Phishing: avvocato e rimborso o risarcimento banca
Nella mia esperienza di avvocato di diritto bancario a Mestre Venezia, Treviso Montebelluna ma anche in tutta Italia, vedo sempre più spesso casi di truffe Phishing, telefonta vishing o sms smishing: ma cosa significa? Come fare e cosa fare dopo la truffa? Le vittime di phishing hanno diritto al rimborso?
Sono le domande che come avvocato mi sento rivolgere dai clienti vittime di truffa Phishing eseguite tramite email, sms (smishing), telefonate (vishing) o siti fantasma. Ovviamente vorrebbero sapere dall’avvocato esperto in diritto bancario come fare e cosa fare per difendersi: vorrebbero sapere se è possibile ottenere un rimborso o risarcimento dalla banca o dall’autore della truffa Phishing
Phishing risarcimento banca: che cos’è e cosa significa? come avere il rimborso per la truffa subita via sms smishing, telefonata vishing o siti fantasma?
Il phishing è una truffa eseguita tramite email, sms (smishing), telefonate (vishing) o internet con la quale la vittima della truffa viene ingannata per permettere al malintenzionato l’accesso ai conti bancari della vittima al fine di sottrarre le sue disponibilità.
Generalmente la vittima della truffa di phishing viene indotta a fornire informazioni personali, dati finanziari, numeri di cellulare o codici di accesso: per far ciò il truffatore finge di solito di essere l’istituto di credito della vittima creando l’apparenza di una comunicazione (sms smishing proveniente anche dal medesimo numero della propria banca o telefonata vishing proveniente anche dal numero della propria banca) di un sito della banca, così carpendo la fiducia della vittima.
Nella mia esperienza di avvocato si tratta di casi e anche di contenziosi, nei quali si chiede il rimborso o il risarcimento alla banca, in deciso aumento.
Rimborso Phishing: risarcimento banca o autore della truffa smishing e vishing?
La questione principale che si pone in questi casi di truffe phishing è come fare per porre rimedio al danno e, in particolare, cosa fare dopo aver subito l’episodio di phishing, smishing o vishing.
Chiaramente vi è una responsabilità del soggetto autore della truffa: ma il problema, spesso, è che si tratta di un soggetto non individuabile o, comunque, con un patrimonio inesistente e non aggredibile (spesso si tratta di prestanome o soggetti coinvolti nelle truffa ad esempio per indicare un conto in cui bonificare la somma sottratta).
Per la vittima della truffa, purtroppo, l’unica strada che può portare a un rimborso è quella da proporre contro la banca: è tenuta al rimborso o al risarcimento?
Ma non è così facile rintracciare una responsabilità della banca, che potrebbe aver adottato misure adeguate per prevenire un episodio di phishing smishing o vishing, che si è verificato comunque per la disattenzione o la poca cautela della vittima della truffa di phishing.
Come fare e cosa fare dopo?
Analizzeremo la questione in riferimento a una recente decisione dell’Arbitrato Bancario Finanziario proprio sulla richiesta di rimborso e risarcimento rivolta a una banca. Segnaliamo, comunque, che nella mia esperienza di avvocato gli episofi di phishing smishing o vishing non sono isolati.
Phishing risarcimento banca: le vittime di phishing hanno diritto al rimborso?
La decisione dell’Arbitrato Bancario Finanziario su phishing e rimborso o risarcimento della banca è interessante perché individua quali sono i possibili elementi di responsabilità della banca coinvolta ma anche del cliente truffato con l’episodio di phishing.
La decisione dell’ABF su phishing e rimborso o risarcimento della banca ricorda anzitutto che “la nuova normativa stabilisce pertanto, come previsto dal succitato comma 2-bis, la responsabilità dell’intermediario ove quest’ultimo non abbia predisposto un sistema di autenticazione forte” (ABF 396/2020 Collegio di Roma su Phishing, rimborso e risarcimento banca).
La decisione dell’ABF su phishing e rimborso o risarcimento della banca, ricorda poi che “l’art. 10, 2° comma, del D.lgs. n. 11 del 2010, così come modificato dal D.Lgs. 218/2017, il quale statuisce che «quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzazione di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art. 7. E’ onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente»”(ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca).
Dunque, se il cliente nega di aver dato la disposizione di pagamento (che potrebbe derivare da un episodio di phishing smishing o vishing, la relativa perdita è a carico del cliente stesso solo se risulta il dolo o la colpa grave del cliente.
Da tale profilo, dunque, la banca potrebbe rispondere del rimborso o del risarcimento delle somme sottratte con la truffa phishing smishing o vishing, salvo il caso in cui ciò sia avvenuto per una colpa grave del cliente.
Phishing rimborso. Avvocato e risarcimento banca: quando vi è una colpa grave del cliente vittima della truffa subita via sms smishing, telefonata vishing o siti fantasma?
Per valutare se la banca sia tenuta al rimborso o al risarcimento per l’episodio di Phishing smishing o vishing, occorre in definitiva verificare se ci sia una colpa grave del cliente che elimini tale ipotetica responsabilità.
Nel caso oggetto della sentenza richiamata in tema di phishing, rimborso e risarcimento banca ecco cos’era accaduto: il cliente tramite il suo avvocato “afferma di aver ricevuto, in apparenza dall’intermediario, alle ore 19:15 del 27.4.2019 una mail di phishing che la invitava collegarsi al link indicato per confermare il suo numero di cellulare, come parte della procedura di sostituzione della chiavetta fisica, e di aver effettuato l’accesso al link indicato inserendo le proprie credenziali (codice titolare e password) e l’OTP generato dal token. Nega peraltro di aver inserito per confermare il bonifico, avendo preso contezza della natura fraudolenta dell’operazione, un secondo codice OTP nonché l’ulteriore codice dispositivo OTS, ricevuto tramite sms dell’intermediario. Afferma che, accortasi della truffa in atto, è uscita dal sito ed ha poi proceduto ad effettuare un nuovo accesso al proprio home banking tramite OTP, desumendo da ciò che vi siano stati contemporaneamente due accessi da due indirizzi IP differenti. Sostiene che, se il sistema ha considerato l’OTP inserito per accedere al sito quale codice dispositivo, ciò prova l’esistenza di una falla nel sistema di sicurezza dello home banking” (ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca).
E allora, in questo caso vi è colpa grave del cliente (che libera la banca dal dovere di procedere al rimborso o al risarcimento per l’episodio di Phishing) oppure no?
Nella decisione richiamata dell’ABF in tema di phishing, rimborso e risarcimento si distinguono due ipotesi diverse “il Collegio di coordinamento ha chiarito che mentre non può ravvisarsi un comportamento colposo del cliente qualora egli, a causa di un virus (malware, trojan, man in the browser), si veda sottrarre le proprie credenziali di accesso, è invece senz’altro connotato dall’elemento soggettivo della colpa grave il comportamento di chi “abbocchi” ad una tradizionale mail di phishing. Nello specifico il Collegio di coordinamento, con la decisione n. 3.498/2012, ha identificato il phishing c.d. tradizionale nella situazione in cui “ … il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet” (ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca).
Phishing rimborso e risarcimento banca: conclusioni
La decisione sopra richiamata in materia di Phishing e rimborso o risarcimento banca conclude, quindi, per l’esclusione della responsabilità (obbligo risarcimento o rimborso) della banca: “in sostanza, l’intrusione non autorizzata nel sistema - lungi dall’essere causata da un insufficiente grado di protezione informatica e dal servizio offerto dall’intermediario - appare piuttosto ascrivibile a colpa grave della ricorrente, che ha reso possibile l’operazione abusiva contestata dando credito ad una comunicazione anomala e inusuale da parte di un sedicente operatore dell’intermediario resistente, con ciò integrando una violazione gravemente colpevole degli obblighi di custodia dei dati identificativi e dispositivi del proprio conto che fanno carico al titolare”.
Non è detto, però, che la soluzione sia sempre analoga: dipende ovviamente dal caso concreto e, in particolare, dal comportamento della banca e del cliente. Non è da escludere la responsabilità della banca (obbligo risarcimento o rimborso) che, talvolta, anche stragiudizialmente, su richiesta del cliente o del suo avvocato, rimborsa in tutto o in parte le somme sottratte tramite la truffa Phishing.
di Marco Ticozzi