Accesso alla documentazione bancaria ed obblighi di consegna dei file di log successivi alla truffa telematica subita dall’utilizzatore dei servizi di pagamento.

Il Tribunale di Napoli, Seconda Sezione Civile, ha ingiunto, con decreto ingiuntivo munito di formula esecutiva, un Istituto di credito a consegnare i seguenti documenti:

• I file di log firmati digitalmente e marcati temporalmente relativi all’episodio c.d. “man in the browser” subito in data 03.02.2021 dal medesimo sul proprio conto corrente;
• Elenco storico degli accessi e delle pre-autorizzazioni, anche se non andate a buon fine relative al conto corrente indicato in oggetto;
• Dichiarazione se sia stato da qualcuno richiesta una modifica anagrafica del cliente e in che modo tale richiesta sia stata avanzata;
• Identificativo utente non direttamente riconducibile alla persona fisica intestataria dell’utenza; Giorno e ora della navigazione;
• Indirizzo IP del mittente del messaggio Indirizzo IP del destinatario;

Invero, con il termine log si intende “una registrazione sequenziale e cronologica delle operazioni effettuate da un sistema informatico”.

Detta richiesta si era resa necessaria in seguito all’attacco phishing portato a segno ai danni di una piccola impresa.

La ricostruzione della contabilizzazione delle operazioni di pagamento è indispensabile al fine di verificare le concrete modalità di esecuzione della frode, nonché per l’esame delle misure di protezione disposte dall’intermediario e la sua eventuale responsabilità nel danno subito dal cliente.

A tal fine, l’utente aveva richiesto ai sensi dell’art. 117, commi 1 e 3, e 119, comma 1, TUB, la documentazione informatica relativa alle operazioni disconosciute, con particolare riferimento ai tracciati informatici integrali quali unico elemento dal quale può essere tratto il reale flusso di avvenimenti che si sono manifestati in occasione della frode.

Tuttavia, l’istituto di credito non aveva dato alcun riscontro alla richiesta e allo spirare del novantesimo giorno, così come previsto dalla normativa, il cliente si rivolgeva all’Autorità Giudiziaria al fine di ottenere la rendicontazione che la Banca avrebbe dovuto inviare al cliente.

La peculiarità di detto provvedimento monitorio, rappresenta una vera e propria novità nel panorama giurisprudenziale di merito, atteso che non si conosce la concessione di altri provvedimenti monitori analoghi, aventi ad oggetto la consegna del dato informatico, che ha caratterizzato l’attacco di phishing.

Sovente, attraverso la lettura della documentazione acquisita nella sua integrità, si arriva a sollevare l’utente da qualsiasi responsabilità in quanto ad esempio si identifica il device dal quale è stata impartita la disposizione fraudolenta, nonché la sua geolocalizzazione e da ciò scaturisce la non riferibilità dell’operazione al cliente.

In dottrina si è discusso se la richiesta di tali files attraverso l’art. 119 TUB rientri nella applicabilità degli artt. 117 e 119 TUB.

La norma richiama la facoltà del cliente di richiedere una “copia della documentazione inerente a singole operazioni poste in essere negli ultimi dieci anni”.

Il Tribunale di Napoli con il procedimento monitorio accordato, ha equiparato la richiesta di produzione di un file di log relativo ad una operazione eseguita con modalità a distanza ad una “copia delle documentazione inerente singole operazioni” bancarie.

Giova ricordare, infatti che l’operazione rappresentata dal log informatico è la semplice rappresentazione di un pagamento eseguito con modalità digitali che sarà annotato in conto corrente.

Talvolta, gli istituti di credito rifiutano la consegna dei tracciati di log richiesti invocando non ben precisate disposizioni di protezione dei dati sensibili, viceversa l’utente ha il diritto ad ottenere dall’intermediario detti tracciati al fine di verificare se il sistema abbia dimostrato una invulnerabilità organizzativa di cui incombe all’intermediario fornire prova, ai fini delle operazioni sospette.

Si assiste, purtroppo, da parte degli Istituti di crediti, che le schermate prodotte dall’intermediario non siano di immediata ed univoca interpretazione.

Più precisamente, l’attribuzione di significato alle sigle, abbreviazioni e codici numerici, veri e propri filtri interposti dall’istituto di credito nelle schermate che vengono trasmesse all’utente, non risultano comprovate da alcuna effettiva allegazione o legenda.

Pertanto in questi casi, ad esempio, il Collegio di Bari con la Decisione n. 31/2020 ha ritenuto che “l’intermediario non ha fornito piena prova della corretta autenticazione e dunque della regolarità formale delle operazioni contestate. Alla luce di quanto sopra il Collegio ritiene che il mancato assorbimento da parte dell’intermediario degli oneri probatori ex art. 10 D.lgs. 27.01.2010, n. 11, assuma rilievo assorbente, rispetto alla prova della colpa grave del cliente e debba comportare la piena sopportazione da parte dell’intermediario delle conseguenze dell’indebito utilizzo di pagamento.”.

In definitiva, in presenza di una truffa informatica, non si può prescindere dalla richiesta e dai tracciati record relativi alle operazioni contestate, in quanto ove si discuta di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio equiparabile a quello di home banking, non spetta al correntista provare di avere autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente di aver subito il furto dei dati identificativi personali.

In altre parole, qualora l’utente neghi di aver autorizzato una operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio con conseguenziale diritto di chiedere e ottenere, in tal caso, dall’istituto di credito, la restituzione dell’importo rimborsato.