Phishing bancario
In un altro articolo abbiamo affrontato la questione del Phishing bancario, del suo significato e in quali limiti sia possibile avere il rimborso.
Riassumiamo brevemente quale è la questione ed esaminiamo una recente sentenza del Giudice di Pace di Treviso su Phishing bancario: cos’è? Quale è il suo significato e quando si può ottenere il rimborso?

Phishing: in cosa consiste?
Cos'è il phishing? Il phishing bancario è una tecnica fraudolenta che si manifesta attraverso vari canali come email, sms o telefonate. Attraverso questi mezzi, i truffatori ingannano le vittime inducendole a rivelare i propri codici di accesso bancario e codici dispositivi, permettendo così il furto di fondi dal conto. Sebbene la colpevolezza del truffatore sia inequivocabile, identificare e perseguire questi individui risulta spesso difficile. Molti si nascondono dietro identità fittizie o sono privi di beni, rendendo vano ogni tentativo di ottenere un rimborso da parte della vittima.
Phishing bancario: vi è diritto al rimborso da parte della banca?
Riflettendo sul phishing bancario, emerge una tendenza delle vittime a rivolgere le proprie azioni verso la banca stessa. Il motivo? Le banche sono entità solide e, spesso, l'unico soggetto presso cui cercare il rimborso delle somme perdute a causa del phishing. Ma è sempre la banca a rispondere per i danni del phishing?
Non esiste una responsabilità diretta della banca ogni qualvolta avvenga un furto di fondi dal conto di un cliente attraverso il phishing. In termini semplici, la banca è ritenuta responsabile a meno che non emerga una colpa grave da parte del cliente. Valutare la gravità della colpa del cliente nel contesto del phishing è complesso, data la vasta gamma di scenari possibili.
Molte volte, il successo del phishing si basa sulla cooperazione involontaria del cliente: cliccando su un link ricevuto via sms o email che non proviene realmente dalla sua banca, o fornendo al telefono i propri codici, pur sapendo che le banche non li richiedono. Tuttavia, vi sono circostanze in cui l'errore del cliente può sembrare giustificato, come ad esempio quando riceve un sms o una chiamata da un numero che sembra appartenere alla sua banca.
Dove si traccia la linea tra un errore scusabile e una colpa grave nel contesto del phishing bancario? Non esistono criteri definiti e ogni situazione è unica. Esaminiamo un esempio specifico di phishing bancario, illustrato da una sentenza del Giudice di Pace di Treviso.
Sentenza del giudice di Pace di Treviso sulle truffe informatiche m: quali sono gli obblighi della banca?
La sentenza del Giudice di Pace di Treviso sul Phishing bancario ricorda anzitutto che “il D.Lgs. n° 10 del 2011 individua gli obblighi esistenti in capo al prestatore di servizi di pagamento in relazione agli strumenti di pagamento e le responsabilità per operazioni non autorizzate e per l'utilizzo non autorizzato di strumenti o servizi di pagamento.
Il sistema delineato dalla richiamata legge comporta la responsabilità del prestatore del servizio di pagamento, salvo che lo stesso dimostri il dolo o la negligenza dell'utente” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).
In particolare, si indica nella sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario “l'art. 10 del decreto legislativo citato stabilisce che, qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti, mentre l'art. 12, ai commi 2ter, 3 e 4, stabilisce che il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento e negli altri casi può sopportare la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).
Quando c'è la colpa grave del cliente che esonera l'intermediario bancario?
La sentenza del Giudice di Pace di Treviso del 16 settembre 2021, n. 963, relativa al phishing bancario, ha posto l'accento su alcune questioni cruciali riguardanti la responsabilità degli utenti e delle banche nel contesto delle frodi online.
1. Responsabilità dell'utente: La sentenza sottolinea che un utente dei servizi di pagamento deve sopportare l'intero onere delle perdite derivanti da operazioni di pagamento non autorizzate se:
- Ha agito in modo fraudolento.
- Non ha adempiuto, con dolo o colpa grave, agli obblighi previsti dall'art. 7. Questi obblighi includono l'utilizzo corretto dello strumento di pagamento secondo le regole stabilite e la comunicazione tempestiva al prestatore di servizi di pagamento in caso di furto, appropriazione indebita o uso non autorizzato dello strumento, non appena l'utente ne viene a conoscenza.
2. Responsabilità della banca: La stessa sentenza riconosce che:
- La responsabilità delle banche, in relazione alle operazioni effettuate tramite strumenti elettronici, è di natura contrattuale. Pertanto, tale responsabilità viene esclusa se si verifica una colpa grave da parte dell'utente.
- Tuttavia, la sentenza ribadisce anche che rientra nella sfera di rischio professionale tipico del prestatore di servizi di pagamento (in questo caso, la banca) la previsione e la prevenzione dell'uso improprio dei codici di accesso al sistema da parte di terzi. Questo, a meno che non sia attribuibile a un comportamento doloso o particolarmente imprudente da parte del titolare del conto. In sostanza, le banche hanno la responsabilità di adottare misure appropriate per garantire che le transazioni riflettano effettivamente la volontà del cliente.
Infine, la sentenza fa riferimento a precedenti giurisprudenziali (Cass. Civ., Sez. III, 05/07/2019, n 18045; Cass. Civ., Sez. I, 03/02/2017, n° 2950) che hanno affrontato questioni simili, riconoscendo la necessità per le banche di prevenire accessi e transazioni non autorizzate.
Phishing bancario: il caso di specie esaminato dal Giudice di Pace di Treviso
La sentenza del Giudice di Pace di Treviso del 16 settembre 2021, n. 963, riguarda un caso di phishing bancario e si articola in tre parti principali:
1. Descrizione dei Fatti:
- L'istituto di credito aveva un contratto di servizi via internet con l'attore (presumibilmente il cliente) dal 7 gennaio 2015, riguardante un conto corrente intestato a quest'ultimo.
- Per autorizzare pagamenti via home banking, il titolare del conto doveva inserire codici OTP ricevuti sul numero di telefono certificato. Inoltre, per operazioni ritenute sospette dal sistema, veniva inviato un SMS al numero certificato con dettagli dell'operazione e un ulteriore codice, denominato OTS, per confermare la transazione.
2. Dettagli dell'Operazione Sospetta:
- Il 15 giugno 2017, alle ore 14:18, dal conto corrente dell'attore è stato richiesto un bonifico. Questa operazione è stata ritenuta sospetta dal sistema, diversamente da altre due operazioni effettuate lo stesso giorno alle ore 09:14 e 14:26, che sono state considerate regolari.
- Il sistema di sicurezza della banca ha inviato un SMS di allarme al numero del cliente, dettagliando l'operazione in corso. Per confermare l'operazione, erano necessari due codici: il codice OTP fornito dal token e il codice OTS inviato via SMS.
3. Valutazione Giuridica:
- Secondo la sentenza, i sistemi di sicurezza messi a punto dalla banca hanno funzionato correttamente. Tuttavia, è stata la cooperazione (anche se involontaria) dell'attore a rendere possibile la transazione non voluta.
- La responsabilità finale della transazione si colloca sull'utente: una volta che la banca avvisa del sospetto attraverso il sistema di sicurezza e fornisce il codice per autorizzare o meno la transazione, spetta all'utente decidere se procedere o meno con l'operazione.
In sintesi, mentre i meccanismi di sicurezza della banca hanno funzionato come previsto, l'utente ha comunque proceduto con una transazione sospetta, dando luogo alla controversia. La sentenza suggerisce che, nonostante le misure di sicurezza, la responsabilità finale delle operazioni rimane nelle mani dell'utente.
Le conclusioni della sentenza del Giudice di Pace di Treviso nel caso di phishing
La sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario indica, in definitiva, che “l'autorizzazione della disposizione di pagamento dipende unicamente dall'inserimento dei codici da parte dell'utente, senza del quale l'operazione non può essere portata a compimento.
Peraltro, una determinata operazione, pur sospetta secondo ì parametri dell'istituto di credito, potrebbe invece essere autenticamente e scientemente voluta dall'utente sicché il sistema prefigurato, pur fornendo a quest'ultimo uno strumento efficace per monitorare le operazioni e, se del caso, bloccarle, fa dipendere dalle sue determinazioni l'esito delle operazioni” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).
Alla luce di tali indicazioni, la sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario conclude che “può pertanto concludersi che l'operazione di bonifico di pagamento impartita sul conto dell'attore è stata autenticata regolarmente mediante i codici da lui fomiti e che non vi è stata alcuna anomalia nel sistema di sicurezza della banca ed in conseguenza, avendo quest'ultima assolto all'onere di provare l'adempimento degli obblighi su di essa gravanti, la domanda attorea è da rigettarsi” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).
Quale tutela dunque per il cliente?
Le controversie sul Phishing bancario sono complesse e hanno margini di discrezionalità rilevante da parte del giudice, non essendo facile ‘pesare’ l’errore del cliente (che nella sostanza c’è sempre) per arrivare a dire se l’episodio si Phishing bancario è imputabile a sua colpa grave.
Certamente, però, è importante prospettare correttamente i fatti e fornire adeguata prova di ciò che è successo nel caso di Phishing bancario: certo tutti sanno che non bisogna cliccare su link trasmessi per mail o sms, ma se questo messaggio proviene da un account apparatemene intestato alla banca la valutazione potrebbe essere diversa. Phishing bancario: allo stesso modo, tutti sanno che non bisogna fornire informazioni telefoniche, ma se la telefonata arriva dal numero della banca forse l’errore è maggiormente giustificabile, soprattutto per le banche che non hanno sportelli e con le quali è frequente la comunicazione a distanza.
di Marco Ticozzi
Sentenza Giudice di Pace