Responsabilità della banca per phishing, smishing e vishing: quando il correntista ha diritto al risarcimento

Analisi giuridica della responsabilità della banca: onere della prova e procedura per ottenere il risarcimento

Le truffe bancarie digitali – phishing, smishing e vishing – sono oggi tra i fenomeni più diffusi e insidiosi. Sempre più spesso il correntista, dopo aver inconsapevolmente fornito credenziali o codici di accesso, si trova di fronte a operazioni mai autorizzate e a somme sottratte dal proprio conto.

La domanda centrale è: la banca incorre in responsabilità e deve risarcire il cliente?

La risposta, nella maggior parte dei casi, è sì, ma a precise condizioni.

1. Phishing, smishing e vishing: cosa sono e perché sono rilevanti

Le tecniche di frode più diffuse si distinguono in:

• Phishing: e-mail fraudolente che simulano comunicazioni ufficiali della banca;

• Smishing: messaggi SMS contenenti link o richieste di dati;

• Vishing+spoofing: telefonate da falsi operatori bancari (spesso con numeri “spoofati”, apparentemente autentici).

Queste tecniche mirano a ottenere credenziali di accesso o codici OTP, rendendo possibile l’esecuzione di operazioni dispositive fraudolente.

2. Il quadro normativo: obblighi della banca e riparto dell’onere della prova

La disciplina di riferimento è contenuta nel D.lgs. 11/2010 (attuazione della PSD2), oltre che nei principi generali del codice civile.

2.1 Obblighi della banca

La banca (o prestatore di servizi di pagamento) deve:

• garantire sistemi di autenticazione sicuri (Strong Customer Authentication – SCA);

• assicurare il corretto funzionamento dei sistemi;

• prevenire utilizzi fraudolenti prevedibili.

Grava sulla banca l’onere di dimostrare che:

• le operazioni siano state autenticate correttamente;

• non vi siano stati malfunzionamenti dei sistemi;

• il cliente abbia eventualmente agito con dolo o colpa grave.

2.2 Onere della prova

Il sistema segue le regole della responsabilità contrattuale:

• il correntista deve provare il rapporto e l’operazione fraudolenta;

• la banca deve dimostrare di aver adempiuto correttamente o che il danno è dovuto a colpa grave del cliente.

Ø  Ai fini della prova non è sufficiente la produzione dei file di log da parte della Banca, questa deve dimostrare oltre al possesso di un sistema di autenticazione forte, anche che questo abbia funzionato correttamente.

3. Quando la banca deve risarcire il correntista

Il principio oggi consolidato (anche nella giurisprudenza di legittimità) è chiaro: la banca risponde delle operazioni fraudolente, salvo prova della colpa grave del cliente.

In particolare:

• il rischio di frodi informatiche rientra nel rischio d’impresa dell’intermediario

• la banca deve adottare misure adeguate e aggiornate per prevenire tali eventi

Ø  La colpa grave del correntista viene in rilievo solo ed esclusivamente se la Banca prova di aver adottato un sistema di autenticazione forte, diversamente non ha alcun peso il comportamento del correntista.

4. Il ruolo della colpa grave del correntista

La colpa grave rappresenta il principale limite alla responsabilità della banca.

Si configura quando il cliente adotta un comportamento:

• macroscopicamente imprudente;

• contrario alle più basilari regole di sicurezza.

Esempi tipici:

• comunicare consapevolmente codici OTP a terzi;

• ignorare evidenti segnali di frode;

• ritardare ingiustificatamente la segnalazione dell’operazione.

Tuttavia, la giurisprudenza è sempre più rigorosa: non ogni errore del cliente integra colpa grave.

Ø  Ad esempio, la sofisticazione della truffa (numero spoofato, finta assistenza bancaria) può escludere tale qualificazione. Più la truffa è sofisticata e non riconoscibile con la diligenza media richiesta ad un correntista, meno si possono individuare profili di colpa della vittima.

5. Sistemi di sicurezza e responsabilità della banca

Un punto centrale è la valutazione dei sistemi di sicurezza adottati dalla banca.

La semplice presenza di:

• password,

• OTP,

• autenticazione a due fattori,

non è sufficiente a escludere la responsabilità.

La banca deve dimostrare che:

• i sistemi erano effettivamente idonei;

• non vi sono state anomalie (es. attivazioni sospette, accessi da IP anomali);

• le operazioni erano coerenti con il comportamento abituale del cliente.

Ø  Ad esempio, una rapida disattivazione e riattivazione del sistema OTP senza adeguate verifiche da parte della banca, comporta un malfunzionamento del sistema di autenticazione o in ogni caso la scarsa efficacia dello stesso.

Ø  Inoltre, non bisogna sottovalutare l’aspetto della responsabilità qualificata della Banca: l’istituto risponde secondo i canoni dell’accorto bancarie e, dunque, con il criterio della responsbilità richiesta al professionista e non di certo secondo il canone della diligenza media del buon padre di famiglia. La Banca è tenuta ad effettuare verifica più approfondite in caso di operazioni ‘sospette’ e che esulano dal normale comportamento del correntista.

6. Procedura per ottenere il risarcimento

Se il correntista è vittima di una truffa, è fondamentale agire tempestivamente.

a. Blocco immediato e denuncia

• contattare subito la banca;

• bloccare strumenti di pagamento;

• presentare denuncia alle autorità.

b. Reclamo alla banca

Va inviato un reclamo formale chiedendo:

• il rimborso delle somme;

• la ricostruzione delle operazioni.

c. Ricorso all’Arbitro Bancario Finanziario (ABF)

Se la banca non risponde o rigetta il reclamo:

• è possibile ricorrere all’ABF;

• procedura rapida ed economica.

Ø  Il ricorso all’ABF è condizione di procedibilità (in luogo della mediazione) per poter incardinare successivamente un giudizio. Stante la rapidità e l’economicità della procedura, oltre che alla particolare preparazione degli arbitri in tema bancario, è consigliabile utilizzarla.

Ø  Bisogna precisa come la decisione dell’ABF non sia vincolante e la Banca non è tenuta ad adeguarvisi risarcendo effettivamente il correntista

d. Azione giudiziaria

In caso di mancato rimborso:

• si può agire in giudizio;

• chiedere la condanna della banca al pagamento delle somme sottratte.

7. Il risarcimento del danno

Il risarcimento comprende:

• l’intero importo sottratto;

• eventuali interessi;

• in alcuni casi, ulteriori danni (es. danno patrimoniale indiretto).

In presenza di concorso di colpa del cliente:

• il risarcimento può essere ridotto (art. 1227 c.c.).

Conclusioni: una tutela sempre più forte per il correntista

L’evoluzione normativa e giurisprudenziale ha rafforzato la posizione del correntista:

• la banca è chiamata a rispondere al verificarsi di precise condizioni;

• il cliente è tutelato quando cade in trappole sofisticate;

• la colpa grave è interpretata in modo restrittivo.

Occorre in ogni caso valutare con attenzione ogni singolo caso in quanto, se è pur vero che si è rafforzata la posizione del correntista, questo non ha sempre e comunque diritto ad ottenere il risarcimento dalla Banca in caso di truffa. Come abbiamo solo, il diritto al risarcimento sorge solo in determinati casi e a fronte di:

·       truffe particolarmente artificiose e difficile da riconoscersi;

·       omessa adozione da parte della Banca di sistemi di sicurezza forte o loro malfunzionamento;

·       nessuna colpa grave ravvisabile in capo al correntista.