Smishing: tutela cautelare e onere custodiale del cliente.



9 min read

Nota a Trib. Roma, 22 ottobre 2020.

di Antonio Zurlo

 

 

 

 

 

Breve descrizione delle circostanze fattuali: la fattispecie di smishing e la richiesta cautelare.

Con ricorso ex art. 700 c.p.c. due clienti agivano in giudizio, innanzi al Tribunale di Roma, avverso la propria Banca, per ordinare a quest’ultima la sospensione dell’addebito delle somme oggetto di disconoscimento su due conti correnti e delle operazioni su una carta di credito, nonché la correlata sospensione dell’applicazione dei relativi interessi di mora e dell’invio della segnalazione in Centrale Rischi di Banca di Italia. Mel merito, chiedevano l’accertamento dell’illegittimità del comportamento tenuto dalla resistente e, per l’effetto, la restituzione delle somme oggetto delle pratiche di disconoscimento, con storno di tutti gli interessi e spese a esse relative e condanna dell’Istituto al risarcimento dei danni subiti e subendi.

Le due ricorrenti esponevano di essere contitolari di due rapporti di conto corrente e che su uno di questi fosse stata emessa una carta di credito; precisavano che i suddetti conti avessero sempre avuto un saldo positivo e fossero attivi, essendo stati accreditati sugli stessi il pagamento di stipendi e rate di mutui ipotecari e finanziamenti, nonché la domiciliazione di utenze. Deducevano, inoltre, di aver iniziato a operare online per la gestione dei conti, su sollecitazione degli impiegati della Banca, che era in possesso dei numeri delle loro utenze telefoniche. Una cointestataria dichiarava: di aver ricevuto, in data 15 gennaio 2020, sulla propria utenza di telefonia mobile, un SMS proveniente dalla resistente, con cui le veniva richiesto di mettersi in contatto con un numero telefonico corrispondente all’ufficio prevenzione frodi; di aver chiamato detto numero e che una voce guidata l’avesse invitata ad attendere per essere messa in contatto con un operatore bancario; che il sedicente impiegato della l’avesse informata di un tentativo di frode, dalla Bulgaria, relativo all’utilizzo della carta di credito collegata al conto corrente; che l’operatore le avesse suggerito di procedere al blocco carta e, ricevuto l’assenso, avesse proceduto con tale operazione; che lo stesso operatore comunicasse che il tentativo di prelievo stesse proseguendo direttamente sul conto, essendo stati disposti dei bonifici, invitandola a entrare sul conto corrente online, dall’applicazione telefonica, per bloccarli; che, non essendovi riuscita (in quanto riceveva come risposta “errore sistema”), invitata dal sedicente operatore bancario, avesse fornito a quest’ultimo le credenziali di accesso al conto corrente online per completare l’operazione di blocco; che, contemporaneamente alla conversazione telefonica, le fossero pervenuti SMS all’utenza telefonica mobile, di avviso dell’esecuzione di bonifici non autorizzati dal proprio conto corrente, fino allo svuotamento; di essere stata informata che analoghe operazioni fossero in corso anche sull’altro conto corrente a lei intestato; da ultimo, che l’operatore l’avesse notiziata del blocco di tutti i bonifici e che le somme sarebbero state riaccreditate entro 72 ore. La ricorrente dichiarava, inoltre, di aver ricevuto, nella stessa serata, una chiamata della Banca sulla propria utenza di cellulare e l’operatore l’avesse informata di alcuni tentativi di frode, per forzare la carta di credito; di aver comunicato, in tale sede, quanto accaduto al mattino e di aver appreso l’inesistenza di operazioni di blocco della carta e dei conti, né, tantomeno, di tentativi in corso di recupero delle somme. Di talché, la ricorrente, la mattina successiva, si era recata presso la filiale bancaria e, dopo essere stata nuovamente notiziata che la carta di credito a lei intestata non fosse stata bloccata e che non vi fosse stata alcuna operazione di recupero delle somme oggetto dei bonifici bancari illecitamente eseguiti, provvedeva alla compilazione del modulo di disconoscimento delle operazioni, con conseguente riaccredito, da parte della Banca, delle relative somme sui conti correnti.

Da ultimo, la cliente deduceva di aver riscontrato, in data 1° aprile 2020, a seguito di consultazione del conto corrente online, l’addebito di € 25.975,25 (che aveva portato il conto corrente in rosso), così come, del pari, anche il secondo conto corrente era stato portato in rosso dall’addebito di € 22.659,48, senza alcuna causale. Dopo il termine di trenta giorni, la resistente le aveva comunicato laconicamente, all’esito di verifiche, di non aver ritenuto rimborsabili le somme di cui ai bonifici e alle altre operazioni controverse.

Ciò premesso, le due ricorrenti deducevano l’illegittimità della condotta tenuta dall’Istituto, poiché, a causa dell’omessa sorveglianza sulle operazioni eseguite in modo fraudolento sui propri conti correnti, non aveva impedito la perpetrazione della truffa in loro danno, rappresentando il pericolo grave e irreparabile derivato dalla segnalazione dei propri nominativi in Centrale Rischi (a causa del saldo negativo dei conti correnti). Invocavano, pertanto, la tutela cautelare.

La Banca, costituitasi in giudizio, chiedeva il rigetto del ricorso, dando atto di aver agito in conformità alla legge e di non essere, quindi, responsabile delle attività fraudolente poste in essere nei confronti delle due clienti – ricorrenti. Più nello specifico, la resistente esponeva che queste ultime avessero concluso due contratti, con cui avevano ottenuto le cc.dd. credenziali per operare a distanza, tramite internet banking, sul conto corrente cointestato a entrambe e su quello intestato soltanto a una delle due, sia tramite computer che tramite la specifica applicazione mobile. La Banca evidenziava che i contratti de quibus prevedessero l’obbligo del cliente di non consegnare a terzi i codici di accesso al sistema di home banking, conformemente alla disciplina di cui al D. Lgs. 27 gennaio 2010, n. 11[1]. Tanto premesso, la resistente eccepiva che la ricorrente avesse colposamente indicato a un soggetto terzo i propri codici di accesso alla banca online, a causa di una truffa informatica ordita in suo danno, dando atto che l’SMS inviato il 15 gennaio 2020 non fosse proveniente dall’Istituto medesimo. La banca escludeva, quindi, di aver agito con colpa, denunziando, al contrario, la condotta gravemente incauta e colposa di controparte, che, peraltro, dopo aver ottenuto in restituzione, ma salvo buon fine, le somme relative alle operazioni disconosciute, in data 7 febbraio 2020 aveva provveduto a prelevare Euro 23.000,00, da un conto corrente, ed Euro 20.000,00, dall’altro, tramite l’emissione di assegni circolari intestati alle medesime.

La Banca eccepiva, inoltre, la mancanza del periculum in mora, evidenziando che le ricorrenti non fossero state segnalate “a sofferenza”, presso la Centrale Rischi di Banca d’Italia.

 

La decisione del Tribunale: gli oneri custodiali e i presupposti per la tutela cautelare.

A giudizio del giudice romano, il ricorso non può trovare accoglimento. Invero, la tutela d’urgenza, ai sensi dell’art. 700 c.p.c., ha carattere residuale e atipico, essendo prevista in mancanza di altri strumenti giuridici idonei ad assicurare la tutela cautelare, come si evince dalla inequivocabile clausola di riserva contenuta nella medesima norma. Nel caso specifico, ne è ammissibile il ricorso, poiché l’ordinamento giuridico non prevede strumenti cautelari tipici per tutelare il diritto azionato dalle ricorrenti, ma, al contempo, difettano i presupposti per la sua fattiva applicabilità.

È circostanza documentale e non contestato che le due ricorrenti intrattenessero con la resistente i due rapporti di conto corrente, di cui uno cointestato. Ciò posto, è priva di pregio, all’esito della cognizione tipica della presente fase cautelare, la pretesa della parte ricorrente di accredito delle somme rappresentate in narrativa, in mancanza di colpa ascrivibile alla resistente in ordine alle operazioni poste in essere sui conti correnti di cui sopra, con illecito utilizzo delle credenziali della cliente. Appare prima facie configurabile una truffa informatica in danno di quest’ultima, la quale, dopo aver ricevuto un SMS apparentemente riconducibile al proprio Istituto, ha comunicato telefonicamente, a un sedicente operatore del servizio antifrode, i codici di accesso al servizio di home banking in ordine ai conti correnti di cui sopra ed alla carta di credito emessa su uno di questi.

Il Tribunale di Roma rileva che le truffe informatiche, effettuate inviando un’email o un SMS con il logo contraffatto di un Istituto di credito (o di una società di commercio elettronico), nelle quali si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine tecnico (oppure per un’asserita frode in corso in danno del titolare delle credenziali) è comunemente denominata come “phishing” [o, più propriamente “smishing”, prevedendo l’utilizzo di SMS fraudolenti]. Orbene, i contratti stipulati dalle ricorrenti con la resistente regolano in modo espresso la custodia delle credenziali di accesso al servizio di home banking, prevedendo l’art. 2 delle relative condizioni generali di contratto che il cliente sia custode delle credenziali, nonché l’impegno, da parte di quest’ultimo, ad adottare le misure idonee ad assicurarne la segretezza, a non cederle o comunicarle a terzi. È previsto, inoltre, l’obbligo del cliente di utilizzare le credenziali di accesso al servizio di home banking a titolo personale e di non consentire a soggetti terzi di farne uso. In caso di uso fraudolento delle credenziali per effetto di smarrimento, sottrazione o appropriazione indebita delle stesse, il cliente risponde nei limiti della franchigia (pari a Euro 50,00), per ciascuna operazione eseguita, salvo che abbia agito con dolo o colpa grave, in modo fraudolento, ovvero non abbia osservato gli obblighi di custodia e comunicazione previsti dal contratto.

Venendo al caso di specie, considerata la prospettazione attorea, non appare configurabile il diritto delle correntiste di pretendere l’accredito delle somme sottratte loro per effetto del “phishing” operato dal terzo responsabile del furto, avendo la cliente violato il divieto di comunicare a terzi i codici di accesso al servizio di home banking, comunicandoli al suo interlocutore telefonico, qualificatosi come operatore del servizio antifrode della Banca resistente.

Alla mancanza del fumus boni juris consegue l’assorbimento di ogni statuizione concernente il prospettato periculum in mora, sebbene, ad abundantiam, non appare configurabile il prospettato pericolo di danno grave e irreparabile per le ricorrenti, non essendo ancora avvenuta la segnalazione in Centrale Rischi dei loro nominativi (procedura che richiede specifici presupposti e non è conseguenza della sola sussistenza di un conto negativo).

Peraltro, va rilevato che le clienti – ricorrenti non abbiano atteso la chiusura della pratica relativa al disconoscimento e abbiano effettuato due prelievi (di € 20.000,00 e di € 23.000,00), nell’immediatezza del riaccredito (salvo buon fine), da parte della Banca, delle somme oggetto della truffa denunciata e per importo prossimo al riaccredito, conseguendone il saldo negativo al momento in cui le somme sono state recuperate dall’Istituto.

Da quanto detto, consegue il rigetto del ricorso.

 

 

Qui l’ordinanza.


[1] Di attuazione della Direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno e recante modifica delle Direttive nn. 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE e abrogativa della Direttiva 97/5/CE.

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap