Phishing. Quando la banca deve risarcire il cliente frodato?

Il Phishing è una vera e propria frode informatica, volta all’acquisizione abusiva delle credenziali di utilizzo relative a home banking e carte prepagate, attraverso il c.d. furto delle identità telematiche, consistente nell’appropriazione fraudolenta di codici (user id passwords) identificativi di un dato soggetto, ovvero delle credenziali che lo stesso soggetto utilizza in ambito internet, allo scopo di conseguirne determinate illecite utilità.

Il phisher, attraverso l’invio di e-mail, apparentemente provenienti da enti o istituzioni reali, utilizza i dati in tal modo ottenuti per conseguire l’abilitazione all’accesso a determinati servizi on-line, assumendo virtualmente l’identità del legittimo titolare o utente vittima dell’attacco.

Accade sempre più spesso che vengano sostituite illecitamente le sim dei clienti (tramite una richiesta di sostituzione presso i centri abilitati delle compagnie telefoniche) al fine di ricevere direttamente i codici (OTP) sulla sim “clonata”.

In caso di verificazione di tale fattispecie l’Istituto di credito incorre in molteplici violazioni di legge quali:

  • Violazione della Direttiva 200/64/CE del 13 Novembre 2007, art. 59, co. 2 la quale ha introdotto importanti principi generali in materia di servizi di pagamento nel mercato interno, successivamente trasfusi nel corpo del Lgs 11/2010 e precisamente all’art. 10, co. 1 e 2. Secondo tali disposizioni è attualmente onore dell’intermediario dimostrare la legittimità dell’operazione on line non autorizzata e la violazione, da parte del cliente, degli obblighi nascenti da contratto;
  • Violazione del Lgs 196/2003 (Codice Privacy) secondo cui il gestore dei conti correnti online è tenuto a predisporre misure evolute per cautelarsi dal rischio di accessi non consentiti e non autorizzati. La responsabilità del gestore che contravviene a tali disposizioni (in particolare art. 15 e 31) è quella tratteggiata dall’art. 2050 c.c. che deriva dallo svolgimento di attività pericolose, configurabile, dunque, come responsabilità oggettiva.
  • Violazione art. 1176, co. 2 c.c., per cui all’intermediario è richiesta, nello svolgimento delle proprie funzione, una diligenza professionale specifica, di natura tecnica, detta anche diligenza dell “accorto banchiere”.

In materia è ormai consolidata la posizione della Cassazione a favore del correntista/consumatore (Cass. N. 9158/2018) nonché quella dell’Arbitrato Bancario e Finanziario (ABF Decisione. 34 del 07 gennaio 2016).

L’onere della prova della riconducibilità della transazione al cliente è a carico dell’istituto di credito bancario / postale.

Ne deriva che in caso di mancanza di tale dimostrazione, la Banca rischia concretamente di dover risarcire il danno subito dal cliente vittima di una frode telematica.