Frode informatica: responsabilità paritaria tra utilizzatore del servizio e intermediario finanziario.

Con la decisione in esame, l’ABF-Collegio di Milano accoglie parzialmente il ricorso di un risparmiatore vittima di truffa informatica perpetrata tramite phishing e condanna l’intermediario finanziario al rimborso della metà della somma fraudolentemente sottratta.

*****

Analisi dei fatti.

Il ricorrente subiva una truffa informatica riconducibile al fenomeno del c.d. “phishing”[1] che si sarebbe concretizzata in un bonifico ordinario on-line (tramite accesso ai servizi di home banking) di € 10.000,00 dal conto corrente del cliente truffato a quello del beneficiario-truffatore, aperto sempre presso la stessa filiale. L’istituto bancario, dopo aver ricevuto la segnalazione dal proprio correntista truffato, bloccava il conto corrente del beneficiario del bonifico e riaccreditava alla vittima la somma di € 4.053,95. Il cliente, disconoscendo l’addebito del bonifico registrato sul proprio conto, chiedeva il rimborso della residua somma di € 5.946,05 in quanto fraudolentemente sottratta. La frode, secondo il ricorrente, era dunque da imputare alla responsabilità dell’intermediario che non avrebbe impedito la violazione dei propri sistemi informatici da parte dei truffatori. L’intermediario convenuto, ritenendosi estraneo ai fatti, dimostrava che il pagamento era stato personalmente e volontariamente eseguito dal cliente e chiedeva il rigetto del ricorso. Il Collegio, dopo aver valutato attentamente le condotte di entrambe le parti, accoglie parzialmente il ricorso, ritiene di dover ripartire la colpa in misura paritaria e condanna l’intermediario al pagamento in favore del ricorrente della somma di € 2.973,00, pari al 50% dell’importo fraudolentemente sottratto.

Motivi della decisione.

Il Collegio ha analizzato la sussistenza della responsabilità, e del relativo onere probatorio, alla luce del D.Lgs. n. 11/2010[2], modificato con il D.Lgs. n. 2018/2017 che recepisce la Direttiva UE 2015/2388 (c.d. PSD II)[3]. L’ABF ha quindi concluso che, nel caso di specie, non è ravvisabile un comportamento gravemente colposo in capo all’utilizzatore, inteso quale comportamento consapevole dell’agente che operi con straordinaria imprudenza e negligenza[4] e non è dunque possibile ricondurre, sul piano causale, la frode alla condotta dell’utilizzatore. Tale conclusione è conseguenza del fatto che la responsabilità del cliente appare temperata dalla natura particolarmente insidiosa e sofisticata della truffa realizzata attraverso “ID caller spoofing”[5] che lo ha indotto a credere che la richiesta provenisse da un canale ufficiale dell’intermediario, attenuando così il livello di attenzione[6]. Inoltre, dalla telefonata sono poi seguiti numerosi SMS truffaldini il cui mittente era camuffato in modo che sembrasse proprio l’intermediario. Per tali motivi, secondo il Collegio, è ravvisabile una colpa attenuata (non grave, che avrebbe invece escluso la responsabilità dell’intermediario) in quanto il comportamento dell’utente ha comunque agevolato il compimento della truffa. Vi è quindi un concorso di colpa tra le parti: da un lato la condotta dell’utente; dall’altro lato le criticità organizzative del servizio di pagamento offerto dall’intermediario. Conseguentemente l’Arbitro ritiene di dover ripartire la responsabilità in parti eguali[7].

__________________________________________________________________________

[1] Il termine phishing, variante di fishing (letteralmente “pescare” in lingua inglese), allude all’uso di tecniche per “pescare” dati finanziari e password di un utente. In particolare, il phishing si concretizza attraverso messaggi di posta elettronica ingannevoli, apparentemente provenienti da istituti finanziari, che richiedono l’accesso previa registrazione. Il messaggio invita a fornire i propri dati di accesso al servizio e, solitamente, nel messaggio, per rassicurare falsamente l’utente, è indicato un collegamento (link) che rimanda apparentemente al sito web dell’istituto di credito o del servizio a cui si è realmente registrati. Alcune note varianti del phishing sono: il vishing, allorquando la truffa tramite telefonate, e lo smishing, caratterizzato dall’utilizzo di sms truffa.

[2] Ai sensi dell’art. 10 del citato decreto, l’intermediario, in caso di disconoscimento da parte del cliente di operazioni effettuate da terzi, deve provare che l’operazione di pagamento sia stata autenticata, correttamente registrata e contabilizzata e che non abbia subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione. E deve provare, altresì, la frode, il dolo o la colpa grave del cliente. In assenza di tali prove, la responsabilità dell’intermediario non può ritenersi esclusa.

[3] Per un approfondimento sulla Direttiva (UE) PSD 2 si segnalano i seguenti contributi: R. MOTRONI, “La PSD2 tra soggetti e oggetto della tutela”, Il diritto dell’economia, 99/2019, pp. 411-441; V. TROIANO e S. MEZZACAPO, “La maggiore convergenza nel negative scope della PSD2: i nuovi criteri applicativi della “limited network exclusion”, Rivista di Diritto Bancario, Luglio-Settembre 2022, pp. 481-511. Sulla ripartizione della responsabilità e dell’onere probatorio in caso di utilizzo fraudolento degli strumenti di pagamento, si segnala l’Ordinanza della Corte di Cassazione n. 16417/2022, oggetto di un approfondimento a cura di A. RIPOLDI, in Diritto del Risparmio, https://www.dirittodelrisparmio.it/2022/06/03/utilizzo-fraudolento-degli-strumenti-di-pagamento-ripartizione-della-responsabilita-e-dellonere-probatorio/.

[4] Cfr. Cass. Civ., Sent. n. 14456/2011; Collegio di Roma, Decisione n. 6770/2022; Collegio di Milano, Decisioni nn. 7844/2021 e 1828/2020; Collegio di Coordinamento, Decisione n. 5304/2013.

[5] Il caller ID spoofing è una tecnica fraudolenta che consiste nel modificare/camuffare il numero del chiamante con quello di un istituto bancario, un ente di beneficenza o altro, allo scopo di spingere gli interlocutori a trasferire denaro o comunicare dati personali.

[6] Conformemente a tale decisione: Collegio di Milano, Decisione n. 22674/2921; Collegio di Roma, Decisione n. 21696/2020; Collegio di Coordinamento, Decisione n. 22745/2019.

[7] La decisione si inserisce in un orientamento consolidato dell’Arbitro che ripartisce la responsabilità in misura paritaria tra utilizzatore dei sistemi informatici e intermediario finanziario. Ex plurimis: Collegio di Napoli, Decisione n. 2618/2023; Collegio di Milano, Decisioni nn. 8435/2023; 1882/2023 e 1867/2023.