13 min read

Nota a Trib. Napoli, Sez. II, 20 marzo 2024.

Segnalazione dell'Avv. Lorenzo Giannalavigna.
Massima redazionale

Si parla di “vishing”, quando una persona o un’azienda utilizza chiamate telefoniche o servizi di messaggistica vocale per indurre le vittime a rivelare informazioni personali. In un attacco di vishing, i truffatori (detti anche “visher“) si fingono fonti attendibili (già conosciute dalla vittima – ad esempio il proprio istituto di credito) per ottenere informazioni sensibili, come numeri di carte di credito o altri dati riservati. I truffatori che ricorrono a tecniche di vishing sono soliti contattare le vittime falsificando un numero telefonico locale o quello di un’azienda affidabile. Talvolta essi sfruttano il vishing per inserire nel dispositivo della vittima “malware” che successivamente potranno utilizzare per recuperare informazioni personali. Si tratta di sofisticate tecniche di ingegneria sociale, molto insidiose e difficilmente inquadrabili nell’immediato dalla vittima, la quale, sensibilizzata rispetto alla possibile aggressione telematica, statisticamente valuta nell’immediato più sicuro fidarsi dell’interlocutore, ancorché ignoto, che si finge operatore di un’autorità fidata (attraverso l’utilizzo di numeri telefonici civetta e noti alla vittima inconsapevole). A questo punto, senza rendersene conto, perché manipolata psicologicamente, la vittima cede i propri dati sensibili che si riveleranno poi utili alla consumazione della truffa orchestrata. Alcune delle tecniche di vishing più comuni sono il wardialing (inviare messaggi vocali automatici a un gran numero di vittime, di solito per cercare di spaventarle, ad esempio affermando di avere tasse o altre multe non pagate), il vishing VoIP (finto operatore che chiama al telefono le possibili vittime dell’attacco mediante un sistema vocale automatizzato, spacciandolo per il call center di una banca o di un istituto di credito), lo spoofing dell’ID chiamante (utilizzati per nascondere la posizione reale del truffatore e persino impersonare i numeri di telefono di organizzazioni fidate) e il dumpster diving (azione che viene compiuta dagli hacker per cercare nei cestini informatici delle aziende, delle organizzazioni o da semplici utenti comuni, informazioni utili per tentare di hackerare gli account dei clienti).

In tutti i casi citati, la truffa in danno della vittima viene organizzata al fine di creare, nei primissimi momenti del contatto, un senso di urgenza o paura, che prevale su qualsiasi cautela o sospetto naturale che la vittima potrebbe osservare nella normale routine quotidiana. Ebbene, proprio in riferimento a questa articolata, quanto recentissima, progettazione di truffa informatica a scopo lucrativo, diverse pronunce della giurisprudenza di merito e arbitrale hanno ravvisato in capo all’istituto finanziario coinvolto, un profilo di colpa c.d. “semi oggettiva”, ex art. 10 del D.lgs. n. 11/2010, con condanna al rimborso della somma sottratta dal truffatore alla vittima. Più precisamente, nelle cause di tal fatta, oltre alla responsabilità contrattuale sorta dal rapporto con l’utente, l’istituto bancario ha l’onere di provare la negligenza dell’utente, dimostrando, dunque, che la vittima abbia agito con dolo o colpa grave nel fornire le proprie credenziali o dati personali. Sull’istituto grava anche la dimostrazione che non vi sia stato nessun malfunzionamento dei software, di non aver ricevuto segnalazioni di operazioni sospette e anomale, e, soprattutto, di possedere un sistema di sicurezza “forte”, in grado di proteggere le operazioni, i conti e i dati personali dei propri clienti. Nei casi summenzionati, dunque, le specifiche modalità fraudolente, essendo più difficoltose da riconoscere con la normale diligenza spettante all’utente, possono consentire di alleggerire la vittima dalla colpa “grave” richiesta per imputare alla stessa la responsabilità di quanto avvenuto.

Secondo quanto recentemente esaminato e pronunciato in materia dalla giurisprudenza di merito[1], il D.lgs. n. 11/2010 sancisce l’obbligo del prestatore del servizio di pagamento di assicurare che i dispostivi personalizzati forniti dai gestori non siano accessibili a soggetti diversi dal legittimo titolare e detta alcune disposizioni specificamente indirizzate a ripartire le responsabilità derivanti dall’utilizzazione del servizio stesso.

E, invero, «in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del 6 rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo»[2]. Non si può dunque addossare al cliente l’onere di provare la propria diligenza nel contegno di utilizzatore del sistema informatico, laddove invece spettava al prestatore del servizio di pagamento provare la riconducibilità dell’operazione al cliente, in base al principio di vicinanza della prova e soprattutto nell’ottica del bilanciamento degli interessi che governa l’ordinamento civile. Infatti, se così non fosse, il singolo dovrebbe, ad absurdum, essere chiamato a impiegare settorialmente (in questo caso all’interno di operazioni finanziarie) anche una diligenza superiore a quella normalmente richiesta ex art. 1176, comma 1, c.c., in assenza della doverosa natura professionale connessa alla sua persona, nei termini espressamente richiesti dal comma 2 della disposizione citata. Ciò costituisce, del resto, espressione del principio secondo cui l’impossibilità della prestazione derivante da causa non imputabile al soggetto obbligato (art. 1218 c.c.) richiede la dimostrazione di eventi che si collochino al di là dello sforzo diligente richiesto al debitore[3].

In definitiva, spetta al prestatore del servizio fornire la prova tanto di avere adottato tutti i migliori accorgimenti della tecnica volti a scongiurare il rischio di impiego fraudolento degli strumenti di pagamento, quanto del comportamento fraudolento o gravemente colposo dell’utilizzatore, tale da escludere la sua responsabilità.

Nel caso di specie, sotto il primo profilo (di cui all’art. 10, comma 1 e all’art. 10 bis, d.lgs. 27 gennaio 2010, n. 11), dalla stessa descrizione della truffa perpetrata si desume che l’istituto di credito fosse dotato di un’autenticazione c.d. “forte”, come richiesto dalla normativa vigente, ma non ha fornito alcuna prova incontrovertibile che l’operazione del relativo inserimento, al fine di confermare l’operazione di bonifico, sia avvenuta inequivocabilmente per volontà e impegno manuale del cliente; per converso, più elementi di segno contrario depongono proprio a favore della verificabilità immediata dell’operazione anomala e fraudolenta da parte dell’accorto banchiere, tal che non solo la disposizione di bonifico poteva essere immediatamente bloccata da remoto, ma ben poteva essere revocata nell’arco delle 24h.

E’ possibile infatti che per il tramite delle innumerevoli telefonate provenienti dal numero notoriamente conosciuto anche dalla parte attrice quale numero verde del proprio Istituto bancario e presente sul suo sito istituzionale sia stato introdotto nell’ apparecchio mobile della vittima un malware capace di sottrarre tutti i dettagli tecnici necessari e utili a confermare la disposizione di bonifico a favore del truffatore. È, quindi, verosimile che, trattenendo la vittima inconsapevole al telefono attraverso le diverse chiamate in rapida successione, il suo contatto telefonico sia stato clonato al fine di intercettare proprio l’sms autorizzativo del bonifico fraudolento.

In secondo luogo, si vedano i documenti di presa in carico e conferma del bonifico contestato: ebbene, occorre porre l’attenzione agli orari impressi sui documenti citati, laddove la presa in carico del bonifico è delle ore 16,58 mentre la contabile del bonifico reca l’indicazione oraria delle 22,48 del medesimo giorno 20.04.2020. I due documenti, posti a confronto poi dell’”estratto bonifico europeo 20042020” (depositato dalla parte attrice in uno all’atto di citazione), evidenziano altre anomalie: pur trattandosi di bonifico su territorio nazionale, la data della valuta e della contabile coincidono (vedi la diversità degli orari) pur non evidenziando l’istantaneità dell’operazione, mentre la data del regolamento è il giorno 21.04.2020. Questa anomalia è così evidente (notoriamente infatti qualora un bonifico non sia istantaneo, la data della valuta e della contabile non coincidono mai, ma divergono sempre di qualche giorno), che l’istituto bancario avrebbe dovuto rilevarla immediatamente; al contempo, all’interno dei documenti “presa in carico del bonifico”, “conferma dell’operazione” e “estratto del bonifico” è presente a titolo di causale la locuzione “PAG VOSTRA FATTURA”, espressione troppo generica ed insolita per qualsiasi operatore commerciale di esperienza ultradecennale anche in considerazione dell’importo elevato dell’operazione. Qualsiasi operatore commerciale di media diligenza, che tenga una contabilità mediamente ordinata, ha sempre cura, infatti, di indicare precisamente nella causale il numero di fattura e la data di emissione della stessa, soprattutto se comporti, come nel caso di specie una ingente uscita di liquidità. Anche tale dettaglio rientra nel notorio e non ha bisogno di ulteriori approfondimenti, ma avrebbe potuto anche per tal via indurre l’istituto bancario a procedere a ulteriori controlli, vista la conoscenza risalente e pregressa del cliente.

In terzo luogo, alcuna prova possono offrire le certificazioni di qualità versate in atti dalla parte convenuta atte a comprovare la tenuta del sistema di sicurezza avverso operazioni fraudolente di terzi in danno dei propri clienti, inconferenti ai fini del presente giudizio e soprattutto al fine di comprovare la solidità del sistema di sicurezza della parte convenuta, poiché non coprono l’ufficio territoriale ove la parte attrice intrattiene il proprio c/c né l’oggetto del certificato dimostra di coprire le criticità sollevate nella presente sede.

Nel caso specifico, quindi, non vi è dubbio che il soggetto deputato ad agire sul c/c sia incorso in errore di fatto, la cui elencazione di ipotesi lungi dall’essere esaustiva, comprende in maniera inequivoca, l’ipotesi in cui la cattiva rappresentazione della realtà, determinante ai fini della manifestazione del consenso a fornire i propri dati personali, sia caduta sull’identità della controparte, che nella percezione del soggetto in questione non poteva non identificarsi con il proprio intermediario finanziario. Si consideri, infatti, che negli istanti concitati che necessitavano di scelte rapide a tutela del proprio patrimonio, l’agente modello di media diligenza, sarebbe stato senz’altro influenzato in senso negativo nel proprio potere di autodeterminarsi, diviso tra la tempestività della risposta difensiva contro il prospettato attacco informatico al proprio patrimonio e l’urgenza di verificare, mediante altro canale, l’identità dell’interlocutore telefonico che, previe rassicurazioni del caso, lo invitava a restare in linea proprio al fine di garantire la pronta risoluzione del supposto attacco informatico (in realtà lo tratteneva per clonare il dispositivo). Non vi è dubbio, poi, che la paventata sottrazione patrimoniale esercitata nei riguardi di un soggetto, di media operatività commerciale (vista la lista movimenti depositata in atti), produca una rappresentazione di pericolo, ancorchè eventuale o presunta, di notevole entità, in disparte dalla certa ingiustizia (identificandosi la condotta illecita oggetto di minaccia, e sulla quale si innesta l’atteggiamento psicologico della reazione difensiva immediata, nel reato di furto).

Pertanto, è chiaro che nell’immediatezza della minaccia, il quisque de populo, si preoccupi verosimilmente di assicurare la difesa della propria incolumità personale e patrimoniale, rilevando dal punto di vista psicologico prima il pericolo di un danno grave e solo dopo la necessità di verificare se il rischio percepito corrisponda al vero.

Con particolare riferimento all’utilizzo dei codici identificativi ai fini della corretta esecuzione del bonifico, secondo l’ABF anche ove provata la loro trasmissione a terzi, non può essere sufficiente il solo il codice OTP inviato tramite token o tramite smartphone, (per autenticare in modo sicuro l’identità dell’utente e anche laddove l’operazione risultasse correttamente autorizzata) a dare prova della colpa grave del consumatore, dovendo invero la Banca dimostrare l’elemento soggettivo della colpa grave al fine di rifiutare legittimamente il rimborso. Nel caso di specie, l’intermediario non forniva prova del dolo o della colpa grave dell’utente, ovvero che le operazioni vennero effettuate da terzi per colpa della titolare delle credenziali per averle comunicate o non congruamente custodite, né di aver posto in essere tutte le cautele necessarie ad evitare l’operazione fraudolenta, limitandosi a comunicare all’attrice la legittimità delle operazioni stesse.

Tuttavia, in linea con i recenti orientamenti giurisprudenziali «la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente»[4]; pertanto, «Ne consegue, anche in virtù del surrichiamato articolo 10, comma 2, del Dlgs n. 11/2010, che non è sufficiente al fine di accertare la legittimità dell’operazione bancaria o postale che risultino inserite le credenziali per attribuire la volontarietà dell’azione al correntista. È necessario, invece, un quid pluris, a carico dell’intermediario, sui cui grava l’onere di accertare l’effettiva volontà del correntista di dar luogo all’operazione in conto corrente prima di dar corso alla stessa, prova non fornita nel caso di specie, non avendo dimostrato la legittimità dell’operazione on line non autorizzata, la violazione, da parte del cliente, degli obblighi nascenti dal contratto, né la condotta dolosa o colposa della danneggiata»[5]. Né in senso contrario possono essere invocate dall’istituto di credito le campagne informative asseritamente proposte alla clientela in modo assiduo. Sul punto, oltre a doversi rilevare che parte convenuta si è limitata a produrre la schermata della home page del sito in cui era presente uno spazio dedicato al riconoscimento del phishing, non indirizzato personalmente al cliente, sicché non è dato comprendere quando lo stesso sia stato pubblicato, deve evidenziarsi che il messaggio in questione non era affatto specifico, non descrivendo il meccanismo con cui vengono perpetrate le truffe più aggressive. Al riguardo, non può che osservarsi che tanto più i meccanismi di truffa sono sofisticati, tanto più, correlativamente, l’informativa dell’istituto di credito deve essere specifica e puntuale al fine di contrastare efficacemente le manovre truffaldine. D’altronde, è sempre sul banchiere, e non sul cliente, che per giurisprudenza costante, di merito e di legittimità, grava il maggiore onere di diligenza ex art. 1176 comma 2, rispetto al quale corrisponde la misura della responsabilità di cui all’art. 2236 c.c. cioè la diligenza massima richiesta al bonus argentarius, quale protagonista principale della retta circolazione della ricchezza secondo giustizia e in favore e nell’interesse di tutti gli operatori interessati alla sicurezza di traffici economici, secondo il principio della lecita giustificazione causale.

Sul punto, si è pronunciata la Suprema Corte di Cassazione[6], precisando che «in caso di truffa informatica cd. phishing incombe sul prestatore dei servizi di pagamento il duplice onere di provare di aver adottato tutte le misure di sicurezza 12 necessarie per la protezione del cliente e l’inadempimento doloso o gravemente colposo del cliente medesimo. In tema di responsabilità della banca, ovvero dell’erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento – prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di un’utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo».

Mancando, pertanto, qualsiasi prova rispetto alla conformità dei sistemi utilizzati dall’Istituto di credito e non ravvisando dolo né colpa grave da parte del cliente, la responsabilità per il fatto lesivo occorso va posta, in via esclusiva, in capo all’intermediario convenuto, riconoscendo per l’effetto in favore dell’attrice il diritto a ripetere l’intera somma indebitamente ed illecitamente sottrattale.

 

 

 

 

 

___________________________________________________________

[1] Cfr. ex multis Trib. Busto Arsizio, 14.10.2022, n. 1434; Trib. Milano, Sez. VI, 01.12.2022, n. 9475.

[2] Cfr. Cass. n. 2950/2017; Cass. n. 10638/2016; Cass. n. 9158/2018; Cass. n. 26916/2020.

[3] Cfr. Cass. n. 2950/2017; Cass. n. 18045/2019, nel caso di specie di natura particolarmente tecnica, da valutarsi con il parametro dell’accorto banchiere.

[4] Cfr. Cass. n. 2950/2017.

[5] Cfr. Trib. Benevento, Sez. II, 11.10.2023, n. 2012; Trib. S. Maria Capua Vetere, Sez. III, 20.07.2023, n. 3022.

[6] Cfr. Cass. Civ., Sez. III, 15.05.2023, n. 13204.

Seguici sui social: