precedenti rispetto al medesimo”) che attestasse una eventuale confondibilità con i precedenti messaggi inviati dalla Banca nonché una idoneità ad indurre il cliente in errore incolpevole.

Le integrazioni richieste dal Collegio, tuttavia, non venivano allegate.

In conclusione, il Collegio accoglie parzialmente il ricorso sul presupposto che non si possa escludere che l’intermediario abbia concorso nella causazione dell’evento pregiudizievole, atteso che non era stato dato rilievo al carattere anomalo dell’operazione, rispetto a quelle usuali del cliente.

La Decisione, infatti, viene motivata citando gli Orientamenti finali dell’EBA “sulla sicurezza dei pagamenti via internet” (richiamati anche dalla Circolare n. 285 del 2013 della Banca d’Italia, aggiornata nel marzo 2019) i quali prevedono che gli intermediari adottino sistemi di monitoraggio delle operazioni sospette basate, tra l’altro, sull’analisi dei “modelli di comportamento anomalo del cliente”, in relazione, per esempio, alle “categorie di operatori commerciali online atipici per un cliente specifico o transazioni con dati anomali”.

In una tale prospettiva ove l’intermediario, come nella specie, non predisponga un sistema automatico di evidenziazione e di blocco di operazioni e non in linea con l’usuale agire del proprio cliente, può ravvisarsi un comportamento non conforme allo standard di diligenza professionale richiesto dall’art. 1176 c.c. con conseguente responsabilità dello stesso.

ABF Milano, Decisione, 1 ottobre 2020, n. 16841

Federica Mendolia – f.mendolia@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly

Condividi su

Potrebbe interessarti anche
Arriva in Gazzetta Ufficiale la Direttiva (UE) sul whistleblowing

“In caso di credito immobiliare ai consumatori ciascuno Stato membro può prevedere la restituzion...

ABF

A volte ritornano: il conflitto di interessi dell’amministratore di società

“È soddisfatta la condizione di procedibilità della segnalazione in CAI se il preavviso è indir...

ABF

Arriva in Gazzetta Ufficiale la Direttiva (UE) sul whistleblowing

“L’invio della comunicazione di preavviso al cliente di imminente segnalazione in Centrale Risch...

ABF

X