Il phishing è illecito e la banca è tenuta a risarcire il correntista.

Il Tribunale ordinario di Roma, con la recentissima sentenza in oggetto, ha accolto la domanda di risarcimento del danno svolta dalla correntista contro la banca, a seguito della truffa informatica patita (phishing).

Più in particolare, parte attrice si era rivolta al Tribunale capitolino, lamentando il mancato e/o insufficiente funzionamento dei sistemi di sicurezza e/o la violazione dell’obbligo di diligenza cui era tenuta la Banca nel prevenire le truffe informatiche.

La questione nel merito inerisce alla sottrazione indebita dal conto corrente dell’attrice della considerevole somma di oltre € 115.000,00, mediante n.3 bonifici, resa possibile per via di una truffa informatica attuata con la tecnica del phishing, nello specifico concretizzatasi con lo smishing/vishing, unito allo spoofing.

L’illecito informatico è stato realizzato mediante l’iniziale ricezione di un SMS contraffatto con il logo dell’istituto di credito convenuto in giudizio, recante al suo interno un link da cliccare per ragioni di ordine tecnico, effettivamente in corso, espresse nel messaggio, che così recitava: “(…Omissis…) Informa che ha limitato la sua carta/conto per mancato aggiornamento della sicurezza web – Riattivala https://s.id/Modulo – Banca”.

Non essendovi nessun indizio che potesse ragionevolmente indurre la correntista a dubitare della provenienza di tale SMS ed essendo, peraltro, realmente in corso all’epoca dei fatti aggiornamenti del sistema da parte dell’Istituto di credito, la stessa cliccò sul link e ricevette immediatamente una telefonata da un sedicente operatore della banca; lo stesso la rassicurò, riferendole un numero di matricola e facendole constatare, per il tramite del sito internet della banca, che il numero di telefono dal quale la stava chiamando fosse proprio il numero riferibile all’istituto di credito.

La credibilità del numero è data da una tecnica di attacco informatico, detto spoofing telefonico, che rende possibile modificare il numero del chiamante consentendogli di falsificare l’identità di un mittente, nel caso di riferimento, dell’istituto bancario citato.

Il sedicente operatore indusse la correntista a disinstallare l’App della banca dal proprio cellulare senza però dover fornire le proprie credenziali all’operatore, ovvero senza inserire alcun ID o password nell’App stessa; l’accesso all’app, difatti, veniva effettuato mediante inserimento dell’impronta digitale. L’operatore, altresì, contestualmente la invitò ad installare la nuova App token della banca, apparentemente identica alla precedente, senza comunicare alcun codice al sedicente operatore dell’istituto di credito.

Il giorno seguente la correntista venne nuovamente ricontattata dallo stesso operatore poiché, secondo quanto da Lui riferito, la procedura di aggiornamento non era andata a buon fine. La stessa fu così invitata a ripetere l’istallazione dell’App, sempre senza la necessità di fornire all’operatore alcuna informazione personale e/o riservata circa le sue credenziali.

La correntista ricevette, infine, una terza nonché ultima chiamata, qualche giorno dopo, sulla base della stessa motivazione; fu solo a questo punto che la sig.ra si insospettì e decise di recarsi presso la sede della propria banca dove apprese l’effettiva perdita di € 115.793,00 a causa della suddetta truffa informatica.

Il chiamante era evidentemente l’ignoto malfattore che, ponendo in essere una strategia combinata di profondo impatto persuasivo, aveva convinto la malcapitata correntista a scaricare un’applicazione malevola con la quale l’attaccante era in grado di assumere la capacità di agire operativamente da remoto sul conto corrente dell’attrice per porre in essere i bonifici fraudolenti oggetto della truffa e, nel contempo, intrattenere la sig.ra in tre distinte conversazioni telefoniche, in modo tale che l’attenzione di quest’ultima fosse, di volta in volta, completamente distolta dal tentativo di verificare ciò che stesse accadendo sul suo conto corrente.

L’applicazione che l’operatore Le fece installare era funzionale a far insediare nel telefono della correntista un software malevolo, nello specifico Xenomorph, utile per accedere al suo conto corrente e, contemporaneamente, capace di dirottare l’inoltro degli SMS alert e le notifiche PUSH provenienti dalla banca, non consentendo alla correntista di prendere contezza degli alert che la banca le inviava mentre l’attaccante operava fraudolentemente sul suo conto.

In questo modo, non solo fu possibile per il truffatore generare tre diversi bonifici a favore di ignoti destinatari, per un totale di € 115.793,00 ma, contestualmente, dirottando gli SMS alert, riuscì ad evitare che la correntista avesse contezza dei movimenti anomali che si verificavano sul suo conto.

La truffa in questione costituisce una particolare tipologia di truffa informatica, che prende il nome di phishing, realizzata sulla rete Internet attraverso l’inganno degli utenti, funzionale a carpire dati sensibili per poi utilizzarli a scopi illeciti. 

Sulla scorta delle sempre più frequenti truffe informatiche, è stato disposto che gli istituti di credito debbano attuare condotte preventive funzionali ad arginare il rischio che queste truffe si verifichino.

In materia specifica di phishing, si è recentemente espressa la Corte di Cassazione con l’Ordinanza del 4 settembre 2024, n. 23683, citata anche in sentenza, che ha così disposto: «La diligenza della banca va a coprire operazioni che devono essere ricondotte nella sua sfera di controllo tecnico, sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo».

Tale sentenza è funzionale a definire il limite circa la responsabilità degli istituti di credito nel caso in cui i suoi correntisti subiscano truffe informatiche analoghe a quella che ne occupa.

La richiesta di risarcimento del danno a carico della banca in questione si fondava sul mancato e/o insufficiente funzionamento dei sistemi di sicurezza dei servizi di pagamento elettronico e/o di home banking e/o app mobile collegati al conto della correntista.

Rilevante sul punto è, altresì, il D.lgs. 27 gennaio 2010 n. 11, quale decreto attuativo della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno, recante modifica delle direttive 97/7/CE, 2002/65/CE, 2005/60/CE, 2006/48/CE, che abroga la direttiva 97/5/CE (10G0027), su cui si basa l’emessa sentenza.

L’art. 8 del D.lgs. n. 11/2010, citato in sentenza, determina gli obblighi del prestatore del servizio, stabilendo, per quel che rilevi nel caso di specie, che questi sia tenuto a:

“a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest’ultimo ai sensi dell’articolo 7”;

“c) assicurare che siano sempre disponibili strumenti adeguati affinché l’utente dei servizi di pagamento possa eseguire la comunicazione di cui all’articolo 7, comma 1, lettera b)

[…]”.

Da ciò si evince che la Banca, per essere esonerata da responsabilità, è tenuta ad osservare il canone della diligenza professionale che, nella speciale materia in questione, si risolve nella diligenza dell’accorto banchiere.

Nello stesso D.lgs. n.11/2010 cit., all’art.10 è stabilito, inoltre, in modo chiaro che le banche sono tenute a risarcire il cliente in caso di operazioni non autorizzate, a meno che non dimostrino di aver adottato sistemi di sicurezza adeguati.

La norma in questione regola la distribuzione dell’onere della prova, stabilendo che il prestatore del servizio debba dimostrare sia che l’operazione di pagamento controversa “è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”, sia che questa sia stata “autorizzata dall’utente medesimo”, “che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7”.

Ne consegue che, quando il cliente neghi di aver autorizzato un’operazione, l’onere della prova ricade sulla banca, la quale, al fine di escludere ogni sua responsabilità, dovrà dimostrare che:

1. l’operazione sia stata eseguita correttamente e che l’istituto fosse munito di un sistema di autenticazione forte;
2. il cliente abbia agito con dolo o colpa grave nel fornire i propri dati al potenziale truffatore.

In base allo stesso articolo 10 sopracitato, l’istituto di credito ha, quindi, l’onere di dimostrare che il sistema di autenticazione sia conforme agli standard di sicurezza e che l’operazione sia stata autorizzata dal cliente in modo consapevole e volontario, in mancanza di ciò, è tenuto al risarcimento dell’intera somma sottratta al cliente.

A tal riguardo, si legge nella sentenza in commento: «ai sensi degli artt. 1176,1856 e 1710 c.c., infine, la Banca è tenuta all’osservanza del canone della diligenza professionale, il quale, nella speciale materia in questione, si risolve nella diligenza dell’accorto banchiere.»

Sulla scorta dell’Ordinanza della Cass. n. 23683/2024 cit., tale parametro è funzionale a far sì che “la diligenza della banca vada a coprire tutte le operazioni che devono essere ricondotte nella sua sfera di controllo tecnico sulla base anche di una valutazione di prevedibilità ed evitabilità tale che la condotta, per esonerare il debitore, la cui responsabilità contrattuale è presunta, deve porsi al di là delle possibilità esigibili della sua sfera di controllo”.

Nel caso in questione, la banca, per esimersi dalla responsabilità contrattuale, avrebbe dovuto, necessariamente, provare di aver adottato le misure di tutela di tipo “attivo” volte a scongiurare illeciti come quello di cui si discute.

Invero, le sole precauzioni adottate dalla convenuta sono classificabili tra le c.d. forme di tutela “passiva” attuata semplicemente mediante “avvertimenti” e “raccomandazioni” e realizzate principalmente tramite comunicazioni e-mail; queste forme di tutela sono mere informative circa la possibilità di essere vittime di truffe informatiche, finalizzate a far sì che siano i correntisti a adottare condotte attive volte a scongiurare, il più possibile, il verificarsi di tali truffe.

Ciò significa che le raccomandazioni dispensate dall’istituto bancario non possono considerarsi esaustive rispetto alla tutela demandata alla banca nei confronti dei propri correntisti circa la garanzia di una tutela di tipo “attivo” dei propri clienti volta a prevenire e/o evitare le truffe informatiche.

Difettando la dimostrazione probatoria, onere della banca, della corretta adozione delle misure di diligenza professionale richieste, il giudice ha ritenuto legittima la richiesta di risarcimento del cliente.

Qualora la banca, difatti, avesse voluto adottare misure di tutela “attive”, avrebbe dovuto sospendere l’esecuzione dei bonifici discussi dati gli importi esorbitanti anche alla luce delle stesse disponibilità economiche della cliente; essa avrebbe dovuto subordinare il compimento delle operazioni all’accertamento effettivo dell’identità della correntista (ad esempio, tramite una telefonata), anche in merito al fatto che, in concomitanza con gli stessi bonifici distrattivi, si erano verificate una serie di operazioni anomale, in due giornate consecutive, ravvisabili in errate digitazioni del codice PIN, nella reiterata reimpostazione e riattivazione del Mobile Token con scelta di nuovo Nickname sull’home banking della parte attrice ecc.

In breve, l’attrice si era trasformata in un baleno da utente dotato di capacità informatiche normali ad “esperto informatico”.

Queste operazioni, pacificamente riconosciute dalla controparte, del tutto anomale e non in linea né con le competenze informatiche della correntista, né tantomeno con la sua nota preferenza verso le operazioni “analogiche” poste in essere presso la sede fisica della banca, avrebbero dovuto generare un allarme agli addetti della Banca imponendo loro di verificare l’identità dell’operatore delle suddette transazioni.

Se la banca avesse posto in essere un tipo di riscontro bidirezionale, banca-cliente e cliente-banca, l’illecito discusso non si sarebbe verificato; in tal senso si delinea l’elemento di colpa grave ravvisabile in capo alla Banca.

Ultimo profilo rilevante che emerge dalla sentenza inerisce alla esclusione della responsabilità colposa della correntista. Affinché tale responsabilità si qualifichi è necessario che la correntista dia comunicazione a terzi delle credenziali di accesso al proprio conto escludendo il rispetto di quella minima prudenza esigibile ed osservabile da tutti.

Nel caso di specie non appare ravvisabile tale profilo di responsabilità in quanto, due minuti dopo la ricezione dell’SMS civetta, i sistemi della Banca registrarono nei file di LOG, un accesso che avvenne tramite impronta digitale e NON tramite digitazione di ID e PIN; è, quindi, pacifico che l’accesso fu effettuato tramite impronta digitale e non mediante credenziali.

Si legge nella sentenza in commento che risulta provato che «alle 14.40 del 19/10/2022, le credenziali in questione venivano inserite nel link https://s.id/Modulo-(…omissis…), e non risulta dirimente la circostanza che ciò sia avvenuto mediante compilazione automatica ovvero tramite inserimento del dato biometrico.

Tramite la suddetta operazione, veniva carpito da terzi l’elemento statico della catena di sicurezza dei dati della correntista. Il successivo download di app contraffatte valeva a consegnare agli hacker il fattore dinamico (codici OTP) e ad impedire alla correntista di ricevere gli SMS Alert relativi alle operazioni ordinate da costoro.

La reale provenienza dei contatti presi con l’attrice a partire dal 19/10/2022 è stata fraudolentemente occultata attraverso la tecnica del c.d. spoofing, tale da ingenerare un affidamento della cliente sulla riferibilità alla (…omissis…) delle istruzioni telefonicamente ricevute dal falso operatore» (Cfr. sent. pag. 9).

In altri termini, l’hacker, dopo aver carpito il dato biometrico dell’attrice tramite il link civetta lo ha utilizzato per sostituire l’identificazione tramite dato biometrico con quella mediante inserimento di Username e Password, ovviamente modificate.

Con il successivo download delle app contraffatte è stato possibile per l’hacker conoscere il fattore dinamico corrispondente ai diversi codici OTP richiesti per i LOG e di bypassare l’autenticazione a due fattori, mediante generazione del suddetto codice, NON più tramite impronta digitale.

Il tribunale ha, quindi, giustamente disposto che la conoscenza di dette informazioni da parte di terzi non fosse dipesa dalla comunicazione delle stesse da parte della correntista, quanto piuttosto dall’esecuzione di un articolato ed insidioso raggiro, posto in essere in danno della correntista medesima, oggettivamente insuscettibile di essere tempestivamente rilevato dalla medesima con l’uso di quella diligenza minima richiesta, secondo la regola generale di cui agli artt. 1176, c.2 e 1227, c.2 c.c.

Allo stesso modo, essendo il numero di telefono del truffatore verosimilmente riferibile al gruppo bancario di cui l’attrice era effettivamente correntista, il Tribunale ha ritenuto essere fuori dalla diligenza richiesta ad un utente ordinario, non esperto di cybersecurity, il fatto che questi, ricevendo una telefonata da un numero riferibile alla propria Banca, possa porsi l’interrogativo circa la provenienza della telefonata.

La decisione del Tribunale di Roma si pone, quindi, in linea con quanto disposto dal Tribunale di Milano nella sentenza del 13 aprile 2022, n. 3295, secondo cui: «Se, infatti, la mera richiesta di aggiornamento dati o di verifica, tale da necessitare l’inserimento delle credenziali riservate in qualche form, costituisce un tentativo di truffa agevolmente riconoscibile, anche in ragione del linguaggio utilizzato, che frequentemente evidenzia errori e imprecisioni tipiche di una traduzione automatica del testo nella lingua italiana, piuttosto che incoerenze tra i riferimenti contenuti nel messaggio e il rapporto effettivamente intrattenuto dal destinatario, diverso potrebbe essere il caso là dove il messaggio di phishing sia conseguenziale a situazioni personali del destinatario, tali da rendere la richiesta particolarmente meritevole di fiducia, ossia da non consentire il sorgere di legittimi sospetti sulla stessa».

La sentenza in commento è stata appellata innanzi alla Corte d’Appello di Roma alla quale, dunque, è devoluto il nuovo giudizio di merito, ancora in corso.