PHISHING E HOME BANKING. LA BANCA DEVE RISARCIRE?

phishing e home banking
Phishing e Home Banking. Quando possiamo chiedere il risarcimento danni alla nostra Banca

Abbiamo già visto cos’è il phishing e come riconoscerlo (qui).
Può accadere che, una volta caduti nella “trappola”, vengano fornite le credenziali di accesso al proprio conto online (cd. Home Banking) mettendo così il phisher nelle condizioni ideali per maneggiare indisturbato il denaro presente.

Tuttavia, sono tantissime le sentenze che in casi simili hanno riconosciuto una responsabilità dell’istituto bancario per aver eseguito il movimento senza preventivamente verificare la paternità dell’ordine, con conseguente obbligo a risarcire il correntista.

IL CASO

Tizio e Caio, derubati delle credenziali di accesso al proprio conto online, si accorgevano di bonifici effettuati, e mai autorizzati, in favore di un soggetto sconosciuto. Agivano quindi nei confronti dell’istituto di credito chiedendo il risarcimento integrale della somma.
Tuttavia, l’istituto si rifiutava, sostenendo che gli eventi non si sarebbero verificati se i correntisti non avessero incautamente fornito, in seguito al ricevimento in una semplice mail (benchè di aspetto del tutto simile a quelle inviate dalla banca stessa), username e password al truffatore. Al contrario, avrebbero invece dovuto tempestivamente informarsi sull’autenticità della mail presso gli sportelli della filiale.

COSA DICE LA GIURISPRUDENZA

Con ordinanza n. 9158 del 2018 la Suprema Corte di Cassazione ha affermato che in tema di responsabilità per operazioni realizzate a mezzo di strumenti elettronici (ad esempio i bonifici effettuati online), anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale della banca (prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente) la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.

In sostanza, qualora alla vittima di truffa online non siano addebitabili comportamenti particolarmente negligenti o incauti (ad esempio fornire i dati in seguito a mail palesemente non attribuibile al proprio istituto), il correntista potrà chiedere ed ottenere il ristoro delle somme illegittimamente sottratte (vedi anche art 12 d.lgs 11/2010).

In definitiva, la sottrazione dei codici al correntista attraverso tecniche fraudolente va ricondotta all’interno del c.d. rischio d’impresa della banca, dovendo quindi l’istituto adottare tutte le misure necessarie al fine di verificare se quella precisa disposizione corrisponda alla effettiva volontà del titolare del conto (ad esempio attraverso PIN inviato tramite sms, oppure con sistema doppia-password, oppure ancora tramite cd Token), dovendone poi fornire precisa prova (Cass. 3 febbraio 2017, n. 2950).