Frodi nell'home banking, risarcimento storico ottenuto da avvocato pescarese: responsabilità sempre della banca
Questa in estrema sintesi la decisione della Banca d'Italia che stabilisce che non c’è negligenza dell’utente nel caso di truffa tramite “man in the browser”
La responsabilità è sempre della banca nei casi di frode online subita dai clienti all'interno dell'home banking.
Questa in estrema sintesi la decisione della Banca d'Italia che stabilisce che non c’è negligenza dell’utente nel caso di truffa tramite “man in the browser”.
Si tratta di un precedente per tutta la materia ottenuto dall'avvocato Alessandra Torelli del Foro di Pescara che ha ottenuto un risarcimento storico per un suo cliente.
L'arbitro bancario finanziario, organo della Banca d'Italia consultato per dirimere un contenzioso tra un utente rimasto vittima di truffa online e la sua banca, ha infatti deciso che la responsabilità è della banca e non dell’utente quando la frode avviene all’interno del sistema di home banking. L’utente in questione, come riferisce la Torelli, aveva effettuato una transazione tramite home banking della sua banca. Al momento della transazione, le coordinate bancarie del destinatario erano state sostituite con quelle di un destinatario sconosciuto all’utente. Inizialmente la banca aveva ritenuto di non avere responsabilità e si era rifiutata di risarcire l’utente che si era così rivolto all’avvocato la quale ha ricostruito i fatti e contestato la decisione della banca ricorrendo all’arbitro bancario finanziario.
Secondo la polizia postale, la frode sarebbe stata effettuata in presenza di un malware di tipo “trojan banking” che, secondo la stessa, funzionerebbe come segue: «Quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello del cyber criminale, che riceverà quindi il denaro al posto del corretto beneficiario. Essendo l’utente già autenticato al servizio e contestualmente attivo in quel momento e operando il malware secondo lo schema appena illustrato, vengono rese di fatto inefficaci eventuali misure di sicurezza contro il pagamento non autorizzato, come l’autenticazione a due fattori oppure eventuali alert del tipo Login-Logout utilizzate, come nel caso di specie, dalla piattaforma antifrode della Banca della vittima».
Secondo l’articolo 10, comma 1, del d.lgs. 11/2010 (così come modificato dal d.lgs. 218/2017, che ha recepito la PSD2), è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. Inoltre, secondo il comma 3 dello stesso articolo 10 del d.lgs. 11/2010, “l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento […] non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente”.
Da tali premesse, ha argomentato l’avvocato Alessandra Torelli, non può che conseguire che l’utente ha diritto a un risarcimento da parte del prestatore di servizi. Con decisione del 24 aprile, comunicata il successivo 22 luglio, l’arbitro bancario finanziario ha dato ragione alla vittima con la motivazione che segue:
«Riprendendo un costante orientamento di questo arbitro (cfr. da ultimo Collegio di Bologna, Decisione N. 2772 del 18 febbraio 2020), si ricorda che “sul punto, si è tracciata una netta linea di distinzione, nella casistica delle frodi, tra le fattispecie più note, evitabili mediante l’impiego di un livello di diligenza minimo da parte del cliente, e quelle viceversa considerate particolarmente subdole e insidiose [inevitabili con l’ordinaria diligenza]. Nel novero delle prime rientrano i casi di phishing. All’ambito delle seconde, invece, appartiene il fenomeno del c.d. man in the browser …”. Abbracciando questo orientamento dei Collegi ne deriva che, in casi come quello che qui ci occupa, deve escludersi l’imputabilità all’utilizzatore di qualsivoglia profilo di colpa grave, proprio per l’insidiosità che caratterizza la frode, dovendosi conseguentemente tenere indenne quest’ultimo dalle perdite subite, al netto della franchigia di cui all’art. 12 comma 3 D. lgs. 11/2010 eventualmente prevista».
La decisione crea un importante precedente per le truffe online, stabilendo che ogni volta che la frode sia riconducibile al cosiddetto “man in the browser”, sarà la banca a dover risarcire il cliente e così commenta l'avvocato Torelli:
«Abbiamo ottenuto un’importante decisione per la tutela del consumatore, troppo spesso disarmato di fronte ad una tipologia di frode divenuta sempre più frequente. Nell’epoca dei pagamenti on line, a mio parere, il precedente costituirà anche un “pungolo” per gli istituti bancari che, avendone i mezzi, dovrebbero certamente investire di più nella sicurezza informatica a beneficio dei propri clienti».
