Bonifici online non autorizzati e “man in the browser”: la sentenza della Corte d’Appello di Venezia.

La pronuncia – respingendo integralmente l’appello promosso dalla banca – conferma la decisione del Tribunale di Venezia, con cui in accoglimento delle domande attoree l’Istituto di credito veniva condannato al risarcimento del danno provocato al correntista nella  misura di euro 100.000,00 oltre interessi moratori maturati.

La decisione esamina il riparto dell’onere della prova e lo standard di sicurezza che gli intermediari devono garantire nelle operazioni di pagamento non autorizzate eseguite tramite strumenti elettronici.

*****

1. Il caso: bonifici online non autorizzati e contestazione del correntista.

La controversia nasce dal rapporto di conto corrente intrattenuto da una società con un istituto di credito, con operatività tramite servizi di home banking.

A seguito di un accesso al portale online, dal conto della società venivano disposti alcuni bonifici di importo rilevante verso conti di terzi, operazioni che la correntista disconosceva immediatamente, denunciando la natura fraudolenta delle disposizioni e lamentando di essere stata vittima di un attacco informatico riconducibile al c.d. “man in the browser” (MITB).

La società:

• contestava l’addebito delle operazioni;
• evidenziava l’assenza di qualsiasi negligenza nella custodia delle credenziali;
• imputava alla banca l’inadeguatezza dei sistemi di sicurezza adottati rispetto alla tipologia di attacco.

La banca, dal canto suo, sosteneva:

• la correttezza delle procedure di autenticazione (accesso con user ID, password e utilizzo dei codici dispositivi);
• la riconducibilità delle operazioni alla volontà del cliente, in quanto effettuate mediante credenziali corrette;
• la colpa grave della correntista, che non avrebbe adeguatamente protetto i propri dispositivi informatici.

In primo grado il Tribunale aveva accolto in larga parte la prospettazione dell’istituto di credito, escludendo la responsabilità della banca e ritenendo prevalente la negligenza dell’utente. La società proponeva quindi appello alla Corte d’Appello di Venezia.

2. Il quadro normativo: D.lgs. 11/2010 e riparto dell’onere della prova.

La decisione si colloca nell’ambito del D.lgs. n. 11/2010, che disciplina i servizi di pagamento e, in particolare, le operazioni di pagamento non autorizzate.

In sintesi:

• l’utente non sopporta le conseguenze economiche di un’operazione di pagamento non autorizzata, salvo che abbia agito con frode o colpa grave (artt. 7 e 12 D.lgs. 11/2010);
• l’onere della prova grava sulla banca: l’intermediario deve dimostrare che l’operazione è stata autenticata, correttamente registrata e contabilizzata, e che non è stata influenzata da malfunzionamenti o da altri inconvenienti (art. 10 D.lgs. 11/2010);
• la sola circostanza che l’operazione risulti eseguita tramite le credenziali dell’utente non basta per affermare la volontà del cliente, né per desumere automaticamente una sua colpa grave.

Queste regole speciali prevalgono sul regime generale dell’inadempimento contrattuale ex art. 1218 c.c., delineando un regime di responsabilità rafforzato in capo al prestatore dei servizi di pagamento.

3. La frode “man in the browser”: un rischio tipico dei servizi di pagamento.

La Corte d’Appello qualifica l’accaduto come ipotesi di “man in the browser”, ricollegandolo alla più ampia categoria dei malware di tipo trojan.

In estrema sintesi:

• il malware si insedia nel browser dell’utente, senza che questi se ne accorga;
• quando l’utente si collega al sito di home banking, il programma malevolo intercetta le comunicazioni e può modificare i dati inseriti (in particolare beneficiario e importo del bonifico);
• l’utente visualizza a schermo un’operazione apparentemente corretta, mentre al sistema della banca giunge un ordine di pagamento alterato, con accredito su conti di soggetti terzi;
• spesso il sistema aggira anche i meccanismi di autenticazione forte, perché sfrutta la sessione già validamente aperta dall’utente.

In questo schema la vittima:

• segue una procedura di accesso formalmente corretta;
• non percepisce anomalie nella schermata del proprio computer;
• non collabora consapevolmente alla frode.

Di conseguenza, la riconducibilità tecnica dell’operazione alle credenziali dell’utente non coincide con la prova di una sua condotta imprudente o negligente.

4. Le questioni giuridiche affrontate in appello.

La Corte d’Appello di Venezia individua alcuni snodi centrali:

1. Quale disciplina applicare: norme codicistiche sull’inadempimento o disciplina speciale dei servizi di pagamento?
2. Onere della prova: è sufficiente che la banca dimostri l’utilizzo corretto delle credenziali, o deve provare anche l’adeguatezza dei propri sistemi di sicurezza?
3. Valutazione della CTU informatica: il giudice può utilizzare le conclusioni del consulente per colmare lacune probatorie delle parti?
4. Condotta del cliente: in presenza di un attacco “man in the browser” è configurabile la colpa grave dell’utente?

5. La decisione della Corte d’Appello di Venezia.

5.1. Prevalenza della disciplina speciale sui servizi di pagamento.

La Corte chiarisce innanzitutto che il caso rientra pienamente nel perimetro del D.lgs. 11/2010.

Ne consegue che:

• non si applicano i criteri ordinari in tema di inadempimento contrattuale;
• l’onere probatorio grava sulla banca, che deve dimostrare non solo la correttezza formale della procedura, ma anche l’adeguatezza dei sistemi di sicurezza rispetto ai rischi tipici del servizio offerto.

L’errore del primo giudice, secondo la Corte, era proprio quello di aver trascurato tali regole speciali, valorizzando in via dirimente le risultanze della CTU senza un adeguato scrutinio dell’assetto normativo.

5.2. Onere della prova e ruolo della CTU informatica.

La Corte ribadisce che la CTU non può sostituire la prova che le parti devono fornire.

La consulenza tecnica:

• serve a valutare dati già acquisiti e ad illustrare profili tecnici;
• non può sanare l’inerzia probatoria dell’intermediario, che resta tenuto a dimostrare la conformità del proprio sistema agli standard di sicurezza richiesti.

Nel caso di specie, le risultanze peritali evidenziavano il corretto funzionamento dell’infrastruttura informatica della banca, ma non escludevano che l’attacco MITB si fosse verificato né dimostravano l’adeguatezza delle misure di prevenzione rispetto a tale specifico rischio.

Da ciò la Corte ricava che l’intermediario non aveva assolto l’onere probatorio impostogli dalla normativa speciale.

5.3. La condotta del cliente e l’esclusione della colpa grave.

La banca aveva insistito sull’asserita negligenza della correntista, imputandole una gestione poco attenta dei propri dispositivi informatici e delle credenziali di accesso.

La Corte, però:

• osserva che la società aveva utilizzato il servizio secondo le modalità previste dall’istituto di credito;
• rileva che il malware opera in modo silente, senza comportamenti macroscopicamente imprudenti da parte dell’utente;
• sottolinea che, in simili ipotesi, non è sufficiente allegare genericamente una condotta disattenta, occorre dimostrare violazioni gravi e inequivoche delle regole elementari di diligenza.

In assenza di tali elementi, la colpa grave dell’utente non può ritenersi provata, e il rischio dell’operazione fraudolenta resta a carico dell’intermediario.

5.4. La responsabilità della banca e le conseguenze economiche.

Alla luce di queste considerazioni, la Corte:

• accoglie l’appello della correntista;
• riforma la sentenza di primo grado;
• condanna l’istituto di credito a rimborsare le somme indebitamente addebitate sul conto, oltre accessori di legge, nonché a rifondere le spese di lite e di CTU.

La decisione ribadisce, in sostanza, che in presenza di un’operazione di pagamento non autorizzata, e in mancanza di prova rigorosa della colpa grave dell’utente, la banca deve sopportare le conseguenze economiche dell’evento.

6. Profili applicativi e ricadute pratiche.

La sentenza della Corte d’Appello di Venezia assume particolare rilievo per una serie di profili.

a) Per gli intermediari finanziari

• conferma che le frodi realizzate tramite malware evoluti, come il “man in the browser”, rientrano tra i rischi tipici dell’attività di prestazione di servizi di pagamento;
• impone di progettare sistemi di sicurezza che tengano conto di tali tecniche di attacco, con strumenti di monitoraggio delle anomalie, alert in tempo reale e procedure di blocco tempestivo delle operazioni sospette;
• evidenzia che la generica conformità alle regole di autenticazione non basta a escludere la responsabilità: occorre dimostrare un assetto di sicurezza complessivamente adeguato allo stato dell’arte.

b) Per i clienti utenti di servizi di home banking

• la decisione conferma che il semplice utilizzo, da parte del terzo fraudatore, delle credenziali di accesso non comporta automaticamente l’imputazione dell’operazione al cliente;
• resta, tuttavia, fondamentale mantenere comportamenti diligenti: proteggere i dispositivi, aggiornare i software, non condividere credenziali, conservare documentazione e ricevute utili a ricostruire gli eventi.

c) Per il contenzioso in materia di pagamenti elettronici

• il provvedimento valorizza il diritto di contestare gli addebiti e di richiedere la restituzione delle somme in caso di operazioni non autorizzate;
• suggerisce di impostare la difesa su un’accurata ricostruzione tecnica dell’accaduto e su una puntuale invocazione delle norme speciali del D.lgs. 11/2010, evitando di ricondurre la fattispecie al solo schema dell’inadempimento contrattuale;
• richiama l’attenzione sull’importanza di una CTU informatica ben delimitata nei quesiti e coerente con il riparto degli oneri probatori.

Conclusioni.

La sentenza della Corte d’Appello di Venezia si inserisce nel solco di un orientamento ormai consolidato, che rafforza la tutela dell’utente dei servizi di pagamento elettronici e attribuisce alla banca un ruolo centrale nella prevenzione e gestione dei rischi informatici legati all’operatività online.

In presenza di frodi complesse come il “man in the browser”:

• la responsabilità della banca non si esaurisce nella corretta gestione formale delle procedure di autenticazione;
• l’intermediario deve dimostrare la piena adeguatezza dei propri sistemi di sicurezza e la mancanza di ogni profilo di colpa grave in capo al cliente;
• il giudice non può colmare le lacune probatorie tramite la sola CTU, ma deve verificare in concreto se l’istituto abbia assolto il proprio onere di prova.

La pronuncia rappresenta, dunque, un punto di riferimento importante sia per gli operatori del settore bancario sia per i professionisti che assistono imprese e consumatori coinvolti in controversie relative a operazioni di pagamento non autorizzate eseguite tramite home banking.