Responsabilità della banca per malware sul device della cliente: insussistenza (se assenti indici di anomalia).



3 min read

Nota a Trib. Torino, 29.04.2022.

Massima redazionale

 

Nella fattispecie, parte ricorrente è stata vittima di un’attività fraudolenta da parte di terzi, segnatamente della truffa realizzata con lo schema del c.d. “man in the middle” (o “man in the browser”), per cui in buona sostanza:

1) il cliente ha effettuato una richiesta al server tramite il proprio browser;

2) il browser del cliente, infettato dal malware, ha riportato la richiesta in modo alterato al server della banca (nel caso specifico ha trasferito un nome del destinatario dell’operazione di bonifico ed il relativo IBAN differenti rispetto a quelli digitati dall’utente);

3) il browser del cliente, sempre soggetto all’infezione del malware, ha ottenuto la risposta dal server della Banca, ma riportandola in modo che il cliente non potesse percepire tale alterazione nella comunicazione.

Nel caso di specie, la ricorrente intendeva effettuare un bonifico di un certo importo e il meccanismo fraudolento ha implicato la modificazione del destinatario: in tal guisa, la frode informatica è avvenuta esclusivamente sui macchinari della medesima cliente (circostanza incontestata). Ciò premesso, la clausola di cui all’art. 6 del contratto stipulato dalle parti, invocato dalla Banca convenuta per l’esenzione della responsabilità, è astrattamente applicabile alla fattispecie de qua, in quanto non riguarda solamente il furto delle credenziali, ma anche l’uso non autorizzato delle stesse, ipotesi sussistente nel caso in cui un terzo si sia intromesso nel meccanismo di pagamento dirottando su un altro conto il bonifico (circostanza che implica un uso non autorizzato delle credenziali, posto che esse in concreto sono state usate per modificare il beneficiario del bonifico); nello specifico, la disposizione prevede testualmente che «l’Utente assegnatario delle Credenziali deve immediatamente segnalare l’evento alla Banca con le modalità descritte nel Manuale Operativo chiedendone il blocco delle Credenziali; la segnalazione è opponibile alla Banca dal momento in cui essa comunica l’apposizione del blocco all’Utente. 2. Prima del momento in cui la segnalazione è opponibile alla Banca, le conseguenze derivanti dall’utilizzo indebito delle Credenziali sono integralmente a carico della Società».

Peraltro, la segnalazione del bonifico fraudolento è avvenuta solamente venti giorni dopo l’esecuzione dello stesso, ritardo che ha impedito all’Istituto convenuto di bloccare l’accredito sul conto del destinatario.

Alla luce di quanto precede, la Banca non può essere ritenuta responsabile, posto il ritardo nella segnalazione rispetto alla possibilità di bloccare l’accredito (a tal riguardo, non rileva che il cliente potesse disconoscere il bonifico entro 13 mesi, ma il fatto che il ritardo nel disconoscimento ha reso impossibile il blocco dell’accredito) e, al contempo, che il malware informatico avesse coinvolto il sistema telematico della ricorrente e non quello della convenuta, la quale si è limitata ad eseguire il bonifico così come ricevuto dal cliente.

La soluzione non cambierebbe, qualora non si ritenesse applicabile l’art. 6 summenzionato (norma derogatoria dei principi generali, ma legittima nel caso di specie in quanto il cliente non è consumatore), nel qual caso sarebbe applicabile l’art. 10, comma 1, D.lgs. n. 11/2010, per cui «Qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”, mentre il successivo comma 2 aggiunge che “E’ onere del prestatore di servizi di pagamento … fornire la prova della frode, del dolo o della colpa grave dell’utente».

Parte convenuta ha, peraltro, allegato e comprovato la correttezza formale dell’operazione di pagamento (avendo dimostrato che il bonifico fosse stato effettuato a mezzo sistemi di sicurezza forti quali OTP, Codice titolare, PIN e Codice O-Key, e adempiendo al proprio onere probatorio, di cui al prefato art. 10), nonché ha allegato che il bonifico contestato fosse stato disposto dal device abitualmente utilizzato dalla ricorrente (senza presentare elementi particolari di anomalia posto che l’operazione consisteva in un comune bonifico Sepa su un conto corrente italiano accesso presso una filiale di una banca italiana).

In ossequio a quanto diffusamente rilevato, la domanda della ricorrente deve essere rigettata.

 

 

Qui l’ordinanza.

Ricerca avanzata


  • Categorie

  • Autori

  • Seleziona il periodo

Copy link
Powered by Social Snap