Nota a Trib. Civitavecchia, 17 ottobre 2024.
Massima redazionale
Nella specie, parte attrice ha sostenuto di essere stata vittima di un attacco di phishing posto in essere mediante l’invio di un sms – in apparenza proveniente dal proprio Istituto – con il quale veniva richiesto all’utente di inserire, attraverso uno specifico link, le credenziali di accesso al servizio di home banking mediante il sito della Banca e, successivamente, mediante telefonate provenienti – apparentemente – dal numero verde della medesima Banca, con cui le veniva richiesto di comunicare i codici asseritamente necessari per bloccare operazioni fraudolente, che in realtà venivano autorizzate da parte di terzi ignoti. Venivano, quindi, eseguiti due bonifici dell’importo di € 19.800,00 ciascuno, che l’attrice disconosceva tardivamente e che non le venivano riaccreditati dalla Banca nonostante la richiesta in tal senso effettuata.
Ciò premesso, viene in rilievo la disciplina prevista dal D.lgs. 27 gennaio 2010, n. 11, che alloca sui prestatori di servizi di pagamento (PSP) i rischi derivanti, tra le altre cose, dalle condotte fraudolente dei terzi che simulano un consenso del pagatore, dando avvio ad un’operazione di pagamento non voluta. Per comprendere la distribuzione degli obblighi di protezione e delle rispettive responsabilità, si deve tener presente che, alla luce del complessivo impianto normativo, nazionale ed eurounitario, i PSP sono considerati i soggetti più idonei ad investire risorse per prevenire i rischi connessi alla trasmissione del consenso e, pertanto, nella loro sfera giuridica (nel c.d. rischio di impresa) sono posti sia l’obbligo di assicurare che le credenziali di autenticazione attribuite ai propri clienti “non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento” sia i “rischi derivanti dalla spedizione di uno strumento di pagamento o delle relative credenziali di sicurezza personalizzate” (artt. 8 e 11 D.lgs. n. 11 del 2010).
In generale, è configurata una responsabilità aggravata del PSP nel caso abbia dato seguito ad un’operazione non autorizzata, proprio in virtù di questa sua maggiore capacità di elaborare meccanismi sicuri di gestione e trasmissione del consenso, nonché di tempestiva ed esatta esecuzione degli ordini di pagamento così ricevuti. In quest’ottica, la Dir. 2366/2015/UE, prima, e il Reg. del. 2018/389/UE della Commissione, poi, hanno imposto agli PSP, salvo alcune eccezioni, di predisporre meccanismi di autenticazione forte, per la trasmissione del consenso, basati su due o più elementi che sono classificati nelle categorie della conoscenza, del possesso e dell’inerenza, con la generazione di un codice di autenticazione.
Come contraltare di questa disciplina impositiva per gli PSP, sono stati introdotti degli obblighi di diligenza in capo agli utenti di tali servizi per quanto concerne la propria sfera di influenza. Costoro, infatti, ricevono e devono custodire le credenziali di sicurezza personalizzate per accedere ai propri conti di pagamento ed impartire quegli ordini di pagamento che sono la manifestazione procedimentalizzata al PSP della propria volontà di dare corso ad un’operazione di pagamento. In quest’ottica, come rilevato da parte convenuta, l’art. 7, D.lgs. n. 11/2010, prescrive che “1. L’utente abilitato all’utilizzo di uno strumento di pagamento ha l’obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso e che devono essere obiettivi, non discriminatori e proporzionati; b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza. 2. Ai fini di cui al comma 1, lettera a), l’utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate“.
Ciò è, infatti, necessario per una completa prevenzione dai rischi connessi a queste operazioni, senza estendere eccessivamente la responsabilità, e i correlativi obblighi, dei PSP, responsabilità che inevitabilmente comporterebbe un irrigidimento e un rallentamento del mercato, con danno per i consumatori stessi. Il delicato bilanciamento delle responsabilità in capo ad ambo le parti risente, ciononostante, dello spartiacque della comunicazione di cui all’art. 7, co. 1, lett. b), la quale mette il PSP nelle condizioni di comprendere, per tempo, la discrasia tra consenso e manifestazione procedimentalizzata dello stesso. Ciò premesso, è opportuno circoscrivere l’analisi del riparto di responsabilità alle sole operazioni di pagamento non autorizzate eseguite dal PSP a seguito della corretta ricezione di un ordine di pagamento. Difatti, trattandosi di operazioni non autorizzate, ossia eseguite senza il consenso dell’utente, il decreto legislativo pone sul PSP (la banca) l’onere di “provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti” (art. 10 D.lgs. n. 11/2010). In difetto di tale prova, non vi sarebbe alcun dubbio sulla responsabilità del PSP, il quale non potrebbe altrimenti aver fatto affidamento su un apparente consenso dell’utente manifestato attraverso quella procedimentalizzazione e autenticazione a cui si ha accennato.
Al di fuori di tale ipotesi, e prima della comunicazione di cui all’art. 7, co. 1, lett. b), D.lgs. n. 11/2010, si possono verificare sostanzialmente tre situazioni: 1) il PSP risponde, di regola, di tutte le operazioni di pagamento non autorizzate a cui ha dato corso, salvo fornisca la prova del caso fortuito o della forza maggiore (o nei casi l’evento dannoso si sia verificato a causa dell’adeguamento del PSP a “vincoli derivanti da altri obblighi di legge“, art. 28, D.lgs. n. 11/2010); 2) la responsabilità del PSP concorre a quella dell’utente nel caso di colpa lieve di quest’ultimo (si veda, a contrario, l’art. 12, co. 2-ter, D.lgs. n. 11 del 2010), il quale è così tenuto a sopportare le perdite nei limiti dell’importo di cui all’art. 12, co. 3 e 4, D.lgs. n. 11/2010; 3) la responsabilità del PSP è, infine, esclusa nel caso in cui esso dimostri che il proprio utente pagatore abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, agli obblighi di diligenza e di tempestiva comunicazione di cui all’art. 7 (art. 12, D.lgs. n. 11/2010).
Ciò posto, va altresì segnalato che, in materia di responsabilità per l’abusiva utilizzazione di credenziali informatiche del correntista nell’ambito di un servizio di home banking, la giurisprudenza di legittimità ha affermato che è onere della Banca convenuta provare di aver adottato tutte le misure idonee ad evitare il danno, secondo i criteri di riparto dell’onere probatorio di cui all’art. 15 del codice della privacy. Invero, posto che il servizio di home banking presuppone il trattamento di dati personali, relativi alle credenziali di accesso al servizio, la Banca è il soggetto tenuto all’osservanza degli obblighi previsti dal codice della privacy. Ne consegue che, anche seguendo tale impostazione, nelle fattispecie di abusiva utilizzazione da parte di terzi delle credenziali informatiche del correntista, non spetta al correntista provare di non aver autorizzato l’esecuzione dell’operazione (prova negativa difficilmente ipotizzabile finanche in astratto) o, specificamente, di aver subito il furto dei dati identificativi personali. La ripartizione dell’onere della prova, in casi simili, segue la disciplina dettata dalle norme sopra richiamate, le quali postulano l’adozione di un criterio di responsabilità efficacemente definito, in dottrina, come di tipo “semioggettivo”, atteso il rinvio all’art. 2050 c.c. contenuto nell’art. 15 del codice della privacy, e atteso che il modello di responsabilità è coerente con quello delineato finanche a livello comunitario dall’art. 23 e dal considerando n. 55 della Dir. n. 95/46-CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
In tal guisa, l’attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno[1]. Tra codeste misure rilevano giustappunto quelle previste dal titolo V del codice della privacy (artt. 31- 36), stante la regola generale secondo la quale, in sede di trattamento dei dati personali, è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia “in relazione alle conoscenze acquisite in base al progresso tecnico“, sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento[2]. Tale onere si traduce nell’adozione di misure preventive di sicurezza volte a ridurre al minimo i rischi di eventi dannosi, ivi compresi quelli correlati all’accesso non autorizzato ai dati personali.
Consegue che, in base al rinvio all’art. 2050 c.c., operato dall’art. 15 del codice della privacy, l’Istituto che svolga un’attività di tipo finanziario o, in generale, creditizio risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.
Sulla scorta delle considerazioni sin qui esposte, deve ritenersi che, nell’ambito del servizio di home banking, il rispetto da parte del cliente delle norme di sicurezza sulla custodia delle credenziali per accedere al servizio è condizione necessaria ma non sufficiente per escludere la possibilità di intrusioni indebite da parte di terzi, intrusioni che possono essere causate da un insufficiente grado di protezione del servizio offerto dalla banca, a prescindere da comportamenti negligenti del cliente. In base a tale principio, la Banca deve essere condannata alla rifusione delle somme sottratte al cliente in seguito ad una illecita intrusione nel servizio qualora la banca stessa non dimostri che il cliente abbia violato le norme di custodia delle credenziali di accesso e non offra dimostrazione di aver adottato adeguati accorgimenti tecnici volti a tutelare la sicurezza del correntista o particolari cautele doverose in presenza di un ordine di bonifico con caratteristiche insolite rispetto alla normale operatività del cliente.
Nel caso di specie, parte attrice ha ammesso di aver comunicato a terzi le credenziali di accesso al servizio home banking per il tramite del sito della Banca (e non tramite App) e i codici di autorizzazione dei singoli pagamenti, nella convinzione che il proprio interlocutore fosse effettivamente la Banca convenuta e che i codici servissero non per autorizzare, bensì per “stornare” entrambe le operazioni. Tuttavia, risulta agli atti il documento da cui risultano gli sms ricevuti dalla stessa attrice in tale occasione, che conferma il fatto che la Banca ha inviato alla cliente una pluralità di messaggi e i dovuti alert che l’operazione che si stava autorizzando era, appunto, il pagamento. Invero, risulta pacifico che la Banca avesse predisposto un sistema di autenticazione c.d. forte, in conformità alla normativa sopra richiamata, mediante la richiesta di credenziali di accesso statiche (codice titolare, c.d. USERID + password generata esclusivamente dal correntista, c.d. PIN) e dinamiche (codici autorizzativi monouso e temporizzati, c.d. One Time Password, generati dal sistema tramite sms o push al momento della richiesta di accesso all’home banking e al momento di conclusione di ciascuna operazione).
Nel caso di specie, le operazioni in questione sono state autorizzate non solo mediante l’inserimento della consueta OTP, ricevuta sul cellulare della cliente via sms, ma anche tramite l’inserimento di un ulteriore codice (OTS), parimenti inviato via sms proprio perché l’operazione era stata valutata come sospetta, e la risposta alle domande segrete. Tali codici, regolarmente ricevuti sul cellulare certificato, sono stati comunicati dalla stessa attrice a terzi ignoti, seppure nella convinzione che si trattasse di personale della Banca. Va, altresì, evidenziato che il sito della Banca contiene l’avviso circa le più consuete modalità di phishing, tra cui rientra quello utilizzato nel caso di specie e di astenersi dal comunicare le proprie credenziali via sms o via telefono; inoltre, proprio in considerazione del fatto che i clienti vengono spesso tratti in inganno credendo di essere contattati direttamente dalla Banca, vi è l’avviso che il numero verde viene utilizzato solo per ricevere chiamate e che mai la Banca contatta i propri clienti via sms o via telefono per richiedere credenziali. Infine, è pacifico che le operazioni non siano state frutto di un malfunzionamento del sistema. Le considerazioni che precedono portano a ritenere adempiuto l’onere probatorio gravante sulla Banca circa l’adozione di tutte le misure idonee a evitare il danno, che si è verificato grazie all’incauta comunicazione da parte della cliente delle credenziali di accesso e dei codici di pagamento.
________________________________________________________________________
[1] Cfr. Cass. n. 18812/2014.
[2] V. Cass. n. 10947/2014.