Informazione giuridica:
blog dell'avv. prof. Marco Ticozzi
Professore Aggregato di Diritto Privato presso Università Ca' Foscari Venezia | Avvocato Cassazionista iscritto all'Ordine degli Avvocati di Venezia con studio a Mestre Venezia, Treviso, Vicenza.
23 Giugno 2020

Phishing: avvocato e rimborso o risarcimento banca

Phishing che cos’è e cosa significa?
È possibile ottenere tramite un avvocato un rimborso o risarcimento dalla banca?
Nella mia esperienza di avvocato di diritto bancario vedo sempre più spesso casi di truffe Phishing: ma appunto che cos’è e cosa significa? Come fare e cosa fare dopo?
Sono alcune delle domande che come avvocato mi sento rivolgere dai clienti vittime di truffe Phishing eseguite tramite email o siti fantasma. Ovviamente vorrebbero sapere dall’avvocato come fare e cosa fare per difendere il loro patrimonio sottratto: vorrebbero sapere se è possibile ottenere un rimborso o risarcimento dalla banca o dall’autore della truffa Phishing



Phishing avvocato rimborso risarcimento banca

Phishing, avvocato e rimborso o risarcimento banca: che cos’è e cosa significa?

 

Il phishing è una truffa eseguita tramite email o internet con la quale la vittima viene ingannata per permettere al malintenzionato l’accesso ai conti bancari della vittima al fine di sottrarre le sue disponibilità.
Generalmente la vittima della truffa di phishing viene indotta a fornire informazioni personali, dati finanziari, numeri di cellulare o codici di accesso: per far ciò il truffatore finge di solito di essere l’istituto di credito della vittima creando l’apparenza di una comunicazione o di un sito della banca, così carpendo la fiducia della vittima.
Nella mia esperienza di avvocato si tratta di casi e anche di contenziosi, nei quali si chiede il rimborso o il risarcimento alla banca, in aumento.

 

Phishing: rimborso e risarcimento banca o autore della truffa?

 

La questione principale che si pone in questi casi di truffe phishing è come fare per porre rimedio al danno e, in particolare, cosa fare dopo aver subito l’episodio di phishing.
Chiaramente vi è una responsabilità del soggetto autore della truffa: ma il problema, spesso, è che si tratta di un soggetto non individuabile o, comunque, con un patrimonio inesistente e non aggredibile (spesso si tratta di prestanome o soggetti coinvolti nelle truffa ad esempio per indicare un conto in cui bonificare la somma sottratta).
Per la vittima della truffa, purtroppo, l’unica strada che può portare a un rimborso è quella da proporre contro la banca: è tenuta al rimborso o al risarcimento?
Ma non è così facile rintracciare una responsabilità della banca, che potrebbe aver adottato misure adeguate per prevenire un episodio di phishing, che si è verificato comunque per la disattenzione o la poca cautela della vittima della truffa di phishing.
Come fare e cosa fare dopo?
Analizzeremo la questione in riferimento a una recente decisione dell’Arbitrato Bancario Finanziario proprio sulla richiesta di rimborso e risarcimento rivolta a una banca. segnaliamo, comunque, che nella mia esperienza di avvocato gli episofi di phishing non sono isolati.

 

Phishing, avvocato e rimborso o risarcimento banca: decisione ABF

 

La decisione dell’Arbitrato Bancario Finanziario su phishing e rimborso o risarcimento della banca è interessante perché individua quali sono i possibili elementi di responsabilità della banca coinvolta ma anche del cliente truffato con l’episodio di phishing.
La decisione dell’ABF su phishing e rimborso o risarcimento della banca ricorda anzitutto che “la nuova normativa stabilisce pertanto, come previsto dal succitato comma 2-bis, la responsabilità dell’intermediario ove quest’ultimo non abbia predisposto un sistema di autenticazione forte” (ABF 396/2020 Collegio di Roma su Phishing, rimborso e risarcimento banca).
La decisione dell’ABF su phishing e rimborso o risarcimento della banca, ricorda poi che “l’art. 10, 2° comma, del D.lgs. n. 11 del 2010, così come modificato dal D.Lgs. 218/2017, il quale statuisce che «quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzazione di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art. 7. E’ onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente»”(ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca).
Dunque, se il cliente nega di aver dato la disposizione di pagamento (che potrebbe derivare da un episodio di phishing, la relativa perdita è a carico del cliente stesso solo se risulta il solo o la colpa grave del cliente.
Da tale profilo, dunque, la banca potrebbe rispondere del rimborso o del risarcimento delle somme sottratte con la truffa phishing, salvo il caso in cui ciò sia avvenuto per una colpa grave del cliente.

 

Phishing, avvocato e rimborso o risarcimento banca: quando vi è una colpa grave del cliente?

 

Per valutare se la banca sia tenuta al rimborso o al risarcimento per l’episodio di Phishing, occorre in definitiva verificare se ci sia una colpa grave del cliente che elimini tale ipotetica responsabilità.
Nel caso oggetto della sentenza richiamata in tema di phishing, rimborso e risarcimento banca ecco cos’era accaduto: il cliente tramite il suo avvocato “afferma di aver ricevuto, in apparenza dall’intermediario, alle ore 19:15 del 27.4.2019 una mail di phishing che la invitava collegarsi al link indicato per confermare il suo numero di cellulare, come parte della procedura di sostituzione della chiavetta fisica, e di aver effettuato l’accesso al link indicato inserendo le proprie credenziali (codice titolare e password) e l’OTP generato dal token. Nega peraltro di aver inserito per confermare il bonifico, avendo preso contezza della natura fraudolenta dell’operazione, un secondo codice OTP nonché l’ulteriore codice dispositivo OTS, ricevuto tramite sms dell’intermediario. Afferma che, accortasi della truffa in atto, è uscita dal sito ed ha poi proceduto ad effettuare un nuovo accesso al proprio home banking tramite OTP, desumendo da ciò che vi siano stati contemporaneamente due accessi da due indirizzi IP differenti. Sostiene che, se il sistema ha considerato l’OTP inserito per accedere al sito quale codice dispositivo, ciò prova l’esistenza di una falla nel sistema di sicurezza dello home banking” (ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca).
E allora, in questo caso vi è colpa grave del cliente (che libera la banca dal dovere di procedere al rimborso o al risarcimento per l’episodio di Phishing) oppure no?
Nella decisione richiamata dell’ABF in tema di phishing, rimborso e risarcimento si distinguono due ipotesi diverse “il Collegio di coordinamento ha chiarito che mentre non può ravvisarsi un comportamento colposo del cliente qualora egli, a causa di un virus (malware, trojan, man in the browser), si veda sottrarre le proprie credenziali di accesso, è invece senz’altro connotato dall’elemento soggettivo della colpa grave il comportamento di chi “abbocchi” ad una tradizionale mail di phishing. Nello specifico il Collegio di coordinamento, con la decisione n. 3.498/2012, ha identificato il phishing c.d. tradizionale nella situazione in cui “ … il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet” (ABF 396/2020 Collegio di Roma su phishing, rimborso e risarcimento banca).

 

Phishing, avvocato e rimborso o risarcimento banca: conclusioni.

 

La decisione sopra richiamata in materia di Phishing e rimborso o risarcimento banca conclude, quindi, per l’esclusione della responsabilità (obbligo risarcimento o rimborso) della banca: “in sostanza, l’intrusione non autorizzata nel sistema - lungi dall’essere causata da un insufficiente grado di protezione informatica e dal servizio offerto dall’intermediario - appare piuttosto ascrivibile a colpa grave della ricorrente, che ha reso possibile l’operazione abusiva contestata dando credito ad una comunicazione anomala e inusuale da parte di un sedicente operatore dell’intermediario resistente, con ciò integrando una violazione gravemente colpevole degli obblighi di custodia dei dati identificativi e dispositivi del proprio conto che fanno carico al titolare”.
Non è detto, però, che la soluzione sia sempre analoga: dipende ovviamente dal caso concreto e, in particolare, dal comportamento della banca e del cliente. Non è da escludere la responsabilità della banca (obbligo risarcimento o rimborso) che, talvolta, anche stragiudizialmente, su richiesta del cliente o del suo avvocato, rimborsa in tutto o in parte le somme sottratte tramite la truffa Phishing.
di Marco Ticozzi

 

Photogallery
Newsletter
Iscriviti alla Newsletter
per ricevere gli ultimi aggiornamenti
ricevi mensilmente gli aggiornamenti sui temi più importanti trattati da questo blog
Venezia Mestre
Via Torino, 180
Imm. Direzionale “La Torre” – 3° piano
Tel. +39 041 8878980
Fax +39 041 959351
Treviso
Viale Monte Grappa, 28
Tel. +39 0422 433922
Fax +39 0422 296303
Roma
Via del Tritone, 102
Tel. +39 06 92949236
Fax +39 041 959351
Vicenza
Bassano del Grappa
Largo Parolini, 131
Tel. +390424066336