Phishing bancario

Phishing cos'è? 

 

Cos'è il phishing? Il Phishing bancario può attuarsi con diverse modalità (mail, sms, telefonate ecc.): nella sostanza il Phishing è una truffa nella quale terzi, utilizzando appunto diverse modalità, riescono a carpire i codici di accesso al conto di un cliente di una banca e poi quelli dispositivi, sottraendo tutte o parte delle somme presenti nel conto.

È chiara e pacifica la responsabilità del truffatore che attua il Phishing bancario. Ma, purtroppo, spesso si tratta di persone irrintracciabili (magari perché utilizzano prestanomi) o comunque prive di patrimonio: diventa, quindi, spesso inutile agire contro l’autore del Phishing bancario per cercare di ottenere un rimborso.

 

Phishing bancario: significato e rimborso da parte della banca

 

Quando abbiamo appena evidenziato sul Phishing bancario, spiega perché poi l’azione spesso del truffato si indirizzi contro la banca: si tratta di un soggetto capiente, spesso l’unico contro il quale sia possibile agire per il rimborso delle somme sottratte con l Phishing bancario.

Ma la banca risponde sempre per il Phishing bancario?

Non vi è una responsabilità automatica della banca laddove sul conto corrente di un correntista vengano prelevate somme con il Phishing bancario.

Nella sostanza, semplificando al massimo, la banca risponde a meno che non ci sia colpa grave del cliente.

La valutazione circa della colpa grave del cliente nell’ambito del Phishing bancario ha ampi margini di discrezionalità, sicché non è facile offrire indicazioni sempre valide.

È però frequente che il Phishing bancario si realizzi attraverso la cooperazione del cliente: che clicca su un link inviato per sms o mail ma che non è quello della propria banca o che trasmetta al telefono i codici dispositivi, quando è noto che le banche non li chiedono.

È però anche vero che nel Phishing bancario, almeno talvolta, questi comportamenti colpevoli del cliente si realizzano in circostanze che possono rendere scusabile l’errore: la ricezione di un sms con il link da un numero apparentemente essere della banca o la ricezione di una telefonata da un numero apparentemente essere della banca.

Quale è il confine nel Phishing bancario tra errore scusabile e colpa grave?

Chiaramente non ci sono risposte univoche.

Vediamo un caso concreto di Phishing bancario, come detto esaminato in una sentenza del Giudice di Pace di Treviso.

 

Sentenza del giudice di Pace di Treviso sul Phishing bancario: cos'è? quali sono gli obblighi della banca? 

La sentenza del Giudice di Pace di Treviso sul Phishing bancario ricorda anzitutto che “il D.Lgs. n° 10 del 2011 individua gli obblighi esistenti in capo al prestatore di servizi di pagamento in relazione agli strumenti di pagamento e le responsabilità per operazioni non autorizzate e per l'utilizzo non autorizzato di strumenti o servizi di pagamento.

Il sistema delineato dalla richiamata legge comporta la responsabilità del prestatore del servizio di pagamento, salvo che lo stesso dimostri il dolo o la negligenza dell'utente” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

In particolare, si indica nella sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario “l'art. 10 del decreto legislativo citato stabilisce che, qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti, mentre l'art. 12, ai commi 2ter, 3 e 4, stabilisce che il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l'appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento e negli altri casi può sopportare la perdita relativa a operazioni di pagamento non autorizzate derivanti dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

 

Phishing cos'è? Quando c'è la colpa grave del cliente che esonera l'intermediario bancario?

 

Sempre la sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario sottolinea un aspetto determinate: “I’utente dei servizi di pagamento sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate qualora abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, agli obblighi previsti dall'art. 7 il quale prevede l'utilizzo dello strumento di pagamento in conformità con le regole sull'emissione e l'uso e comunicare senza indugio al prestatore dei servizi di pagamento il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

La sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario ricorda peraltro come “la giurisprudenza è concorde nel ritenere che la responsabilità della Banca per operazioni effettuate a mezzo di strumenti elettronici, avendo natura contrattuale, è esclusa se ricorre colpa grave dell'utente e che rientra nel rischio tipico professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (cfr. Cass. Civ., Sez. III, 05/07/2019, n 18045; Cass. Civ., Sez. I, 03/02/2017, n° 2950)” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

 

Phishing bancario: il caso di specie esaminato dal Giudice di Pace di Treviso

 

La sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario descrive il caso al suo esame: “l'istituto di credito ha documentato in atti il contratto di servizi via internet intercorso tra le parti in data 07.01.2015 e relativo al conto corrente intestato all'attore, nonché la relativa Guida dalla quale si evince che il titolare del conto, per disporre le operazioni dalla home banking, dopo l'accesso, per autorizzare il pagamento è necessario che inserisca ì codici OTP che si ricevono nel numero di telefono certificato e che, per la conferma di operazioni sospette, è prevista una misura di sicurezza aggiuntiva ovvero l'invio di un sms al numero di cellulare certificato con il quale vengono comunicati l'operazione in itinere e un nuovo codice (OTS) per confermare l'operazione” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

La sentenza sul Phishing bancario continua indicando che “nel caso di specie, in base alla tracciatura delle operazioni svolte sul portale home banking della banca convenuta nel conto corrente dell'attore il giorno della frode e di cui alla documentazione allegata in atti - la quale è plausibile ritenersi attendibile nonostante le contestazioni di parte attrice le quali tuttavia appaiono del tutto generiche e non analiticamente specifiche nei motivi per i quali la stessa sarebbe da ritenersi inattendibile -, è possibile ricostruire i momenti e lo svolgimento della operazione in contestazione.

Dal suddetto documento si evince che il giorno 15.06.2017 alle ore 14,18, dall'USER-ID identificativo del conto corrente dell'attore e dall'indirizzo IP XXXX coincidente con quello da cui normalmente, sia precedentemente che successivamente, sono state effettuate altre operazioni home banking su detto conto corrente e da detto attore ritenute regolari, è stato disposto un bonifico il quale, ritenuto dal sistema sospetto - a differenza di quelli risultanti dal medesimo documento e non in contestazione effettuati uno alle ore 09,14 ed uno alle ore 14,26 del medesimo giorno dal medesimo indirizzo IP e riconosciuti regolari dall'attore stesso - è stato da detto sistema adottato dalla banca - previo invio di un SMS di allarme al numero di cellulare fornito e certificato dal cliente stesso contenente sia il tipo di operazione in essere (bonifico europeo), sia il nome del beneficiario (XXXXX) che l'importo dell'operazione (XXXXX) - sottoposto ad una duplice conferma tramite inserimento del codice OTP fornito dal token e successivo inserimento del codice OTS inviato via SMS” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

La valutazione giuridica che da tale situazione di fatto trae la sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario è la seguente: “dai suddetti movimenti ed annotazioni è da rilevarsi che i sistemi di sicurezza approntati dalla banca siano stati pienamente efficaci e che soltanto la cooperazione del ricorrente, benché posta in essere non scientemente, ha reso possibile l'autorizzazione non voluta della disposizione di pagamento in contestazione e di cui è controversia.

Infatti, una volta che l'istituto dì credito avvisa l'utente per il tramite del sistema di sicurezza dello svolgimento di una specifica operazione e gli trasmette il codice per autorizzare o meno la disposizione di pagamento, è rimesso all'utente la scelta di utilizzare il codice, così dando corso all'operazione o arrestarsi, revocandola” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

 

 Phishing bancario: le conclusioni della sentenza del Giudice di Pace di Treviso

 

La sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario indica, in definitiva, che “l'autorizzazione della disposizione di pagamento dipende unicamente dall'inserimento dei codici da parte dell'utente, senza del quale l'operazione non può essere portata a compimento.

Peraltro, una determinata operazione, pur sospetta secondo ì parametri dell'istituto di credito, potrebbe invece essere autenticamente e scientemente voluta dall'utente sicché il sistema prefigurato, pur fornendo a quest'ultimo uno strumento efficace per monitorare le operazioni e, se del caso, bloccarle, fa dipendere dalle sue determinazioni l'esito delle operazioni” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

Alla luce di tali indicazioni, la sentenza del Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario conclude che “può pertanto concludersi che l'operazione di bonifico di pagamento impartita sul conto dell'attore è stata autenticata regolarmente mediante i codici da lui fomiti e che non vi è stata alcuna anomalia nel sistema di sicurezza della banca ed in conseguenza, avendo quest'ultima assolto all'onere di provare l'adempimento degli obblighi su di essa gravanti, la domanda attorea è da rigettarsi” (Giudice di Pace di Treviso 16 settembre 2021, n. 963 su Phishing bancario, significato e rimborso).

 

Phishing cos'è: conclusioni sulla tutela e la responsabilità dell'intermediario bancario

 

Le controversie sul Phishing bancario sono complesse e hanno margini di discrezionalità rilevante da parte del giudice, non essendo facile ‘pesare’ l’errore del cliente (che nella sostanza c’è sempre) per arrivare a dire se l’episodio si Phishing bancario è imputabile a sua colpa grave.

Certamente, però, è importante prospettare correttamente i fatti e fornire adeguata prova di ciò che è successo nel caso di Phishing bancario: certo tutti sanno che non bisogna cliccare su link trasmessi per mail o sms, ma se questo messaggio proviene da un account apparatemene intestato alla banca la valutazione potrebbe essere diversa. Phishing bancario: allo stesso modo, tutti sanno che non bisogna fornire informazioni telefoniche, ma se la telefonata arriva dal numero della banca forse l’errore è maggiormente giustificabile, soprattutto per le banche che non hanno sportelli e con le quali è frequente la comunicazione a distanza.

di Marco Ticozzi