ID caller spoofing e responsabilità dell’intermediario bancario nei pagamenti non autorizzati: esclusa la colpa grave del cliente in presenza di frodi tecnologicamente sofisticate.

Con la pronuncia in oggetto, il Tribunale di Monza affronta il tema della responsabilità dell’intermediario bancario per operazioni di pagamento non autorizzate eseguite mediante tecniche di sms spoofing e ID caller spoofing, aderendo all’orientamento secondo cui, nell’ambito dei servizi di pagamento digitali, la sottrazione delle credenziali mediante sistemi fraudolenti particolarmente sofisticati rientra nell’area del rischio professionale dell’intermediario, salvo che sia dimostrata la colpa grave del cliente e l’adozione di tutte le misure di sicurezza imposte dalla normativa di settore.

La vicenda trae origine da un’operazione fraudolenta realizzata tramite SMS spoofing: il cliente riceveva un messaggio apparentemente proveniente dalla banca, inserito nella reale cronologia delle comunicazioni, che segnalava limitazioni operative e invitava a effettuare una verifica tramite un link a un sito identico a quello dell’intermediario. Dopo l’accesso, veniva contattato telefonicamente da un falso operatore che lo induceva a disinstallare l’app bancaria. Successivamente, i truffatori registravano un nuovo dispositivo, modificavano l’e-mail e deviavano le comunicazioni, riuscendo a eseguire un bonifico di rilevante importo verso terzi. Il cliente scopriva l’operazione solo reinstallando l’app, proponeva ricorso all’ABF – accolto – ma, a fronte dell’inadempimento dell’intermediario, è stato costretto ad avviare un’azione giudiziaria per ottenere la restituzione delle somme sottratte.

Nel valutare la fattispecie, il Tribunale richiama la disciplina contenuta nel d. lgs. n. 11/2010, emanato in recepimento della direttiva europea 2007/64/CE, c.d. PSD -Payment Directive, successivamente modificato dal D.lgs. n. 218/2017, entrato in vigore il 13 gennaio 2018, in attuazione della c.d. direttiva PSD2, evidenziando come tale normativa delinei un sistema di responsabilità fondato su un riparto dell’onere della prova coerente con i principi generali della responsabilità contrattuale. L’utente è tenuto a dimostrare l’utilizzo degli strumenti di pagamento in conformità al contratto, la tempestiva comunicazione alla banca in caso di smarrimento, furto, appropriazione indebita o uso non autorizzato del proprio strumento di pagamento, l’adozione di misure idonee a garantire la sicurezza e l’adeguata custodia dei dispositivi in dotazione, mentre grava sull’intermediario la necessità di assicurare che i dispositivi “non siano accessibili a soggetti diversi dall’utilizzatore legittimato ad usare lo strumento”. La normativa impone alla banca di adottare le misure più idonee, alla luce ed in linea con lo sviluppo tecnologico, volte ad impedire l’utilizzo abusivo dello strumento di pagamento. La decisione assume, infatti, particolare rilievo con riferimento alla Direttiva PSD2, n. 2015/2366/UE, recepita dall’Italia con d. lgs. n. 218/2017 che ha introdotto la c.d. “autenticazione forte del cliente”, ovverosia una procedura volta alla convalida dell’identificazione di un utente che si fonda sull’uso di due o più elementi di autenticazione (c.d. “autenticazione a due fattori”). Si tratta di elementi che debbono essere tenuti indipendenti tra loro, sì che un’eventuale violazione di uno di essi non comprometta necessariamente l’affidabilità degli altri (come ad esempio password o Pin, chiavetta o smartphone, o l’impronta digitale e il riconoscimento facciale).

Si aggiunga che, il d.lgs. n. 11/2010, agli artt. 10 e 12, pone a carico dell’intermediario l’onere di dimostrare che le operazioni disconosciute dal cliente e inerenti al conto corrente siano state autenticate, registrate e contabilizzate correttamente, che le stesse non abbiano subito gli effetti pregiudizievoli di un malfunzionamento delle procedure necessarie per la loro esecuzione e, infine, che l’utente non abbia impedito la verificazione della transazione illecita in violazione dei doveri comportamentali previsti a proprio carico, operando con dolo o colpa grave.

Grava, quindi, al correntista unicamente l’onere di dimostrare la fonte del proprio diritto e l’allegazione dell’abusiva utilizzazione dello strumento di pagamento in proprio danno operando in questa materia, anche in virtù del principio del rischio di impresa e della vicinanza della prova, la regola generale di ripartizione dell’onere della prova previsto in materia di responsabilità contrattuale agli artt. 1218 c.c. e 2697 c.c..

Il creditore che agisce per l’adempimento, la risoluzione e/o, come nella specie, per il risarcimento del danno deve, pertanto, esclusivamente provare la fonte del proprio diritto e allegare l’inadempimento di controparte, spettando al debitore la prova dell’esatto adempimento ovvero di fatti impeditivi, modificativi o estintivi del diritto altrui.

Inoltre, la sentenza n. 2950/2017 afferma che l’uso fraudolento dei codici di pagamento da parte di terzi rientra nel rischio professionale del prestatore di servizi di pagamento, purché non sia dovuto a dolo del

cliente o a condotte gravemente incaute e imprevedibili. Tale rischio è prevedibile ed evitabile mediante adeguate misure di sicurezza volte a verificare che le operazioni siano effettivamente riconducibili alla volontà dell’utente, anche al fine di tutelare la fiducia nel sistema di pagamento.

In più, la Suprema Corte ha chiarito che, nelle truffe tramite spoofing, la responsabilità della banca per operazioni elettroniche non autorizzate è esclusa solo in presenza di colpa grave del cliente (ad esempio, nel ritardo ingiustificato nel segnalare l’uso illecito dello strumento). Tuttavia, il rapporto è regolato dal regime della responsabilità contrattuale: il cliente deve provare solo il titolo del diritto e la scadenza, mentre la banca deve dimostrare il fatto estintivo della pretesa, ossia di aver adottato tutte le misure di sicurezza adeguate. Poiché la sottrazione dei codici tramite frodi rientra nel rischio d’impresa, la banca può andare esente da responsabilità solo provando il verificarsi di eventi imprevedibili e inevitabili, eccedenti l’ordinaria diligenza professionale (cfr. Cass. civ. n. 3738 del 12/02/2024, conf. a Cass. civ. sez. 1, n. 2950 del 3/2/2017; Cass. civ., sez. 3, n. 18045 del 5/7/2019; Cass. civ., sez. 6-3, n. 26916 del 26/11/2020).

Sulla scorta di tali principi, la responsabilità dell’istituto di credito può, quindi, escludersi o attenuarsi solo qualora nel comportamento del cliente sia ravvisabile un profilo di colpa grave il quale, con tutta evidenza, va rigorosamente provato dall’intermediario, chiamato in tal caso a fornire – come detto ed in ottemperanza ai principi dell’onere della prova in materia contrattuale – anche la dimostrazione di aver adottato ogni misura idonea a garantire la sicurezza del servizio offerto.

L’intermediario non ha, quindi, nel caso di specie, assolto gli oneri probatori previsti per l’esclusione della propria responsabilità contrattuale da inadempimento.

Volendo in ogni caso esaminare il comportamento dell’utente al fine di appurarne un’eventuale corresponsabilità, peraltro integrabile solo da colpa grave, è opportuno evidenziare che costante giurisprudenza arbitrale (cfr. in tal sensi il Collegio di Milano, decisione n. 5716/2023; Collegio di Torino, decisioni n. 3653/2023 e n. 16048/2022) ritiene che l’eventuale negligenza del cliente possa venire in rilievo solo qualora l’intermediario abbia fornito la prova piena della scrupolosa osservanza del sistema di SCA e della predisposizione di congegni di alert.

La fattispecie in esame è, infatti, qualificabile quale truffa realizzata tramite sms spoofing, misto a ID caller spoofing. Tale modalità di azione è considerata potenzialmente più decettiva ed insidiosa rispetto al comune phishing, che si ritiene possa essere, invece, contrastato con l’uso di una diligenza minima, in considerazione della sua diffusione e della generalmente scarsa idoneità a trarre in inganno i clienti.

Tale inquadramento fattuale rileva proprio ai fini della valutazione giuridica del comportamento posto in essere dal ricorrente notoriamente affermandosi che, allorquando il truffatore abbia adottato un sistema tecnicamente sofisticato, operi una presunzione di assenza della colpa in capo al soggetto truffato, “a meno che non si rinvengano indici di inattendibilità o anomalia del messaggio; in tale caso potrà essere ravvisato un concorso di colpa tra le parti in relazione, da un lato, alla negligenza grave dell’utente che agevola il compimento della truffa, similmente a quanto avviene negli episodi di phishing e, dall’altro lato, alle criticità organizzative del servizio di pagamento offerto dall’intermediario” (cfr. in tal senso ABF Roma 1° settembre 2022 n. 12005).

Ancora, nel fenomeno del c.d. spoofing il cliente “fisiologicamente” comunica a terzi truffatori le credenziali di accesso al proprio conto online; è, infatti, la modalità standard tramite la quale vengono compiute tali truffe, sicché la comunicazione a terzi delle credenziali di accesso al proprio conto può essere indice di colpa grave del ricorrente solo ove le modalità ed il contesto nel quale la comunicazione venga compiuta rendano la stessa espressiva di manifesta negligenza inescusabile (cfr. sul punto Tribunale di Milano, sez. VI, n. 322 del 18/01/2023).

Ebbene, ritiene il Tribunale di Monza che il ricorrente abbia tenuto comportamenti diligenti e idonei a evitare azioni truffaldine a proprio danno o, quantomeno, che non siano ravvisabili dei profili di colpa grave nel comportamento tenuto, condannando, così, la Banca al risarcimento dell’intera somma sottratta e non autorizzata.

Nel complesso, la sentenza si colloca in una linea evolutiva volta a rafforzare la tutela dell’utente nei servizi di pagamento digitali, confermando che l’autenticazione forte costituisce non solo un requisito tecnico, ma un vero e proprio parametro di valutazione della diligenza professionale dell’intermediario bancario.

La pronuncia valorizza, altresì, la crescente complessità delle frodi informatiche, limitando l’operatività della colpa grave del cliente alle sole ipotesi di macroscopica negligenza e contribuendo a delineare un modello di allocazione del rischio coerente con l’esigenza di garantire sicurezza, affidabilità e fiducia nel sistema dei pagamenti elettronici.