30.06.2023 Icon

Phishing: la colpa grave del cliente che “abbocca” esclude la responsabilità della Banca

La pronuncia in commento ha definito una controversia insorta tra cliente ed intermediario, avente ad oggetto un episodio di phishing nell’ambito di servizi di pagamento telematici, realizzatosi nelle forme dello smishing unito a vishing, ossia mediante la ricezione da parte del cliente di un sms e successivamente di una telefonata “civetta”.

Il Giudice ha accolto le difese dell’intermediario – convenuto in giudizio dal cliente al fine di ottenere la restituzione delle somme fraudolentemente sottratte, da parte di terzi, dai conti correnti online – affermando che la causa di quanto accaduto era da rinvenirsi unicamente nella condotta colposa tenuta dallo stesso titolare dei conti.

In particolare, in punto di regime probatorio, il D.Lgs. 27 gennaio 2010 n. 11 s.m.i. pone a carico dell’intermediario l’onere di dimostrare che l’operazione di pagamento disconosciuta dal cliente sia stata correttamente autenticata ed eseguita, in assenza di anomalie dei propri sistemi.

L’art. 10 del predetto decreto stabilisce, infatti, che: “Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.

Nel caso di specie, il Giudice ha ritenuto che la Banca avesse fornito adeguata prova, anzitutto, del sistema di autenticazione “a doppio fattore” adottato per l’accesso al portale Internet e, inoltre, della corretta autenticazione delle operazioni disconosciute, mediante l’inserimento dei codici statici e dinamici in possesso del solo cliente, senza che fosse intervenuta alcuna violazione dei sistemi di sicurezza dell’intermediario.

Ne consegue che “nessuna censura può essere mossa all’operato della Banca, avendo questa fornito la prova sia dell’autenticazione delle transazioni disconosciute dagli attori e, quindi, della loro riconducibilità alla sfera di questi ultimi, sia del regolare funzionamento del suo sistema di sicurezza informatica e della relativa idoneità a scongiurare il verificarsi di frodi”.

Alla luce di quanto sopra, il Giudice ha ritenuto che la frode verificatasi trovi “conseguentemente origine nei comportamenti posti in essere dallo stesso titolare dei conti”, il quale ha dapprima digitato il proprio codice utente e il codice pin all’interno del link ricevuto via sms (smishing), mettendo così nella disponibilità di terzi i propri codici di accesso ai conti correnti; e, successivamente, ha comunicato ad un sedicente operatore, da cui è stato contattato telefonicamente (vishing), le password variabili di accesso ai conti (OTP e OTS), consentendo così l’esecuzione delle operazioni disconosciute.

Peraltro, la condotta gravemente colposa del cliente si è inserita in un contesto in cui la Banca, nella consapevolezza del diffondersi del fenomeno del phishing, ha adottato un piano informativo antifrode nei confronti della propria clientela, avvertendola che non chiederà mai di comunicare le proprie credenziali di accesso al conto tramite e-mail, telefono né sms.

Da ultimo, l’intermediario, a seguito della ricezione da parte del cliente del messaggio fraudolento, ha prontamente avvisato lo stesso di modifiche apportate ai suoi dati, al fine di allertarlo e di impedire il compimento della frode; tuttavia la stessa si è ugualmente concretizzata mediante il successivo contatto telefonico fraudolento, a cui il cliente ha comunque “abboccato”.

Da qui il rigetto della domanda dei correntisti nei confronti della Banca, stante “la responsabilità degli attori per non aver custodito diligentemente le proprie credenziali, (…) restando quindi a carico degli stessi attori tutte le perdite derivanti dalle operazioni non autorizzate”.

Autore Elisa Varisco

Senior Associate

Milano

e.varisco@lascalaw.com

Desideri approfondire il tema Contratti Bancari ?

Contattaci subito