Phishing: la Banca è responsabile



ABF Decisione N. 37 del 03 gennaio 2019

di Piercosimo Errico

 


L’Arbitro Bancario Finanziario, Collegio di Bari, con la decisione n. 37 del 03 gennaio 2019, si è espresso in merito alla responsabilità della banca su una particolare fattispecie di Phishing che prende il nome di ”man-in-the-browser” [1] .

La tipologia di “Phishing” sottoposta all’esame del Collegio verte sulle ipotesi in cui il titolare di un conto corrente, con operatività on-line, sia vittima del fenomeno di truffa, comunemente conosciuto come “man-in-the-browser[1]. Più nello specifico, ove si accerti in sede istruttoria che la truffa perpetrata sia avvenuta mediante inserimento dei dati, digitati dal cliente, non sulla pagina web della banca ma su una maschera fake di login, che si sia interposta fra il PC del cliente e la pagina stessa, deve ritenersi che il correntista sia caduto in una “trappola” particolarmente insidiosa e sicuramente ardua da poter essere rilevata da un soggetto non particolarmente esperto (sul punto, Collegio di Roma, decisione n. 516 del 28/01/2013), tale da escludere la sussistenza della fattispecie di “colpa grave” a carico del correntista (ABF Collegio di Milano, decisione n. 1363 del 7/3/2014).

Nel caso di specie il ricorrente, intestatario di una carta prepagata emessa dalla convenuta, riferiva di essersi accorto, tramite l’ ”App” dell’intermediario , che il saldo disponibile sulla carta risultava diminuito a causa di prelievi e movimenti di denaro dallo stesso non autorizzati.  Il ricorrente non aveva mai smarrito e/o ceduto a terzi lo strumento di pagamento con il relativo PIN e, pertanto, ritenendo che la carta fosse stata clonata, provvedeva all’immediato blocco della stessa. Il giorno successivo si recava presso uno sportello della convenuta per far presente l’accaduto, per richiedere un estratto conto aggiornato e, conseguentemente, per disconoscere gli eventuali movimenti fraudolenti.

L’intermediario, seppur preliminarmente rifiutatosi di fornire l’evidenza contabile, in quanto non completa delle ultime operazioni, permetteva, nondimeno, di visualizzare un’operazione non autorizzata pari a 250,00€. Lo stesso intermediario, inoltre, non forniva informazione alcuna in merito alla differenza di 1.500,00€ tra saldo contabile e saldo disponibile ed invitava il ricorrente a ripresentarsi a distanza di pochi giorni. Il ricorrente, al fine di ottenere ulteriori informazioni, contattava un operatore telefonico dell’intermediario apprendendo – sorprendentemente – di un’operazione di ”prenotazione importi su carta” ancora non eseguita. Quattro giorni dopo il ricorrente, ricevuto l’estratto conto aggiornato, disconosceva tutte le operazioni e denunciava il tutto alle Forze dell’Ordine.

In ragione di quanto sopra, il cliente chiedeva il risarcimento di 1.751,00€, oltre le spese per il ricorso, precisando che l’operazione di ”prenotazione importo su carta” risultava effettuata ed andata a buon fine successivamente al blocco della carta.

La banca, pur dinanzi alle dichiarazioni del ricorrente che ribadiva di non aver ricevuto e/o risposto a comunicazioni potenzialmente truffaldine volte a carpire le credenziali d’accesso personali, riconduceva il tutto ad un classico caso di phishing.

Ciò che maggiormente rileva nel caso de quo è che le transazioni disconosciute dal cliente venivano effettuate con successo al primo tentativo senza alcun impiego di un sistema di autenticazione a due fattori, indispensabile per l’esecuzione delle stesse. In ragione di ciò, il ricorrente ribadiva di essere rimasto vittima di un  “phishing” di natura più sofisticata consistente in un malware riconducibile alla sfera dei cc.dd. ”Trojan” installato o presso lo sportello ATM, ove abitualmente effettuava prelevamenti, o presso la stessa ”App” online.

La materia di riguardo è disciplinata dalla direttiva sui servizi di pagamento e dal d.lgs. attuativo n. 11 del 2010 ed il Collegio ha evidenziato che la responsabilità per danni prodotti da operazioni fraudolente non autorizzate dall’utilizzatore, incombano sul prestatore di servizi, a meno che l’utilizzatore non abbia violato, con dolo o colpa grave, l’art. 7 del d.lgs. n.11 del 2010 ”Obblighi a carico dell’utilizzatore dei servizi di pagamento in relazione agli strumenti di pagamento”. Al riguardo, il ricorrente ha rispettato in maniera esaustiva gli obblighi preposti comunicando senza indugio e tempestivamente il blocco dello strumento di pagamento.

L’intermediario, dal suo canto, non ha ottemperato all’obbligo di diligenza qualificata meglio conosciuta come la diligenza del bonus argentarius o accorto banchiere, richiesta dal comma 2 dell’art. 1176 del codice civile, in quanto non ha adottato alcuna misura minima per evitare l’accesso fraudolento di terzi ai depositi o a neutralizzarne gli effetti.

Il Collegio, dopo un’attenta analisi del caso di specie, lo ha ricondotto al tradizionale fenomeno di Phishing appartenente alla famiglia del ”man-in-the-browser”; l’operazione, pertanto, si sarebbe conclusa tramite un malware installato o presso l’ATM ove quest’ultimo abitualmente eseguiva prelievi o sull’App di riferimento.

A tal riguardo, la banca non ha fornito alcuna prova in merito all’adeguatezza dei presidi predisposti da essa ai sensi dall’art. 10 d.lgs. n.11 del 2010 e nel caso di specie nulla ha compiuto per dimostrare che le operazioni fossero state eseguite con sistema dinamico di autenticazione. La banca non ha rispettato alcun presidio di sicurezza non essendovi stato un servizio di SMS Alert ed inoltre ed una precauzionale sospensione della seconda (sospetta) transazione fraudolenta, per limitare i danni sopperiti dal ricorrente. Relativamente a quest’ultima l’intermediario ha omesso di indicare la possibilità di recuperare le somme fraudolentemente sottratte al ricorrente, in quanto la carta beneficiaria era stata emessa dalla stessa convenuta, così come risulta dal comma 7 dell’art. 23 delle condizioni contrattuali dello strumento di pagamento.

Accertata così la responsabilità dell’intermediario, il Collegio ha accolto integralmente il ricorso disponendo al ricorrente la somma richiesta di 1.751,00 €.


[1] Fattispecie in cui grava sull’intermediario l’onere di dimostrare la colpa grave del cliente, in base ai principi che governano la responsabilità contrattuale (art. 1218 c.c.).

 

Qui la pronuncia: Dec-20190103-37

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Share via