video suggerito
video suggerito
27 Aprile 2024
11:00

Phishing, la banca che non blocca subito il conto è responsabile di inadempimento

L’istituto bancario che - pur rilevando tempestivamente la movimentazione fraudolenta - avverta il cliente ma non provveda a bloccare immediatamente il conto al fine di tutelare la posizione del correntista, è responsabile di inadempimento e per questo condannata al risarcimento.

58 condivisioni
Phishing, la banca che non blocca subito il conto è responsabile di inadempimento
Dottoressa in Giurisprudenza
Immagine

La Banca che non si adopera per bloccare tempestivamente il conto del cliente vittima di phishing deve ritenersi responsabile.

A stabilirlo è la recente sentenza resa dal Tribunale di Ragusa che è stato chiamato a pronunciarsi in tema di phishing e di come l’istituto di credito che prontamente aveva rilevato gli anomali movimenti bancari non provvedeva a bloccare immediatamente l’utenza del cliente raggirato.

Il fatto

Tizio, correntista, riceveva una telefonata da parte di una persona che si presentava come addetto ai sistemi di sicurezza e autenticazione dell’istituto bancario Kappa.

Il presunto addetto, infatti, sollecitava Tizio a che provvedesse in tempo reale alla modificazione del suo codice PIN e della password, motivando la richiesta con la necessità di mettere in sicurezza il proprio conto corrente e la app di home banking.

Tizio digitava sul tastierino numerico i nuovi dati che, in questo modo, divenivano visibili all’interlocutore e che, a propria volta, provvedeva a utilizzare indebitamente per compiere prelievi non autorizzati sul conto corrente bancario.

La Banca Kappa rilevava in tempo reale l’anomala movimentazione bancaria ma, con altrettata immediatezza, trascurava di provvedere al blocco del servizio di home banking.

La truffa, quindi, proseguiva.

Tizio adiva in giudizio al fine di ottenere la condanna per inadempimento dell’istituto bancario e il risarcimento dei danni subìti.

La decisione

Il Tribunale di Ragusa, sezione civile, senza del 7 marzo 2024, n. 420, si è pronunciata in tema di adescamento online, ovvero la sottrazione di informazioni e dati sensibili attraverso la tecnica del phishing.

In particolare, la sentenza ha interessato il profilo di responsabilità dell'istituto di credito in merito alla sottrazione di somme subita dal correntista truffato.

Il Tribunale ha richiamato il vigente art. 10, comma 1, del D.Lgs. 27 gennaio 2010, n. 11 il quale prevede che prevede in capo al prestatore di servizi di pagamento (ovvero la banca)

l'onere di provare che l'operazione di pagamento, disconosciuta dall'utente, “è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.

Alla stregua di ciò quando il cliente neghi di aver autorizzato il movimento dall’applicazione riconosciuta dall’istituto di credito, non è di per sè sufficiente a dimostrare che l’operazione sia stata autorizzata dal correntista o che non abbia osservato le opportune cautele di custodia delle credenziali. È onere del prestatore di servizi di pagamento fornire la prova della forde, così come della colpa o del dolo del correntista.

Inoltre, secondo il Tribunale, richiamando anche la giurisprudenza di legittimità (​​Cass. Civ., sez. VI, ord. 26916/2020) “‘la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente”.

Ai fini dell’accertamento della responsabilità dell’istituto di credito in ipotesi di phishing occorre dapprima poter verificare se la banca abbia predisposto un sistema di autenticazione forte, idoneo come detto a proteggere le operazioni del cliente da interventi fraudolenti di terzi.

La colpa grave del correntista, infatti, non può ritenersi integrata a priori ma va invece verificata caso per caso, ovvero a seconda della tecnica phishing utilizzata dal truffatore capace di suscitare il cd. “effetto sorpresa” e spiazzare la vittima.

Ciò detto, l’istituto bancario che – pur rilevando tempestivamente la movimentazione fraudolenta – avverta il cliente ma non provveda a bloccare immediatamente il conto al fine di tutelare la posizione del correntista, è responsabile di inadempimento e per questo condannata al risarcimento.

Avatar utente
Virginia Sacco
Dottoressa in Giurisprudenza
Dopo la laurea presso l'Università degli Studi di Napoli - Federico II, ho seguito le mie passioni specializzandomi prima in Sicurezza economica, Geopolitica e Intelligence presso SIOI - UN ITALY e, successivamente, in Diritto dell'Unione Europea presso il mio ateneo di origine. Ho concluso la pratica forese in ambito penale, occupandomi di reati finanziari e doganali. Nel corso degli anni ho preso parte attivamente a eventi, attività e progetti a livello europeo e internazionale, approfondendo i temi della cooperazione giudiziaria e del diritto penale internazionale. Ho scritto di cybersicurezza, minacce informatiche e sicurezza internazionale per "Agenda Digitale" e "Cyber Security 360". Su Lexplain scrivo di diritto con parole semplici e accessibili.
Sfondo autopromo
Segui Lexplain sui canali social
api url views