Torniamo sul più che attuale fenomeno della truffa attuata mediante il c.d. spoofing, ossia un tipo di attacco informatico che può essere utilizzato per falsificare diverse informazioni, come ad esempio l’identità di un host all’interno di una rete o il mittente di un messaggio, al fine di ottenere accessi, dati sensibili o trasmettere file malevoli.
Lo spoofing (camuffamento) può essere attuato, fra le altre modalità, via telefono. Come accade nel caso in cui un malintenzionato effettua chiamate o invia messaggi SMS spacciandosi per altra persona o entità, con l’obiettivo di indurre la vittima a rivelare informazioni sensibili o a compiere determinate azioni, come, ad esempio, trasferire denaro.
Nel caso che ci occupa, l’attrice citava in giudizio un istituto di credito, al fine di ottenerne la condanna al risarcimento del danno, previo accertamento della sua responsabilità, in relazione ad una truffa subìta dalla stessa ma perpetrata da terzi ignoti.
In particolare, l’attrice sosteneva di essere correntista dell’istituto convenuto e di avere effettuato dei bonifici su indicazione di un sedicente operatore della banca, che l’aveva informata di un blocco del conto corrente e della necessità della sua sostituzione con un altro, per ragioni di sicurezza, di cui forniva le relative coordinate. Coordinate di un conto, tuttavia, non intestato alla malcapitata ed evidentemente nella disponibilità dei truffatori.
L’attrice si determinava a disporre i bonifici utilizzando, tuttavia, un conto corrente che la stessa intratteneva presso altro e diverso istituto di credito, estraneo al giudizio.
La banca, di cui il truffatore sosteneva di essere un operatore, veniva chiamata a risarcire il danno subìto dall’attrice a causa della truffa, per il fatto che quest’ultima sarebbe stata contattata da un’utenza corrispondente al numero del servizio clienti presente sul sito internet dell’istituto. Alla banca veniva contestato di non aver adottato sufficienti misure di sicurezza idonee a proteggere i dati della cliente e ad impedire che terzi ignoti si impossessassero del suo numero di telefono.
Da qui, la domanda di restituzione della somma sottratta da terzi ignoti alla cliente; somma che, in verità, era stata trasferita dall’attrice stessa volontariamente, sebbene sulla base di un consenso viziato da raggiro.
Non a caso, il Tribunale di Padova statuiva che nel caso sottoposto al suo esame si discuteva di operazioni effettuate spontaneamente dalla correntista. Inoltre, non poteva non rilevare, al fine di escludere qualsivoglia responsabilità dell’istituto di credito convenuto, il fatto che le operazioni di pagamento contestate erano state effettuate da conto accesso presso altra banca estranea al giudizio.
Le circostanze sopra indicate inducevano il Tribunale ad escludere l’applicabilità al caso di specie della disciplina di cui al decreto legislativo n. 11/2010.
Infatti, il D. lgs. n. 11/2010, laddove, all’art. 11, individua la responsabilità del prestatore di servizi di pagamento, circoscrive l’ambito di operatività della norma ai casi di operazioni non autorizzate.
Infatti, quando un’operazione sia eseguita per intero dal pagatore, attraverso l’inserimento della disposizione di pagamento e di tutti i fattori di autenticazione, questa deve considerarsi autorizzata e, dunque, non assoggettata alla disciplina di cui alla direttiva 2015/2366 (“PSD2”) e al D. Lgs. 11/2010.
Sulla contestazione dell’attrice secondo cui la banca non avrebbe adottato sufficienti misure di sicurezza volte a proteggere i dati della cliente, e circa il fatto che la chiamata del truffatore provenisse dal numero verde di BBVA, il Tribunale rilevava come non vi fosse prova che i truffatori avessero carpito il numero di telefono dell’attrice dalle banche dati della banca e non piuttosto da qualsiasi altra fonte, risultando ormai dato di comune esperienza che i contatti telefonici sono, purtroppo, frequentemente utilizzati da molti operatori telefonici per le più disparate proposte.
Per altro verso, proprio il fatto che il numero verde della banca fosse pubblicato sul sito, rendeva chiaro che chiunque avrebbe potuto utilizzarlo ed elaborare un sistema per camuffare con detto numero l’utenza effettiva da cui effettuava la chiamata, senza che possa ascriversene la responsabilità alla banca effettiva titolare del contatto telefonico.
Sulla base delle argomentazioni di cui sopra, il Giudice respingeva le domande svolte dall’attrice nei confronti della banca, escludendo qualsivoglia responsabilità di quest’ultima per i fatti oggetto di causa.
03.10.2025
