Phishing, smarrimento del cellulare: il cliente è responsabile se non avvisa la Banca

Un cliente ha adito il Tribunale di Bari contestando alla propria banca di essere stato vittima di un attacco di phishing.

L’individuo ha riferito al tribunale che, in data 24 luglio 2019, aveva riscontrato l’esecuzione di molteplici bonifici non autorizzati dal suo conto corrente, avvenuti tra il 19 e il 23 luglio precedenti, tramite il servizio di home banking.

Il correntista ha pertanto accusato la banca di violazione dell’art. 15 del Codice in materia di dati personali, e di essere responsabile per non aver predisposto adeguate misure di sicurezza per prevenire accessi non autorizzati all’home banking.

La banca si è difesa affermando di aver adottato un sistema di autenticazione ritenuto sufficientemente sicuro per garantire un’elevata protezione ai propri clienti.

Il Tribunale, nel raggiungere le proprie statuizioni, ha innanzitutto ricordato che, in caso di operazioni eseguite con strumenti elettronici (home banking), è compito della banca verificare che siano riconducibili alla volontà del cliente, agendo con la diligenza richiesta a un istituto bancario.

È stato precisato altresì che l’eventuale utilizzo dei codici di accesso al sistema da parte di terzi rientra nel rischio professionale del fornitore dei servizi di pagamento, rischio prevedibile ed evitabile con adeguate misure tecniche per accertare la riconducibilità delle operazioni al correntista.

Di conseguenza, la banca non è responsabile per il danno subito dal cliente solo se dimostra che l’evento è attribuibile a dolo del titolare o a comportamenti talmente imprudenti da non poter essere previsti.

Pertanto, in caso di accesso non autorizzato o di utilizzo dei dati per scopi illeciti, il gestore è responsabile ai sensi dell’art. 2050 c.c. Si tratta di una responsabilità oggettiva “aggravata”, che impone al prestatore del servizio una duplice prova per essere esonerato:

1. Dimostrare l’esistenza di una causa esterna, imprevedibile e inevitabile, che esula dalla sfera di controllo del gestore (prova positiva). Tale causa esterna può essere un evento naturale, un atto di terzi o un comportamento dello stesso danneggiato.

2. La condotta imprudente del cliente che non comunica il cambio del numero di telefono.

Chiariti i principi generali, il Tribunale di Bari ha esaminato il caso specifico, rilevando che dalla documentazione emergeva che il correntista, il 18 luglio 2019 (il giorno prima del primo bonifico contestato), aveva riscontrato problemi con il proprio cellulare, utilizzato anche per l’home banking.

Successivamente, il 20 luglio 2019, aveva cambiato operatore telefonico e numero di cellulare. Il cliente non aveva informato la banca di questi eventi, impedendole di fatto di intervenire tempestivamente per bloccare eventuali accessi non autorizzati di terzi tramite il precedente numero di telefono.

Il Giudice ha evidenziato che l’interruzione della funzionalità del cellulare abilitato all’home banking equivale alla perdita delle relative credenziali di accesso, e che era obbligo del cliente, per legge e per contratto, informarne tempestivamente la banca.

Il Tribunale di Bari ha quindi respinto la richiesta di risarcimento del ricorrente, ritenendo che il suo comportamento fosse da considerarsi imprudente, in quanto non aveva tempestivamente informato la banca, come era suo preciso dovere, della perdita di disponibilità del numero di telefono utilizzato per l’home banking.

La sentenza offre l’occasione per ricordare che l’art. 10 bis del d.lgs. n. 11/2010 impone ai prestatori di servizi di pagamento (PSP) di adottare una “Strong Customer Authentication – SCA”, ovvero una procedura di autenticazione “forte” per verificare l’identità di un utente quando accede al proprio conto online, effettua pagamenti elettronici o esegue operazioni a distanza che comportano un rischio di frode o abusi.

La “strong authentication” da parte del cliente si basa sull’uso di due o più dei seguenti elementi, classificati nelle categorie della conoscenza, del possesso e dell’inerenza:
i) Qualcosa che solo l’utente conosce;
ii) Qualcosa che solo l’utente possiede;
iii) Qualcosa che caratterizza l’utente.

Questa normativa istituisce “un regime di speciale protezione e un altrettanto speciale favor probatorio a vantaggio degli utilizzatori” (cfr. ABF, il Coll. Coord, decisione n. 897 del 14 febbraio 2014; v. anche le decisioni nn. 3947/2014 e 3498/2012), che possono limitarsi a contestare le operazioni di pagamento.
Il rischio d’impresa legato all’uso fraudolento di carte di credito o strumenti di pagamento è attribuito al fornitore dei servizi di pagamento, che può ripartirlo tra la moltitudine dei clienti (v. ancora ABF, Coll. Roma, n. 1111/2010).

Infatti, se l’utente contesta un’operazione di pagamento, l’art. 10 del d.lgs. 11/2010 impone all’intermediario l’onere di provare sia che l’utente ha agito con frode, dolo o colpa grave (comma 2), sia che l’operazione è stata “autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (comma 1).

La colpa grave è definita come una condotta caratterizzata da straordinaria e inescusabile imprudenza o negligenza, in cui l’utente dei servizi di pagamento non osserva non solo la diligenza del buon padre di famiglia, ma nemmeno il livello minimo di diligenza generalmente richiesto a chiunque.

La colpa grave deve riferirsi alla violazione di uno o più degli obblighi dell’utente ai sensi dell’art. 7 del d.lgs. 11/2010, ovvero:
“a) utilizzare lo strumento di pagamento secondo le condizioni, esplicitate nel contratto quadro, che ne disciplinano l’emissione e l’uso e che devono essere oggettive, non discriminatorie e proporzionate;
b) comunicare senza ritardo, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza”.

Inoltre, “l’utente, appena riceve uno strumento di pagamento, deve adottare tutte le misure ragionevoli per proteggere le proprie credenziali di sicurezza personalizzate”.

e-mail: avv.mimmolardiello@gmail.com  
sito: www.studiolegalelardiello.it