Nel corso degli ultimi anni si è assistito ad una progressiva informatizzazione del sistema bancario, che ha visto l’introduzione della possibilità di compiere le più comuni operazioni bancarie tramite internet. Anziché recarsi allo sportello, è possibile eseguire pagamenti comodamente da casa mediante il proprio personal computer o l’app messa a disposizione dalla banca sul proprio smartphone. Ciò, se da un lato ha condotto ad una semplificazione nella gestione del proprio conto corrente, dall’altro ha portato con sé una serie di rischi e manifestato, soprattutto inizialmente, delle forti criticità.
Nella prassi, può accadere che qualcuno si appropri indebitamente ed utilizzi fraudolentemente i codici e le chiavi di accesso al conto corrente online effettuando operazioni di prelievo o pagamento ad insaputa del titolare.
Gli stratagemmi utilizzati dai malintenzionati per impossessarsi dei dati bancari personali del cliente sono molteplici e sempre più sofisticati. In questo caso, la banca, limitandosi a verificare la regolarità dei codici e delle chiavi di accesso inserite, senza accertare la reale identità del proprio correntista, potrebbe autorizzare l’operazione. Sono ormai noti a tutti i fenomeni del phishing, smishing e vishing (a seconda che si utilizzi rispettivamente un indirizzo email, un sms o una chiamata) che, sfruttando l’ingenuità del soggetto, hanno tutte lo scopo di ottenere codici e password e depauperare il malcapitato dei propri risparmi.
La fattispecie de qua viene denominata furto di identità ed è diretta a compiere delle vere e proprie frodi online.
Qual è la responsabilità della banca nei casi di Phishing?
In questi casi che tipo responsabilità ha la banca nei confronti dei clienti per i pagamenti non autorizzati?
Tralasciando per il momento i profili penalistici del fenomeno, per anni la giurisprudenza e la dottrina si sono adoperate per inquadrare il regime di responsabilità civile della banca nei confronti del cliente privato dei propri risparmi. L’orientamento maggiormente condivisibile e più favorevole per il cliente vede l’attività bancaria inserita nel novero delle attività pericolose ex art. 2050 c.c., considerato che, appunto, più di altre potrebbe sollecitare iniziative illecite da parte di terzi potenzialmente lesive della sfera giuridica altrui. La naturale conseguenza è che la banca sarà ritenuta responsabile civilmente nei confronti del cliente titolare del conto online che lamenti un prelievo o un pagamento non autorizzato, a meno che non fornisca la prova di aver adottato tutte le misure di sicurezza, tecnicamente idonee a prevenire danni del tipo di quelli subiti dal correntista.
Cosa dice la legge sulla responsabilità bancaria in casi di phishing
Ma vi è di più. Sul piano normativo, a partire dal recepimento nel nostro ordinamento della direttiva europea PSD1 (2007/64/CE) avvenuto con il d. lgs. n. 11 del 27 gennaio 2010, modificato dal d. lgs. 218/2017, è stato disciplinato il regime di responsabilità bancaria in ipotesi di pagamenti non autorizzati o illegittimi.
La disciplina citata, conferendo importanza centrale al contratto quadro, stabilisce, innanzitutto, che questo deve contenere e disciplinare gli obblighi delle parti contraenti in caso di operazioni non autorizzate o effettuate in maniera inesatta.
In tema di responsabilità, la banca deve assicurare che i dispositivi e le credenziali che consentono l’utilizzo degli strumenti di pagamento siano accessibili solo al legittimato (art. 8). Per contro, l’utilizzatore che abbia subìto un accesso indebito e un conseguente addebito non autorizzato può chiederne rimborso alla banca solo se la transazione viene contestata senza indugio con i termini e le modalità previste dal contratto quadro (art. 9).
Il cliente ha diritto ad un rimborso?
Quando il cliente nega di aver eseguito un’operazione di pagamento che risulta addebitata sul suo conto corrente, deve darne tempestiva comunicazione e avrà diritto ad ottenere un rimborso nel caso di smarrimento, sottrazione o utilizzo indebito di uno strumento di pagamento (es. home banking). Questo perché l’art. 12 della normativa summenzionata stabilisce che l’utilizzatore di un servizio di pagamento non sopporta alcuna perdita derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente intervenuto dopo la comunicazione eseguita ai sensi dell’articolo 7, comma 1, lettera b). Ed ancora, salvo il caso in cui abbia agito in modo fraudolento, l’utente non è responsabile delle perdite derivanti dall’utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all’obbligo di cui all’articolo 8, comma 1, lettera c).
È onere del prestatore dei servizi di pagamento fornire la prova che il cliente abbia agito con dolo o colpa grave. Se non riesce a fornire tale prova, sarà obbligata a rimborsare il cliente. Per l’istituto di credito, infatti, non è sufficiente provare di aver predisposto tutte le misure di sicurezza idonee a tutelare i dati di accesso al conto del cliente, ma è tenuta, altresì, a provare la frode, il dolo o la colpa grave del cliente per andare esente da responsabilità.