- Premessa
- Normativa applicabile
- Cosa dice la Corte di Cassazione
- Conclusioni
Premessa
L’accesso al proprio conto corrente tramite il proprio cellulare o il computer, grazie ai servizi di home banking, può esporre gli utenti al rischio di furto delle proprie credenziali di accesso. È il caso del phishing (letteralmente pescare). Si tratta di una truffa tramite link non sicuri o e-mail, con mittenti fasulli che si spacciano per banche, che chiedono di inserire username e password. Il fine è quello di ingannare la vittima affinché fornisca codici di accesso che saranno poi utilizzati per prelevare dal conto.
Normativa applicabile
Art. 7 del D.lgs. 11/2010 (Obblighi a carico dell’utilizzatore dei servizi di pagamento in relazione agli strumenti di pagamento)
1. L’utilizzatore abilitato all’utilizzo di uno strumento di pagamento ha l’obbligo di:
a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso;
b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza.
2. Ai fini di cui al comma 1, lettera a), l’utilizzatore, non appena riceve uno strumento di pagamento, adotta le misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne consentono l’utilizzo.
Art. 10 del D.lgs. 11/2010 (Prova di autenticazione ed esecuzione delle operazioni di pagamento)
1. Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
1-bis. Se l’operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l’onere di provare che, nell’ambito delle proprie competenze, l’operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato.
2. Quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.
Cosa dice la Corte di Cassazione
La Corte di Cassazione si è espressa in un’ipotesi di phishing affermando che “ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo; ne consegue che la banca… è tenuta a fornire la prova della riconducibilità dell’operazione al cliente” (cfr. Corte Cass. Civ. Sez. VI, n. 9158/2018).
In realtà, il vero distinguo della risarcibilità o meno del danno, da parte della Banca, si attua sull’interpretazione di “dolo o colpa grave” del danneggiato, ai sensi dell’art. 10 co. 2 del D. Lgs. 11/2010.
Infatti, in una recente sentenza la Corte di Cassazione afferma che “Qualora vengano adottate tutte le misure di sicurezza da parte dell’istituto bancario, se il cliente fornisce il proprio user-id e la propria password a terzi per accedere all’home banking, la responsabilità ricade in capo al correntista e non può ricadere invece sull’istituto di credito” (cfr. Corte Cass. Civ. sez I, n. 7214/2023).
Conclusioni
Il diritto al rimborso, da parte della Banca, delle somme perse a causa del phishing è questione che andrà valutata caso per caso, a seconda del tipo di truffa o del dolo/colpa grave del correntista.
Scritto e pubblicato da avv. Michela Paolini | 24 gennaio 2024
