Phishing: avvocato e rimborso o risarcimento banca

Le vittime di Phishing possono chiedere un risarcimento alla banca? Che cosa è questa truffa?

Il phishing è una truffa eseguita tramite email, sms (smishing), telefonate (vishing) o internet con la quale la vittima della truffa viene ingannata per permettere al malintenzionato l’accesso ai conti bancari della vittima al fine di sottrarre le sue disponibilità.
Generalmente la vittima della truffa di phishing viene indotta a fornire informazioni personali, dati finanziari, numeri di cellulare o codici di accesso: per far ciò il truffatore finge di solito di essere l’istituto di credito della vittima creando l’apparenza di una comunicazione (sms smishing proveniente anche dal medesimo numero della propria banca o telefonata vishing proveniente anche dal numero della propria banca) di un sito della banca, così carpendo la fiducia della vittima.
Nella mia esperienza di avvocato si tratta di casi e anche di contenziosi, nei quali si chiede il rimborso o il risarcimento alla banca, in deciso aumento.

Rimborso per Phishing: il risarcimento è dovuto dalla banca o dall’autore della truffa smishing e vishing?

La questione principale che si pone in questi casi di truffe phishing è come fare per porre rimedio al danno e, in particolare, cosa fare dopo aver subito l’episodio di phishing, smishing o vishing.
Chiaramente vi è una responsabilità del soggetto autore della truffa: ma il problema, spesso, è che si tratta di un soggetto non individuabile o, comunque, con un patrimonio inesistente e non aggredibile (spesso si tratta di prestanome o soggetti coinvolti nelle truffa ad esempio per indicare un conto in cui bonificare la somma sottratta).
Per la vittima della truffa, purtroppo, l’unica strada che può portare a un rimborso è quella da proporre contro la banca: è tenuta al rimborso o al risarcimento?
Ma non è così facile rintracciare una responsabilità della banca, che potrebbe aver adottato misure adeguate per prevenire un episodio di phishing smishing o vishing, che si è verificato comunque per la disattenzione o la poca cautela della vittima della truffa di phishing.
Come fare e cosa fare dopo?
Analizzeremo la questione in riferimento a una recente decisione dell’Arbitrato Bancario Finanziario proprio sulla richiesta di rimborso e risarcimento rivolta a una banca. Segnaliamo, comunque, che nella mia esperienza di avvocato gli episofi di phishing smishing o vishing non sono isolati.

Quando le vittime di phishing hanno diritto al rimborso?

La decisione dell’Arbitrato Bancario Finanziario (ABF 396/2020 Collegio di Roma ) sull'argomento del phishing e del rimborso o risarcimento della banca analizza la responsabilità delle banche e dei clienti in caso di truffe online come il phishing.

1. Sistema di Autenticazione Forte: 

• L'ABF sottolinea l'importanza della nuova normativa che pone la responsabilità sulla banca se non ha implementato un sistema di autenticazione forte per le transazioni. In pratica, se una banca non ha adottato misure rigorose per verificare l'identità del cliente durante le operazioni, può essere ritenuta responsabile per eventuali frodi derivanti da episodi di phishing.

2. Onere della Prova sul Prestatore di Servizi: 

• Secondo l'art. 10, 2° comma, del D.lgs. n. 11 del 2010, modificato dal D.Lgs. 218/2017, se un cliente nega di aver autorizzato un'operazione di pagamento, la semplice utilizzazione di uno strumento di pagamento registrato dalla banca non è sufficiente a dimostrare che il cliente ha effettivamente autorizzato quella transazione.
• Inoltre, se c'è controversia, la responsabilità di fornire la prova della frode, dolo o colpa grave dell'utente ricade sulla banca. Ciò significa che la banca deve dimostrare che il cliente ha agito intenzionalmente o con grave negligenza nell'autorizzare l'operazione fraudolenta.

3. Responsabilità del cliente:  

• Se un cliente nega di aver dato una disposizione di pagamento risultante da episodi di phishing (o smishing o vishing), lui/lei può essere ritenuto responsabile solo se si può dimostrare che ha agito con dolo o colpa grave.
• Pertanto, la banca potrebbe essere tenuta a rimborsare o risarcire le somme sottratte attraverso truffe come il phishing, smishing o vishing, a meno che non si dimostri una grave negligenza da parte del cliente.

La decisione dell’ABF evidenzia la necessità per le banche di adottare sistemi di sicurezza robusti e sottolinea che, in caso di controversie legate a truffe online, l'onere della prova ricade sulla banca. Allo stesso tempo, i clienti sono esortati a agire con prudenza, poiché la grave negligenza da parte loro potrebbe esonerare la banca da eventuali rimborsi o risarcimenti.

Phishing rimborso: quando vi è una colpa grave del cliente vittima della truffa subita via sms smishing, telefonata vishing o siti fantasma?

Per valutare se la banca sia tenuta al rimborso o al risarcimento per l’episodio di Phishing smishing o vishing, occorre in definitiva verificare se ci sia una colpa grave del cliente che elimini tale ipotetica responsabilità.
Nel caso oggetto della sentenza richiamata in tema di phishing, rimborso e risarcimento banca ecco cos’era accaduto: il cliente tramite il suo avvocato “afferma di aver ricevuto, in apparenza dall’intermediario, alle ore 19:15 del 27.4.2019 una mail di phishing che la invitava collegarsi al link indicato per confermare il suo numero di cellulare, come parte della procedura di sostituzione della chiavetta fisica, e di aver effettuato l’accesso al link indicato inserendo le proprie credenziali (codice titolare e password) e l’OTP generato dal token. Nega peraltro di aver inserito per confermare il bonifico, avendo preso contezza della natura fraudolenta dell’operazione, un secondo codice OTP nonché l’ulteriore codice dispositivo OTS, ricevuto tramite sms dell’intermediario. Afferma che, accortasi della truffa in atto, è uscita dal sito ed ha poi proceduto ad effettuare un nuovo accesso al proprio home banking tramite OTP, desumendo da ciò che vi siano stati contemporaneamente due accessi da due indirizzi IP differenti. Sostiene che, se il sistema ha considerato l’OTP inserito per accedere al sito quale codice dispositivo, ciò prova l’esistenza di una falla nel sistema di sicurezza dello home banking” (ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca).
E allora, in questo caso vi è colpa grave del cliente (che libera la banca dal dovere di procedere al rimborso o al risarcimento per l’episodio di Phishing) oppure no?
Nella decisione richiamata dell’ABF in tema di phishing, rimborso e risarcimento si distinguono due ipotesi diverse “il Collegio di coordinamento ha chiarito che mentre non può ravvisarsi un comportamento colposo del cliente qualora egli, a causa di un virus (malware, trojan, man in the browser), si veda sottrarre le proprie credenziali di accesso, è invece senz’altro connotato dall’elemento soggettivo della colpa grave il comportamento di chi “abbocchi” ad una tradizionale mail di phishing. Nello specifico il Collegio di coordinamento, con la decisione n. 3.498/2012, ha identificato il phishing c.d. tradizionale nella situazione in cui “ … il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet” (ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca).

Conclusioni sul diritto al rimborso della vittima della truffa informatica

La decisione sopra richiamata in materia di Phishing e rimborso o risarcimento banca conclude, quindi, per l’esclusione della responsabilità (obbligo risarcimento o rimborso) della banca: “in sostanza, l’intrusione non autorizzata nel sistema - lungi dall’essere causata da un insufficiente grado di protezione informatica e dal servizio offerto dall’intermediario - appare piuttosto ascrivibile a colpa grave della ricorrente, che ha reso possibile l’operazione abusiva contestata dando credito ad una comunicazione anomala e inusuale da parte di un sedicente operatore dell’intermediario resistente, con ciò integrando una violazione gravemente colpevole degli obblighi di custodia dei dati identificativi e dispositivi del proprio conto che fanno carico al titolare”.
Non è detto, però, che la soluzione sia sempre analoga: dipende ovviamente dal caso concreto e, in particolare, dal comportamento della banca e del cliente. Non è da escludere la responsabilità della banca (obbligo risarcimento o rimborso) che, talvolta, anche stragiudizialmente, su richiesta del cliente o del suo avvocato, rimborsa in tutto o in parte le somme sottratte tramite la truffa Phishing.
di Marco Ticozzi