Si sente spesso parlare di phishing, ovvero di quella frode informatica realizzata da un soggetto che si finge rappresentativo di un ente affidabile e cerca, tramite comunicazioni digitali come email e/o sms, di ingannare la propria vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso.
Tuttavia, sta diventando piuttosto noto anche un altro genere di comportamento fraudolento, il c.d. vishing (voice phishing) che consiste in una telefonata, apparentemente da parte della propria banca, tramite cui l’utente viene invitato a fornire i codici operativi del conto corrente. A volte il vishing è accompagnato dalla tecnica dello spoofing, ossia la pratica della contraffazione dell’identità di utenti o dispositivi per far credere alla vittima che il mittente o il contenuto ricevuto siano attendibili.
Il pretesto, nella maggior parte dei casi, è la segnalazione di una finta emergenza quale, ad esempio, un’operazione sospetta eseguita sul conto corrente del cliente ovvero la clonazione di carte di credito e/o bancomat. I sedicenti operatori bancari chiedono all’utente di comunicare il codice OTP o il codice di sicurezza posto sul retro della carta di pagamento e riescono così ad avere accesso al conto corrente del malcapitato. Il raggiro sfrutta la buonafede degli utenti, non sempre consapevoli del fatto che gli istituti di credito non richiedano mai informazioni così confidenziali attraverso semplici telefonate o messaggi.
Ciò premesso, molti correntisti vittima di vishing si sono visti negare il rimborso da parte della loro banca. Il motivo del mancato rimborso spesso ha riguardato la circostanza che l’utente fosse stato avvisato dall’Istituto di non fornire i propri codici operativi e che, di conseguenza, egli – con il proprio comportamento - avesse di fatto concorso a cagionare il lamentato o comunque ne avesse agevolato la causazione.
Le decisioni dei Tribunali italiani, chiamati a pronunciarsi sul punto, sono assai variegate. Ripercorriamo brevemente alcune sentenze significative sul tema, utili a comprendere in quali casi è il correntista ad essere ritenuto responsabile e in quali l’istituto.
Tribunale di Pesaro
Con sentenza del 7 settembre 2021, il Tribunale di Pesaro ha accolto la domanda avanzata da un cliente vittima di phishing nei confronti della propria banca. Il giudice ha accertato la responsabilità dell’istituto, poiché non aveva provato che l’operazione abusiva di pagamento sul conto del cliente fosse stata resa possibile da un comportamento incauto di quest’ultimo.
Al prestatore dei servizi di pagamento, infatti, spetta un doppio onere probatorio: dimostrare il corretto funzionamento del sistema di pagamento e la responsabilità dell'utente. La mancata attivazione del servizio di notifica via sms o email della disposizione online da parte del correntista non esonera da responsabilità la banca, poiché il servizio in questione è facoltativo e comunque supplementare rispetto al dovere di adottare misure idonee atte a verificare la riconducibilità delle operazioni alla volontà del cliente.
Tribunale di Torino
Con sentenza dell’8 marzo 2022, il Tribunale di Torino ha respinto la domanda risarcitoria di una vittima di vishing nei confronti della banca. Il giudice, verificata la sussistenza di una colpa grave del correntista, che aveva condiviso con terzi le credenziali di accesso al sistema di home banking, ha escluso la responsabilità della banca per i prelievi illeciti.
Il soggetto era stato contattato da un sedicente operatore bancario che, con la scusa di scongiurare una minaccia informatica sul suo conto corrente, lo aveva invitato a comunicare le credenziali d’accesso e i codici forniti tramite sms per l’esecuzione di alcuni bonifici.
La banca si era costituita in giudizio chiedendo che la domanda venisse respinta, sottolineando la responsabilità del cliente per aver concorso alla causazione del danno attraverso la sua condotta.
Nel caso in cui un correntista, vittima di una frode telematica, disconosca un’operazione di bonifico effettuata sul proprio conto corrente, la banca ha l’onere di provare non solo di aver adottato tutte le misure idonee a garantire la sicurezza e la funzionalità del servizio, ma anche che l’uso indebito del dispositivo sia riconducibile al comportamento del correntista, non rispettoso degli obblighi di condotta imposti dall’istituto. Il Tribunale di Torino ha rigettato la domanda poiché la banca aveva provato la colpa grave del cliente, che aveva comunicato telefonicamente a terzi le proprie credenziali di home banking.
Arbitro bancario e finanziario
Con decisione n. 22393 del 29 ottobre 2021, il Collegio di Milano dell’Arbitro bancario e finanziario (ABF) – sistema di risoluzione alternativa delle controversie che possono sorgere tra consumatori e banche, tenuto da Banca d’Italia – ha respinto il ricorso di un correntista vittima di vishing, ritenendo ragionevole supporre – visto il tipo di operazione che il ricorrente riferiva di avere compiuto, ovvero la disattivazione di una app per smartphone – che quest’ultimo avesse comunicato i codici OTP al sedicente operatore.
Vista la mancanza di evidenze tali da far presumere che la provenienza del messaggio sms ricevuto dal correntista e della successiva chiamata telefonica (episodio di spoofing seguito da vishing) potessero generare confusione nella vittima della frode, l’ammissione di avere dato seguito a entrambi ha indotto l’ABF a identificare nella condotta del cliente una della colpa grave.
Occorre, dunque, che gli Istituti di credito proseguano nella costante e specifica informazione del cliente relativamente alle nuove forme di frode telefonica e/o informatica e, dal canto loro, occorre che i clienti – spesso distratti o spaventati – prestino particolare attenzione al contenuto di e-mail e/o sms e/o chiamate telefoniche da parte di sedicenti operatori bancari: solo una condotta rigorosa da parte di entrambi può rendere vana la tentata frode ed escludere il verificarsi di un danno che, spesso, non è solo patrimoniale ma anche emotivo.
Comentarios