Truffa tramite vishing e responsabilità dell’intermediario bancario: valutazione del concorso di colpa.

L’Arbitro Bancario Finanziario (ABF), Collegio di Bari, si pronuncia in tema di ricorso avente ad oggetto il risarcimento da sottrazione fraudolenta di terzi, a seguito di una truffa perpetrata tramite due operazioni, che ha portato al compimento di bonifici di una somma ingente; rilevando la responsabilità della Banca, che non ha adeguatamente protetto i dati e non ha impedito le operazioni anomale.

Nella fattispecie in esame, il Collegio è dell’avviso che vi sia stato un contributo causale della ricorrente nella fase dispositiva/autorizzativa, tale per cui le operazioni possono considerarsi non interamente eseguite dalla titolare del conto e della carta.

Ciò nonostante, se per un verso le operazioni di cui si discute appaiono effettuate con l’impiego delle credenziali di accesso e dei codici autorizzativi conosciuti dalla titolare del conto e della carta in regime di autenticazione a due fattori, la formale regolarità delle transazioni, non esime l’intermediario dal fornire ulteriori elementi di fatto che caratterizzano le modalità esecutive delle stesse, dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente (ABF Coll. Coord., Dec. n. 22745/2019).

La truffa in questione appare realizzata con tecniche (c.d. vishing caller id spoofing) che prevedono, tra l’altro, una subdola interlocuzione telefonica per mezzo della quale gli aggressori utilizzano software in grado di manipolare l’ID dell’utenza del mittente in modo che appaia con il nome del PSP, aumentando la probabilità che il chiamante e/o l’SMS “civetta” vengano recepiti come autentici (cfr. European Payments Council, “2018 Payment threats and fraud trends report”, 1.12.2018).

Ciò detto, non può trascurarsi la condotta negligente della ricorrente che ha dichiarato di aver fornito le credenziali segrete di accesso all’area riservata ad uno sconosciuto interlocutore, contravvenendo all’obbligo di custodia, con la dovuta diligenza, dei fattori di autenticazione/autorizzazione delle operazioni bancarie.

Secondo il conforme orientamento dei Collegi territoriali dell’Arbitro, nelle fattispecie di vishing caller id e/o sms spoofing non è generalmente ravvisabile la colpa grave del cliente, a meno che si rinvengano chiari elementi di inaffidabilità o anomalia nel tenore della interlocuzione o del messaggio civetta (errori grammaticali o sintattici; link non riconducibile al PSP).

Pertanto, appare evidente che potrà essere riconosciuto un concorso di colpa tra le parti, in relazione, da un lato, alla negligenza grave dell’utente che agevola il compimento della truffa, e, dall’altro lato, alle criticità organizzative riconoscibili nel servizio di pagamento offerto dall’intermediario, avuto riguardo ai presidi di sicurezza approntati, quando inidonei a intercettare intrusioni illecite nei canali di comunicazione ufficiali della banca (cfr. ABF Coll. Bari, Dec. nn. 9071/2022, 20240/2021; Coll. Roma. Dec. n. 12005/2022).

L’intermediario appare responsabile di una mancata attivazione di un sistema di prevenzione efficace (ex artt. 2381 e 2403, c.c.), essendo precipuo onere del prestatore quello di adeguare costantemente le contromisure per prevenire minacce alla sicurezza delle transazioni (cfr. ABF Coll. Bari, Dec. n. 20730/2019; Coll. Coord., Dec. n. 24366/2019).

Di conseguenza, le operazioni controverse scontano l’effetto di una verosimile disfunzione organizzativa sul quale si innesta il comportamento gravemente negligente della cliente che, tuttavia, non assorbe completamente il nesso di causalità con l’evento lesivo, ma concorre con esso (cfr. ABF Coll. Bari, Dec. nn. 5152/2024, 13567/2021).

A tal proposito, alla luce delle motivazioni summenzionate, il Collegio accoglie parzialmente il ricorso, disponendo che la Banca debba corrispondere la metà della perdita procurata nella sfera patrimoniale della titolare del conto (cfr. ABF Coll. Bari, Dec. nn. 11542/2023, 9922/2022; Coll. Roma, Dec. n. 9723/2022; Coll. Milano, Dec. n. 7410/2022).