La Banca che non si adopera per bloccare tempestivamente il conto del cliente vittima di phishing deve ritenersi responsabile.
A stabilirlo è la recente sentenza resa dal Tribunale di Ragusa che è stato chiamato a pronunciarsi in tema di phishing e di come l’istituto di credito che prontamente aveva rilevato gli anomali movimenti bancari non provvedeva a bloccare immediatamente l’utenza del cliente raggirato.
Il fatto
Tizio, correntista, riceveva una telefonata da parte di una persona che si presentava come addetto ai sistemi di sicurezza e autenticazione dell’istituto bancario Kappa.
Il presunto addetto, infatti, sollecitava Tizio a che provvedesse in tempo reale alla modificazione del suo codice PIN e della password, motivando la richiesta con la necessità di mettere in sicurezza il proprio conto corrente e la app di home banking.
Tizio digitava sul tastierino numerico i nuovi dati che, in questo modo, divenivano visibili all’interlocutore e che, a propria volta, provvedeva a utilizzare indebitamente per compiere prelievi non autorizzati sul conto corrente bancario.
La Banca Kappa rilevava in tempo reale l’anomala movimentazione bancaria ma, con altrettata immediatezza, trascurava di provvedere al blocco del servizio di home banking.
La truffa, quindi, proseguiva.
Tizio adiva in giudizio al fine di ottenere la condanna per inadempimento dell’istituto bancario e il risarcimento dei danni subìti.
La decisione
Il Tribunale di Ragusa, sezione civile, senza del 7 marzo 2024, n. 420, si è pronunciata in tema di adescamento online, ovvero la sottrazione di informazioni e dati sensibili attraverso la tecnica del phishing.
In particolare, la sentenza ha interessato il profilo di responsabilità dell'istituto di credito in merito alla sottrazione di somme subita dal correntista truffato.
Il Tribunale ha richiamato il vigente art. 10, comma 1, del D.Lgs. 27 gennaio 2010, n. 11 il quale prevede che prevede in capo al prestatore di servizi di pagamento (ovvero la banca)
l'onere di provare che l'operazione di pagamento, disconosciuta dall'utente, “è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Alla stregua di ciò quando il cliente neghi di aver autorizzato il movimento dall’applicazione riconosciuta dall’istituto di credito, non è di per sè sufficiente a dimostrare che l’operazione sia stata autorizzata dal correntista o che non abbia osservato le opportune cautele di custodia delle credenziali. È onere del prestatore di servizi di pagamento fornire la prova della forde, così come della colpa o del dolo del correntista.
Inoltre, secondo il Tribunale, richiamando anche la giurisprudenza di legittimità (Cass. Civ., sez. VI, ord. 26916/2020) “‘la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell'utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell'utente”.
Ai fini dell’accertamento della responsabilità dell’istituto di credito in ipotesi di phishing occorre dapprima poter verificare se la banca abbia predisposto un sistema di autenticazione forte, idoneo come detto a proteggere le operazioni del cliente da interventi fraudolenti di terzi.
La colpa grave del correntista, infatti, non può ritenersi integrata a priori ma va invece verificata caso per caso, ovvero a seconda della tecnica phishing utilizzata dal truffatore capace di suscitare il cd. “effetto sorpresa” e spiazzare la vittima.
Ciò detto, l’istituto bancario che – pur rilevando tempestivamente la movimentazione fraudolenta – avverta il cliente ma non provveda a bloccare immediatamente il conto al fine di tutelare la posizione del correntista, è responsabile di inadempimento e per questo condannata al risarcimento.