Conto corrente: bonifici online fraudolenti – risarcimento
Il Tribunale di Bolzano, con sentenza n. 451/2021, passata in giudicato, ha condannato una banca al risarcimento, in favore del correntista, di quanto sottratto fraudolentemente dal conto mediante un bonifico online.
Il cliente aveva tentato di accedere al servizio home banking senza riuscirvi ed aveva inserito le proprie credenziali su richiesta del sistema. In quel momento, l’hacker aveva sottratto username e password ed eseguito un consistente bonifico verso l’estero scoperto solo 10gg dopo.
Il Tribunale riconosce, nella fattispecie in esame, un caso di sottrazione fraudolenta delle credenziali (username e password) necessarie per accedere all’area riservata del sito della banca ed effettuare operazioni online.
La Banca si è difesa sostenendo di non essere responsabile della custodia e del corretto utilizzo delle credenziali di accesso in forza di espressa pattuizione contrattuale, ma il Tribunale ha considerato tale clausola illegittima perchè contraria alla normativa che tutela il Consumatore.
Inoltre, il Tribunale addebita alla banca la mancata adozione di misure di sicurezza (sms e/o email di alert) tali da permettere al cliente di scoprire l’operazione fraudolenta non appena effettuata nonchè l’omesso controllo su un bonifico palesemente inusuale rispetto all’operatività del cliente per importo e destinazione (il cliente non aveva mai disposto alcun bonifico verso l’estero prima).
Nel caso di specie trovano applicazione gli artt. 10 e 11 del DLGS 11/2010 in forza dei quali:
(art. 10): “qualora l’utilizzatore del servizio neghi di avere autorizzato un’operazione di pagamento già eseguita, o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.”
(art. 11): “nel caso in cui un’operazione di pagamento non sia stata autorizzata, il prestatore di servizi rimborsa immediamente al pagatore l’importo dell’operazione medesima. Ove per l’esecuzione dell’operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo”.
In altre parole, ex DLGS 11/2010 il mancato adempimento dell’onere probatorio gravante sulla banca ne determina la responsabilità risarcitoria.
Nello stesso senso anche la Cassazione, con orientamento consolidato:
(ord. 9158/2018) “In tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del d.lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente.”
(sentenza n. 10638/2016): “… ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali. … (Il cliente) è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto (id est l’istituto di credito) onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno”.
Sul tema, si è espresso con chiarezza anche il Collegio di Coordinamento dell’ABF (Arbitrato Bancario Finanziario) con decisione n. 3498/2012, a cui ha fatto seguito una lunga e costante serie di decisioni conformi di singoli Collegi locali :
” … Nello specifico, la ricorrente risulta essere stata vittima di un’aggressione informatica costruita attraverso un software particolarmente insidioso. A differenza che nelle fattispecie “classiche” sin qui note, dove l’aggiramento dei presidi di sicurezza e la circonvenzione del cliente ha luogo attraverso metodi ormai noti (e-mail civetta, false comunicazioni di scadenza, invito all’aggiornamento di database e così via) che il cliente, dispiegando un minimo di diligenza, è oggettivamente in grado di evitare (anche e non secondariamente per l’accresciuta campagna di informazione che i media e gli stessi intermediari hanno da tempo ormai attuato), viceversa, nel caso in esame, la captatio ha avuto luogo attraverso un meccanismo decisamente assai più subdolo, noto da tempo – come si noterà – alla scienza informatica ma non altrettanto al pubblico dell’utenza on line, capace di sorprendere la buona fede anche di un pur normalmente attento fruitore del servizio.
…
Il principio operativo di tale meccanismo di intrusione viene definito in gergo man-in-the-browser a significare l’interposizione che questo genere di malware è in grado di operare fra il sistema centrale dell’intermediario e quello del singolo utente.
…
Ignaro dell’intervenuta sostituzione della pagina, l’utente è indotto a ritenere di trovarsi nel normale ambiente sicuro in cui normalmente egli opera.
A quel punto il malware attiva una finestra a modulo, che pare sempre provenire dal sito dell’intermediario in cui si trova (crede di trovarsi) l’utente, ove è richiesta una conferma di sicurezza con l’invito a compilare i campi del modulo con i propri dati e il codice generato dal dispositivo OTP: procedura che gli intermediari stessi talora attivano per controlli di sicurezza … il che rafforza nell’utente il convincimento della piena regolarità della situazione e della normalità del controllo automaticamente disposto dal sistema.
L’utente, con ciò doppiamente ingannato, compila quindi i campi del modulo che il malware prontamente trasmette all’intruso.
Questi, così callidamente interpostosi nell’operazione, ha modo di captare tutti i fattori di autenticazione e di utilizzarli in tempo reale, nel mentre l’utente viene ulteriormente ingannato da un messaggio di attesa che, qualche minuto dopo, si conclude con la segnalazione dell’impossibilità di procedere all’operazione e con l’invito a ritentare in un secondo momento.
…
Non appare ragionevolmente ravvisabile, in siffatto contesto, alcun elemento tale da poter riqualificare siccome colposa, e tanto meno siccome gravemente colposa (ai fini di cui all’art. 12 comma 2° d. lgs. cit.), la condotta dell’utilizzatore del servizio.”
In sintesi, l’eventuale uso dei codici di accesso al servizio home banking da parte dei terzi (che li hanno sottratti con l’inganno al correntista) rientra nel rischio professionale della banca.
Tale rischio è prevedibile e, quindi, evitabile adottando appropriate misure di sicurezza (sms / email di alert, ulteriore conferma dell’operazione a mezzo codice “one time”), ossia predisponendo tutte le cautele necessarie per verificare la riferibilità delle operazioni al correntista.
Pertanto, la banca, per essere esente da responsabilità, deve provare di aver adottato tutte queste misure e, quindi, non risponde del danno subito dal cliente solo quando riesca a dimostrare che l’accaduto è attribuibile al dolo del cliente o a comportamenti di questi talmente incauti da non poter essere fronteggiati in anticipo
(cfr. sul punto anche Cass. 13777/2007, Cass. 18812/2014, Cass. 806/2016, Cass. 10638/2016, Cass. 2950/2017, Cass. 9158/2018, Cass. 18045/2019, Cass. 9721/2020, Cass. 26916/2020 nonchè Trib. Milano 7644/2018 e Trib. Torino 4345/2020).
Il Tribunale di Bolzano ha, quindi, condannato la banca a restituire al cliente il capitale sottrattogli, maggiorato d’interessi, nonchè le spese di lite.
L’avv. Rebellato, nel caso in parola, ha patrocinato le ragioni del cliente.
