Diritto e Fisco | Articoli

La banca risarcisce se prelevano soldi dal mio conto?

15 Mar 2018


La banca risarcisce se prelevano soldi dal mio conto?

> Diritto e Fisco Pubblicato il 15 Mar 2018



Prelievi non autorizzati dal conto e accesso abusivo al sistema di home banking: la responsabilità è della banca se non dimostra di aver impedito giroconti e bonifici di criminali.

Hai scoperto che sul tuo conto corrente bancario online o su quello di Bancoposte sono  state fatte alcune operazioni che non hai mai autorizzato. Quasi sicuramente si tratta di un giroconto e di un bonifico eseguiti da un hacker, da qualche malintenzionato cioè che è riuscito a carpire la username e la password per l’accesso al tuo sistema di home banking. Bravo! anche tu sei caduto in un copione classico che ormai si ripete da molti anni: quello delle truffe per phishing. Di cosa si tratta?

Sono sempre più numerosi i casi di furti informatici dal conto corrente online: grazie a tecniche ogni giorno più evolute (per esempio le email con link contenenti malware) si ottengono le credenziali di accesso agli account di home banking e vengono prelevate somme di denaro. Di tanto parleremo in questo articolo cercando di rispondere al quesito che, normalmente, in tali casi ci si fa: la banca risarcisce se prelevano soldi dal mio conto?

Cos’è il phishing?

Il termine phishing sta a indicare una serie di tecniche volte a captare i dati e codici personali di carte di credito, bancomat e internet banking al fine di sottrarne i soldi.

Talora, la captazione dei dati telematici del correntista è frutto dell’attacco al sistema informatico dell’istituto di credito a opera di hacker che, riuscendo ad accedere alle banche dati, ottengono tutte le informazioni necessarie per operare illegittimamente sui conti dei malcapitati clienti. Il fenomeno è anche noto come «man in the browser» e consiste nella interposizione che il malware è in grado di operare tra il sistema centrale dell’intermediario e quello del singolo utente.

In tal modo, l’accesso al conto corrente del cliente avviene non attraverso i dati che quest’ultimo inavvertitamente fornisce quale vittima di phishing, ma direttamente dal sistema informatico dell’istituto intermediario.

Che cosa fare in questi casi?

Dopo aver scoperto di essere stato vittima di phishing è molto probabile che ti sarai rivolto subito alla tua banca o alle Poste Italiane (a seconda di dove hai il conto), chiedendo la restituzione dei soldi illegittimamente prelevati  dagli estranei. Ma la risposta che spesso viene data in questi casi è negativa: ad avviso di banca e posta, il sistema di accesso alle funzioni di home banking è consentito solo a chi è a conoscenza delle chiavi di accesso e, pertanto, le operazioni truffaldine vengono rese possibili dalla mancata custodia delle stesse da parte del legittimo titolare o da un incauto comportamento per aver aperto dei link malevoli o aver inserito le credenziali su qualche pagina fake. Insomma sei caduto in un tranello perché sei stato poco accorto e, dunque, la responsabilità non può essere dell’intermediario finanziario. A tuo avviso, il problema è proprio nella gestione del conto online che non impedisce accessi abusivi e che, comunque, non ti ha informato, almeno con un sms, dell’operazione illecita. Se lo avessi saputo per tempo, infatti, avresti avvisato subito la banca e bloccato l’home banking. Chi ha ragione? In caso di prelievi non autorizzati dal conto la banca deve ridare i soldi?

Cosa dice la legge

La legge sulla privacy obbliga i soggetti titolari del trattamento dei dati personali alla custodia e al controllo, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi da distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.

Cchiunque cagiona danno ad altri per effetto del trattamento dei dati personali, è tenuto al risarcimento dei danni.

Già dall’entrata in vigore del  codice privacy, dunque, era evidente il richiamo a una responsabilità aggravata del soggetto che abbia illegittimamente consentito l’uso di dati personali in proprio possesso.

Il recepimento della direttiva sui servizi di pagamento del 2007, in Italia avvenuta nel 2010 [2], ha ulteriormente definito gli obblighi degli istituti di credito al fine di favorire la diffusione di sistemi di pagamento elettronici e alzare i livelli di tutela dei consumatori. La normativa UE stabilisce che, quando l’utente di un servizio di pagamento nega di avere autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé sufficiente a dimostrare che l’operazione di pagamento sia stata autorizzata dal pagatore né che questi abbia agito in modo fraudolento o non abbia adempiuto, con negligenza grave o intenzionalmente, uno o più obblighi.

In tale contesto, dunque, è onere della banca provare la negligenza del cliente nella custodia delle proprie credenziali di accesso; diversamente sarà lo stesso istituto intermediario a dover restituire i soldi illegittimamente prelevati proprio in conseguenza dell’inadeguatezza presunta dei propri sistemi di sicurezza.

Cosa dice la giurisprudenza

La questione è stata decisa già numerose volte dall’Arbitro bancario e finanziario (un organismo conciliativo per le liti contro le banche) e dalla Cassazione. Proprio quest’ultima, di recente, ha fornito un’interpretazione favorevole al cittadino [1]. Ecco cosa è stato detto in questa occasione.

La Suprema Corte ha ribadito – secondo un orientamento ormai stabile in materia – che, in caso di truffa telematica, è la banca che deve dimostrare di aver fatto tutto il possibile, secondo il criterio della diligenza professionale, per scongiurare la frode servendosi di un sistema informatico adeguato ai rischi. Al correntista spetta solo dimostrare di aver subito il prelievo illegittimo e quindi il danno, mentre l’istituto di credito risponde delle conseguenze derivanti dal non essere stata in grado di impedire a terzi di introdursi illecitamente nel sistema telematico captando i codici d’accesso del correntista. In conclusione, se la banca vuole evitare la condanna deve dimostrare che il furto non le sia imputabile per trascuratezza, errore o frode del correntista o per forza maggiore. Insomma, deve provare che è stato il correntista a non conservare in modo diligente le credenziali

La giurisprudenza ha, ormai, una linea interpretativa a tutela del correntista: quest’ultimo può quindi chiedere alla banca la restituzione dei soldi illegittimamente prelevati dagli estranei.

La responsabilità della banca si fonda sul presupposto che spetti a lei (non al cliente) adottare tutte le misure tecniche per evitare il rischio di illegittime intrusioni, o almeno attivare gli strumenti di allarme per evitare il ripetersi delle truffe. Al cliente basta dimostrare di aver subito un prelievo dal conto online non autorizzato, mentre tocca alla banca dimostrare di aver fatto di tutto per evitare il furto.

note

[1] Cass. sent. n. 2950, 3.02.2017.

[2] Direttiva n. 2007/64/Ce (PSD) recepita con il D.Lgs. n. 11/2010.

Tribunale di Milano, Sez. IV civ., 4 dicembre 2014

L’istituto di credito che abbia omesso di adeguare gli standard di sicurezza dei sistemi informativi, non avendo adottato nel servizio di home banking quel sistema di autenticazione basato sugli OTP che all’epoca dei fatti costituiva uno standard consolidato per la tutela dei clienti delle banche dal phishing e dai programmi spia, è responsabile ai sensi dell’art. 1176 c.c. dovendo, ai fini dell’adempimento delle obbligazioni inerenti l’esercizio di un’attività professionale, valutarsi la diligenza con riguardo alla natura dell’attività esercitata.

Arbitro bancario finanziario, Collegio di Roma,

7 marzo 2014

Qualora l’intermediario disponga, nell’ambito del proprio sistema informatizzato di gestione dei conti correnti online, di un servizio di sms alert, ha altresì l’obbligo di attivarne l’utilizzo al singolo correntista, così che l’eventuale mancata attivazione del servizio costituisce un ulteriore indice della negligenza dell’intermediario medesimo nell’esecuzione della prestazione oggetto del contratto, gravando sull’intermediario l’obbligo di eseguire il contratto stesso attraverso lo svolgimento di tutte quelle attività strumentali che appaiano idonee a garantire l’interesse del cliente.

Cassazione civ., Sez. III, 4 marzo 2014, n. 5020

Ai fini della sussistenza della responsabilità dell’intermediario per i danni arrecati a terzi dai promotori finanziari nello svolgimento delle incombenze loro affidate occorre, ai sensi dell’art. 5, comma 4, legge 2 gennaio 1991, n. 1, e dell’art. 31, comma 3, D.Lgs. 24 febbraio 1998, n. 58, che il fatto illecito del promotore sia legato da un nesso di occasionalità necessaria con l’esercizio delle mansioni cui sia adibito.

Ne consegue che, ove l’investitore abbia incautamente comunicato al promotore i codici di accesso al proprio conto corrente, rendendo così possibile il fatto illecito di quest’ultimo, consistito nel compimento di indebite operazioni di bonifico, va esclusa la responsabilità dell’intermediario.

Arbitro bancario finanziario, Collegio di Milano,

10 febbraio 2014

L’art. 12, comma 3 D.Lgs. n. 11/2010 non può considerarsi applicabile quando l’operazione fraudolenta sia posta in essere mediante meccanismi di aggressione informatica particolarmente subdoli (e.g. cd. fenomeno “man in the browser”) e profondamente differenti dai “tradizionali” metodi di phishing.

Tale diversità, infatti, li rende capaci di sorprendere la buona fede anche di un pur normalmente attento fruitore del servizio, inducendolo quindi a cooperare inconsciamente nell’attuazione della stessa frode.

La condotta del cliente, dunque, in ragione delle modalità di compimento della frode, non può essere qualificata come dolosa o gravemente colposa.

Segue, perciò, a carico del prestatore di servizi di pagamento, l’obbligo di restituzione della somma sottratta, salva franchigia di legge.

Arbitro bancario finanziario, Collegio di Milano,

16 ottobre 2013, n. 5223

Grava sul prestatore di servizi di pagamento la prova di aver adottato i necessari presidi di sicurezza per gli strumenti di pagamento e la sussistenza di quell’elevato e abnorme grado di negligenza in capo all’utilizzatore, al ricorrere del quale possa imputarsi allo stesso a responsabilità delle conseguenze di un utilizzo fraudolento della carta rubata.

La prova della colpa grave può essere fornita anche per mezzo di presunzioni, purché queste, com’è noto, siano gravi, precise e concordanti secondo quanto dispone l’art. 2729 c.c.

Tribunale di Asti 3 settembre 2012, n. 472

La Banca deve essere condannata alla rifusione delle somme sottratte al cliente in seguito a una illecita intrusione nel servizio qualora non dimostri che il cliente abbia violato le norme di custodia delle credenziali di accesso e non offra, di contro, essa stessa idonea prova di aver adottato adeguati accorgimenti tecnici volti a tutelare la sicurezza del correntista o particolari cautele – doverose – in presenza di un ordine di bonifico con caratteristiche insolite rispetto all’ordinaria operatività del cliente.

Tribunale di Verona 2 ottobre 2011

Nell’ambito del servizio di home banking, il rispetto da parte del cliente delle norme di sicurezza sulla custodia delle credenziali per accedere al servizio è condizione necessaria ma non sufficiente per escludere la possibilità di intrusioni indebite da parte di terzi, intrusioni che possono essere causate da un insufficiente grado di protezione del servizio offerto dalla banca, a prescindere dai comportamenti negligenti del cliente.

È noto come, ai fini della valutazione della correttezza del comportamento e della responsabilità contrattuale dell’istituto di credito, non possa essere omessa la verifica dell’adozione, da parte della banca, delle misure idonee a garantire la sicurezza del servizio de quo atteso che la diligenza a carico del professionista ha natura tecnica e va valutata tenendo conto dei rischi tipici (clonazione dei dati) della sfera professionale di riferimento e assumendo, quindi, come parametro, la figura dell’accorto banchiere.

Non possono pertanto ritenersi sufficienti ad assicurare le opportune misure di sicurezza la modalità della consegna, all’attivazione del servizio, di un codice più utente e una prima password di accesso che il cliente è tenuto a modificare al momento del primo accesso.

Sul mercato esistono, infatti, numerosi dispositivi di più sicuro livello.

Il correntista non ha l’obbligo di controllare momento per momento le movimentazioni del suo conto, secondo la possibilità offertagli di servizio di home banking.

Infatti, il meccanismo di comunicazione dei dati del conto resta sempre affidato al periodico invio dell’estratto cartaceo.

Tribunale di Palermo, Sez. III civ., 12 gennaio 2010

La società che non abbia impedito a terzi di introdursi illecitamente nel conto corrente online di un cliente è responsabile ex art.15 D.Lgs. n. 196/2003, quale titolare del trattamento dei dati personali, del danno subito dal correntista e ne risponde ai sensi dell’art. 2050 c.c.

Inoltre, la previsione dell’art. 31 del D.Lgs. n. 196/2003, che impone che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, comporta che le Poste avrebbero dovuto adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, a prevenire danni, come quelli verificatisi in capo agli attori, non essendo sufficiente la non violazione di norme di legge, posto che la diligenza richiesta deve essere valutata con maggior rigore, atteso che la prestazione inerisce all’esercizio di un’attività professionale.

Cassazione civ., Sez. Unite, 19 dicembre 2007, n. 26725

Non è precontrattuale la responsabilità in cui incorre l’intermediario che compia operazioni in conflitto d’interesse, quando dovrebbe astenersene, ma si tratta invece di una vera e propria responsabilità da non corretto adempimento di obblighi legali facenti parte integrante del rapporto contrattuale d’intermediazione finanziaria in essere con il cliente: quindi di una responsabilità contrattuale.

Cassazione civ., Sez. I, 12 giugno 2007, n. 13777

La banca, svolgendo attività professionale, deve adempiere a tutte le obbligazioni, con la diligenza particolarmente qualificata dell’accorto banchiere, assunte nei confronti dei propri clienti, non solo con riguardo all’attività di esecuzione di contratti bancari in senso stretto, ma anche in relazione a ogni tipo di operazione oggettivamente esplicata (art. 1176 c.c.). Pertanto la banca risponde di tutti i rischi tipici della sua sfera professionale per la cui eliminazione non ha provveduto alla adozione di mezzi idonei (nella fattispecie è responsabile del prelievo fraudolento fatto con bancomat trattenuto dallo sportello automatico manomesso).


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI