PHISING DELLA CARTA D CREDITO: L'intermediario Bancario è tenuto al risarcimento?

1. Introduzione: Che cos‘è il phishing?

Negli ultimi anni molti consumatori sono stati vittima di fenomeni di c.d. „Phishing“, ovvero di una particolare tipologia di truffa attraverso cui il malintenzionato riesce a procurarsi i dati bancari della vittima, con modalità che possono variare caso per caso, svuotando così di fatto il conto corrente del malcapitato di turno.

Volendo approfondire il fenomeno, questo è stato definito dalla stessa polizia postale nei seguenti termini: il phishing “E’ una particolare tipologia di truffa realizzata sulla rete Internet attraverso l’inganno degli utenti. Si concretizza principalmente attraverso messaggi di posta elettronica ingannevoli:

- Attraverso una e-mail, solo apparentemente proveniente da istituti finanziari (banche o società emittenti di carte di credito) o da siti web che richiedono l'accesso previa registrazione (web-mail, e-commerce ecc.). Il messaggio invita, riferendo problemi di registrazione o di altra natura, a fornire i propri riservati dati di accesso al servizio. Solitamente nel messaggio, per rassicurare falsamente l'utente, è indicato un collegamento (link) che rimanda solo apparentemente al sito web dell'istituto di credito o del servizio a cui si è registrati. In realtà il sito a cui ci si collega è stato artatamente allestito identico a quello originale. Qualora l'utente inserisca i propri dati riservati, questi saranno nella disponibilità dei criminali.

- Con la stessa finalità di carpire dati di accesso a servizi finanziari on-line o altri che richiedono una registrazione, un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf . Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce. „1

Giova in ogni caso evidenziare che tale fenomeno può realizzarsi anche attraverso condotte che non si esauriscono solamente sul web, ma che possono essere perpetrate anche nella realtà di tutti i giorni. Si pensi ad esempio al furto della carta di credito.

2. Chi risarcisce se un terzo mi svuota il conto corrente?

Alla luce di questo fenomeno, che può indistintamente colpire chiunque abbia la titolarità di un conto corrente e la disponibilità di carte di pagamento, la domanda che sorge spontanea è: Chi mi risarcisce in caso di simili ipotesi?

Sotto tale profilo, la condotta di chi pone in essere una simile azione truffaldina può essere sanzionata a mente dell‘art. 640 ter c.p., secondo cui “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la […] reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.”

Occorre tuttavia fare una riflessione di evidente praticità: non sempre si riesce a risalire all‘ autore della truffa in questione, soprattutto se la stessa viene perpetrata online e da soggetti avveduti che possono operare anche oltre i confini nazionali.

I malcapitati quindi sono sforniti di qualsivoglia tutela?

Certamente no. Occorre infatti tenere a mente che il nostro ordinamento fornisce la possibilità di recuperare buona parte del maltolto qualora l‘Intermediario bancario, presso cui è stato acceso il conto corrente, non abbia apprestato tutte le cautele volte a scongiurare possibili utilizzi abusivi dei dati bancari del Cliente.

3. La responsabilità dell‘Intermediario Bancario

Occorre evidenziare infatti che sussiste sull’ intermediario bancario, per il rapporto contrattuale intercorrente con il correntista, un onere di predisporre strumenti preventivi e/o successivi idonei a garantire la sicurezza delle operazioni effettuate mediante l‘utilizzo delle carte di credito e debito e della riconducibilità di tali operazioni al correntista. Anche la Giurisprudenza di Legittimità ha peraltro affermato in più di un’occasione che, nei rapporti che presuppongono l'utilizzazione di servizi e strumenti con funzione di pagamento, anche attraverso mezzi meccanici o elettronici, si radica, in capo all’intermediario, un obbligo di “diligenza rafforzato”. Ciò sta a significare che va valutato in concreto il rispetto dell’obbligazione in capo all’intermediario circa la compiuta predisposizione di misure idonee a garantire la sicurezza del servizio attraverso un controllo connotato da quella particolare diligenza ex art. 1176 co. 2 c.c., ovvero di quella posta a carico del professionista, di natura tecnica e che deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’ “accorto banchiere”2.

Va da se, dunque, che nel caso in cui si riesca a dimostrare che l‘intermediario bancario non abbia predisposto idonee misure di sicurezza volte a tutelare la clientela, questo potrà essere ritenuto responsabile della perdita subita dal Cliente e risponderne a titolo risarcitorio.

4. L‘intermediario è tenuto quindi a risarcire l‘intera perdita subita dal Cliente?

Occorre innanzitutto ribadire che è onere del Cliente danneggiato, che agisca in giudizio per ottenere il risarcimento, quello di provare che l‘intermediario non ha utilizzato la dovuta diligenza di cui all‘art. 1176 co. 2 c.c.

Una volta dimostrato questo, il Cliente può pretendere l‘applicazione di una norma ulteriore, ovvero dell‘art. 12, comma 3, del D.lgs 27 gennaio 2011 n. 10 3, il quale prevede che in caso di perdite monetarie derivanti da operazioni di pagamento non autorizzate con l'utilizzo indebito dello strumento di pagamento conseguente al suo furto, al suo smarrimento o alla sua indebita appropriazione, l’utilizzatore puo' sopportare un peso per un importo comunque non superiore a euro 150.

In altre parole, tutte le somme prelevate ed utilizzate indebitamente da terzi dal conto corrente del malcapitato (mediante l‘utilizzo di strumenti di pagamento) eccedenti i 150 Euro, andranno rimborsate dall‘Intermediario.

Una corretta applicazione della normativa sopra richiamata è stata effettuata peraltro dal Giudice di Pace di Perugia, il quale è stato chiamato a dirimere una controversia introdotta da un Cliente dello Studio a danno di un noto Intermediario bancario e finanziario che, a seguito di un fenomeno di phishing, si era rifiutato di rimborsare al Cliente le somme sottratte dal proprio conto corrente.

Il Giudice di Pace di Perugia, con sentenza n. 690/2019 ha difatti statuito che „Dall‘esame del testo del D.Lvo n.11 del 27 gennaio 2020, denominato attuazione della Direttiva 2007/64/CE, l‘istituto è tenuto alla restituzione degli importi appropriati dai terzi, atteso che l‘utilizzatore non ha agito con dolo o colpa grave e ha viceversa adottato ogni prescritta cautela nell‘utilizzo del dispositivo“ rilevando altresì che „Gli obblighi per l‘intermediario sono: assicurare che i dispositivi personalizzati non siano accessibili a soggetti non autorizzati, non attivare o inviare servizi di pagamento non richiesti, essere raggiungibili in caso di frode o furto per permettere al cliente di bloccare la carta e impedire che dopo il blocco della carta questa possa essere ancora utilizzata“. Obblighi che nel caso di specie sono stati ritenuti violati dal Giudicante, il quale molto saggiamente ha altresì ritenuto che „i metodi spesso sofisticati che vengono utilizzati per rubare la carta ed i pin non possono ricadere sul cliente per sua colpa […] pertanto nel caso in cui vengano eseguiti prelievi non autorizzati sul conto corrente, la banca sarà sempre tenuta al risarcimento del danno subito dal cliente“.

Concludendo, quindi, anche nei casi di „Phishing“ è sempre bene verificare e valutare l‘assolvimento degli obblighi di diligenza da parte dell‘Intermediario bancario, il quale ben può essere chiamato a risarcire il Cliente delle perdite subite in virtù della normativa sopra richiamata.

Perugia, 12 marzo 2020

Avv. Luca Farneti

1Definizione tratta da hhttps//www.commissariatodips.it

2(Cass. 12 giugno 2007, n. 13777; in senso conforme anche Cass. 19 gennaio 2016, n. 806)

3“Salvo il caso in cui l'utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l'utilizzo dello strumento di pagamento, prima della comunicazione eseguita ai sensi dell'articolo 7, comma 1, lettera b), l'utilizzatore medesimo puo' sopportare per un importo comunque non superiore complessivamente a 150 euro la perdita derivante dall'utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento”.