Truffe on line – Phishing: è la Banca a pagare i danni se gli hacker “svuotano” il conto corrente on line
Il Tribunale di Parma ha accolto la domanda di risarcimento del danno patrimoniale patito avanzata da un correntista bancario, il quale aveva denunciato la scoperta dell’effettuazione, a sua insaputa, di bonifici eseguiti da terzi con prelievo sul proprio conto corrente on line. Il giudice emiliano, rifacendosi a principi ormai consolidati in giurisprudenza in materia di responsabilità contrattuale, ha condannato l’istituto di credito a risarcire il danno occorso al proprio cliente, essendosi confermata in giudizio, nella fattispecie, la non corretta operatività del servizio bancario mediante collegamento telematico. Essa, al contrario, rientra a pieno titolo nel rischio d’impresa del prestatore dei servizi di pagamento, con la conseguenza che ricade sulla banca una responsabilità di tipo oggettivo o presuntivo, da cui la stessa va esente solo provando, quanto meno in via presuntiva, che le operazioni contestate dal cliente siano allo stesso riconducibili.
Il fatto
Nel marzo 2010 il titolare di un conto corrente on line presso un istituto di credito si accorgeva dell’avvenuta effettuazione a sua insaputa, ad opera di terzi, di bonifici con prelievo sul suddetto conto, per una somma complessiva superiore a 25.000 euro. L’uomo, che non aveva mai comunicato a nessuno i codici (pin e password) per l’utilizzo del sistema home banking, e che aveva anzi sempre avuto cura di custodire in cassaforte le credenziali per l’accesso, avvisava immediatamente la banca, la quale provvedeva ad arrestare l’esecuzione dell’ultimo ordine di bonifico, restituendo al cliente un importo pari a circa 3.500 euro. Il correntista adiva a questo punto le vie legali per recuperare il proprio credito residuo (lamentando l’esclusiva responsabilità della società convenuta per quanto accaduto e dichiarando di avere subito un danno patrimoniale pari alle somme disposte con bonifico e non restituite dall’istituto di credito), oltre che per ottenere il risarcimento dell’ulteriore danno non patrimoniale asseritamente subito, quantificato in via forfettaria nell’importo di 5.000 euro, e consistito, a detta dell’attore, nel pregiudizio alla salute cagionatogli dalle sofferenze e dal patimento derivati dai fatti appena descritti. Costituitasi in giudizio, la banca contestava le deduzioni di parte attrice, eccependo, nel merito: a) che il proprio sistema per l’esecuzione di operazioni on line doveva dirsi assolutamente sicuro; b) che la responsabilità di quanto accaduto era da ascriversi al comportamento dell’attore, “colpevole” di non avere attivato un sistema di notifica via SMS delle disposizioni effettuate sul proprio conto corrente, nonché, con ogni probabilità, di avere comunicato a terzi i codici per l’effettuazione delle suddette operazioni.
Il conto corrente on line
L’argomento della pronuncia in commento è di grande attualità, in virtù della sempre maggiore diffusione di tali tipologie di conto corrente, attraverso le quali gli istituti di credito offrono la possibilità di controllare on line il proprio conto, col vantaggio che quest’ultimo risulta attivo 24 ore su 24, evita agli utenti di essere vincolati agli orari e ai giorni di apertura della banca e gli spostamenti necessari a raggiungere la sede della banca e le code allo sportello.
Inoltre le operazioni effettuate tramite l’home banking sono molto spesso economicamente più convenienti rispetto a quelle effettuate allo sportello.
Al fine di usufruire del servizio, evidentemente, è necessario anzitutto, possedere un codice “pin”, ossia, un “codice utente” costituito da una sequenza di numeri e/o lettere che individuano il nostro account (espressione con la quale si indica quell’insieme di funzionalità, strumenti e contenuti attribuiti in determinati contesti operativi ad un soggetto che ne usufruisce per accedere a servizi resi tramite la rete Internet).
Inoltre, al codice pin deve essere abbinata una password, ossia una “parola chiave” segreta, scelta dall’utente, necessaria quale ulteriore chiave d’accesso ai servizi, e che periodicamente è opportuno modificare per garantire una sicurezza maggiore.
Le banche sono infine solite consegnare ai correntisti ulteriori strumenti di sicurezza, quali le chiavi USB (cioè, le memorie di massa portatili che si collegano al computer mediante la porta USB), oppure i token (ossia, dispositivi elettronici portatili di piccole dimensioni, alimentati a batteria, dotati di uno schermo e talvolta di una tastiera numerica) necessari anch’essi per accedere al servizio e garantire la sicurezza e la privacy delle transazioni.
Il phishing
L’istituto convenuto ha sostenuto che, nella fattispecie, “il sistema adottato fosse sicuro e in linea con le conoscenze informatiche dell’epoca, sicchè l’impiego di pin e password dell’attore si spiega con la loro incauta rivelazione a terzi” da parte del cliente, “evidentemente vittima di condotte fraudolente volte a carpire tali codici e a sottrargli somme di danaro (c.d. phishing)”.
Il riferimento al termine “phishing” contenuto in comparsa di costituzione consente di approfondire quel particolare tipo di truffa realizzata sulla rete Internet, e perpetrata principalmente attraverso l’invio di messaggi di posta elettronica ingannevoli, solo apparentemente provenienti da istituti finanziari o da siti web che richiedono l’accesso previa registrazione.
I suddetti messaggi, riferendo problemi di registrazione o di altra natura, invitano il destinatario a fornire i propri dati di accesso al servizio, ovviamente riservati.
Spesso, anzi, al fine di “rassicurare” il malcapitato utente, nei suddetti messaggi viene altresì riportato un collegamento (link) che rinvia solo apparentemente al sito web della banca o del servizio a cui si è registrati, e che, al contrario, fa accedere ad un altro sito, che sembra identico all’originale.
Laddove l’utente inserisca, per disavventura, i propri dati riservati, questi entrano nella piena disponibilità degli autori del reato.
La decisione
Il giudice emiliano, trattenuta la causa in decisione dopo averla istruita con prove testimoniali, si pronunciava dichiarando fondata e meritevole di accoglimento la domanda attorea.
Ricondotta la principale questione alla distribuzione tra le parti in causa dell’onere probatorio in ordine alla riconducibilità o meno delle operazioni disconosciute al cliente, il Tribunale ha evidenziato la necessità, per risolvere la problematica, di far riferimento ai principi della giurisprudenza di legittimità, ormai consolidati, in materia di responsabilità contrattuale (Cass. Civ., sez. VI, 12 aprile 2018, n. 9158; ma i principi ivi espressi sono stati fatti propri anche dalla giurisprudenza di merito: in tal senso, ex multis, Trib. Bologna, sez. III, 14 dicembre 2017), in virtù dei quali:
a) il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l’adempimento deve solo provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi alla mera allegazione della circostanza dell’inadempimento della controparte; |
b) il debitore, invece, è gravato dell’onere della prova del fatto estintivo dell’altrui pretesa, costituito dall’avvenuto adempimento ovvero dall’impossibilità di adempiere per causa a lui non imputabile. |
Ciò chiarito in linea generale, il giudice emiliano ha poi ulteriormente richiamato lo stesso precedente giurisprudenziale della Suprema Corte, confermando la possibilità di individuare una responsabilità contrattuale a carico della banca in caso di danni conseguenti ad operazioni effettuate dagli utenti, come nel caso che ci riguarda, a mezzo di strumenti elettronici.
La Corte di legittimità, in proposito, ha infatti precisato che “è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento (…) la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.
Rischio di impresa, per inciso, che pone in capo alla banca una responsabilità di tipo oggettivo o semioggettivo, da cui la stessa va esente solo provando (quanto meno in via presuntiva) che le operazioni contestate dal cliente siano allo stesso riconducibili.
Ebbene, secondo i Supremi Giudici, essendo obbligo (nonché interesse) dell’istituto di credito, in caso di operazioni on line, “garantire la fiducia degli utenti nella sicurezza del sistema”, ed essendo richiesta al medesimo istituto “una diligenza di natura tecnica, da valutarsi con il parametro certo dell’accorto banchiere”, è proprio quest’ultimo (e non l’utente) ad essere gravato dell’onere di fornire la prova liberatoria della la riconducibilità dell’operazione al cliente.
Al contrario, secondo il giudice di merito, nel caso di specie la banca non aveva assolutamente dimostrato:
a) che l’attore fosse stato vittima dell’illecito sopra descritto a causa, e quale conseguenza, della (incauta) rivelazione a terzi, da parte sua, delle credenziali, ossia dei codici personali, per l’accesso all’home banking; |
b) che questi avesse comunicato con dolo le suddette credenziali a terzi. |
Piuttosto, si legge in sentenza, le risultanze istruttorie avevano messo in luce, nella circostanza, l’inesistenza di un adeguato meccanismo di protezione dei dati dei correntisti da parte dell’istituto di credito.
Circostanza ritenuta avvalorata dalla avvenuta sostituzione, ad opera dell’istituto (come espressamente indicato nei propri atti difensivi), del sistema dei codici (cliente, password e pin) con uno più recente, adottato ormai dalla generalità delle banche, che consente la creazione di una password per ogni operazione (OTP, acronimo per One Time Password), generata tramite token o inviata a mezzo sms dal correntista.
Nessun rilievo, invece, è stato attribuito dal Tribunale parmigiano alla mancata attivazione, da parte del correntista, del servizio di notifica via sms della disposizione di operazioni on line: detto servizio, infatti, è volto a consentire un controllo di tipo aggiuntivo da parte del cliente, e il non attivarlo non può, secondo il giudice di prime cure, escludere la responsabilità della banca oppure sollevarla dall’adempimento del proprio obbligo contrattuale di verifica e protezione dei dati dei clienti.
Per tali ragioni, nel caso di specie è stata confermata la responsabilità esclusiva della convenuta in relazione ai fatti di causa e l’obbligo, conseguente, di risarcire il danno patrimoniale occorso al correntista, rappresentato dalle somme perdute a causa dei bonifici eseguiti da terzi attingendo dal proprio conto on line e inizialmente non restituite.
È stata invece rigettata, per carenza di allegazioni e prove sul punto, la domanda di ristoro dei pregiudizi di tipo non patrimoniale alla salute dell’attore.
Tribunale di Parma, sez. I, sentenza 6 settembre 2018, n. 1268