Diritto e Fisco | Articoli

Truffa conto corrente: la banca deve rimborsare il cliente?

30 Maggio 2021 | Autore:
Truffa conto corrente: la banca deve rimborsare il cliente?

Caller id spoofing, phishing e accesso abusivo all’home banking: l’istituto di credito deve risarcire il correntista truffato dagli hacker?

Con l’avvento e la prepotente affermazione di Internet nella vita di ogni giorno è cambiato tutto, anche il modo di truffare le persone. Se un tempo si ricorreva a mascheramenti, finti corrieri e tentativi di raggiro “porta a porta”, oggi è possibile ingannare e frodare direttamente da casa: è sufficiente un computer e, a volte, un telefono per poter prosciugare il conto in banca di un’ignara vittima. Con questo articolo vedremo se, nel caso di truffa sul conto corrente, la banca deve rimborsare il cliente.

Sulla questione, è intervenuta di recente una decisione dell’Abf (Arbitro bancario finanziario) il quale, davanti alla truffa subita da un correntista, ha stabilito che l’istituto di credito di riferimento è tenuto a risarcire il proprio cliente se è dimostrato che la banca sapeva (o non poteva non sapere) che erano stati effettuati degli accessi abusivi sul conto della persona offesa. Insomma: la banca è tenuta al rimborso se non vigila correttamente sulle operazioni compiute dai propri clienti. Se l’argomento ti interessa, prosegui nella lettura: vedremo quando la banca deve risarcire il cliente nel caso di truffa sul conto corrente.

Truffa su conto corrente: come funziona?

Per truffare una persona titolare di un conto corrente occorre insinuarsi all’interno del profilo personale che permette al cliente di un istituto di credito di gestire il proprio conto direttamente da casa.

Si tratta del noto home banking, cioè della funzionalità che consente di pagare e, più in generale, di effettuare operazioni senza doversi recare fisicamente in banca o alle poste.

Per accedere ai servizi di home banking occorre essere a conoscenza non solo delle credenziali (nome utente e password), ma anche del codice di sicurezza (cosiddetto codice dispositivo) che il sistema invia mediante sms al numero di cellulare del titolare. Come ottenere tutto ciò?

In genere, i malintenzionati che accedono abusivamente al conto corrente altrui si avvalgono di due tecniche truffaldine: il phishing e lo spoofing. Analizziamole entrambe.

Phishing: cos’è?

Una delle truffe più diffuse è quella che consiste nell’inviare a un cliente un’e-mail con la quale si comunica che, a causa di un malfunzionamento o di un attacco hacker al proprio conto, occorre indicare le credenziali. Chiaramente, dietro il mittente della e-mail si nasconde un malintenzionato.

Più nello specifico, la truffa mediante phishing si svolge così: si riceve un’e-mail contenente il logo del proprio istituto di credito con la quale viene richiesto l’inserimento della password. Tutto farebbe pensare ad una comunicazione di servizio della banca o delle poste, ma in realtà non è così: il messaggio è mandato da un truffatore che si spaccia per l’istituto di credito. Ottenute le credenziali, il criminale entrerà nella pagina personale per operare con il conto corrente della vittima.

Spoofing: che truffa è?

Lo spoofing (o meglio, caller Id spoofing, in quanto presuppone l’utilizzo del telefono) è una truffa ancora più elaborata, mediante la quale il truffatore ottiene lo stesso risultato del phishing (cioè, le credenziali d’accesso) e, in più, riesce anche a farsi comunicare il codice di accesso temporaneo che il sistema invia in automatico sull’utenza mobile del cliente.

Lo spoofing è una tecnica fraudolenta che consiste nel modificare il numero del chiamante fingendo di essere un istituto bancario, al solo scopo di spingere gli interlocutori a comunicare le credenziali per poter accedere all’home banking ed effettuare indebiti prelievi.

In pratica, il truffatore, modificando il proprio numero di chiamata, riesce a spacciarsi in modo credibile per il dipendente della banca o delle poste, convincendo così la vittima a farsi riferire le proprie credenziali personali per l’accesso ai servizi di home banking.

Spesso, il truffatore, spacciandosi per l’istituto di credito, chiede queste informazioni con il pretesto che ci sia in atto un attacco hacker ai danni del conto corrente del cliente; per bloccare questo presunto accesso abusivo, il truffatore chiede al correntista di comunicare password e ogni altro dato utile.

Truffa conto corrente: la banca risarcisce?

Nel caso di truffa sul proprio conto corrente, l’istituto di credito è tenuto a risarcire il cliente raggirato? Secondo una recente decisione dell’Arbitro bancario finanziario [1], se la banca era a conoscenza del tentativo di truffa in atto e, ciononostante, non è intervenuta a tutela del cliente, è obbligata a rimborsare il correntista.

Il caso riguardava una persona vittima di caller Id spoofing che, contattato dal numero verde della propria banca, forniva tutte le credenziali e i codici di accesso temporaneo a un soggetto che, in realtà, altro non era che un truffatore. Così facendo, il conto veniva ben presto prosciugato.

La banca, prontamente informata, avviava le indagini del caso e, all’esito, non riteneva di riconoscere alcun ristoro alla vittima, costretta così a rivolgersi all’Arbitro bancario finanziario, organismo di risoluzione stragiudiziale delle controversie tra cittadini e istituti di credito.

Secondo l’Abf, la banca avrebbe dovuto nutrire sospetti circa la movimentazione del conto corrente già da alcuni accessi anomali effettuati dal truffatore all’interno del profilo personale del cliente.

Prima ancora del caller Id spoofing, il malfattore si era collegato al conto compiendo operazioni tipicamente riconducibili all’intrusione abusiva, quali l’accesso da un indirizzo IP mai utilizzato dal cliente, il cambio del Pin, il blocco delle notifiche via sms.

Insomma: già a cominciare da queste “operazioni preparatorie” commesse dal truffatore in vista del perfezionamento del raggiro finale, la banca sarebbe dovuta intervenire segnalando al cliente gli accessi sospetti.

La banca è dunque da condannare non per l’abusivo ottenimento delle credenziali da parte di terzi, ma per il mancato avviso al cliente della violazione delle sue credenziali.

È evidente che un cliente di media diligenza, ove fosse stato informato da parte della banca di questo accesso abusivo al suo conto online, avrebbe tempestivamente modificato le sue credenziali (soprattutto il Pin) e non sarebbe certo caduto vittima della frode successiva.

L’Abf, nella decisione in commento, ha affermato espressamente che, in caso di sospetto di frode, la banca deve adottare ogni misura che assicuri un effettivo controllo dell’identità del soggetto che ha eseguito l’operazione, ad esempio contattando direttamente il cliente e, qualora ciò non sia possibile, bloccando cautelativamente l’operazione.

La mancata adozione di misure di sicurezza adeguate per prevenire questo genere di rischi è considerata prova della negligenza della banca e, quindi, causa del concorso colposo dell’istituto di credito nella produzione del danno.

In conclusione, l’Abf censura i sistemi di sicurezza della banca, che considera corresponsabile del danno subito dal cliente e, in quanto tale, tenuta a rimborsare al correntista la metà delle somme sottratte dal truffatore.

Nello specifico, l’Abf ha ritenuto di fissare un concorso di colpa dell’intermediario nella misura del 50%. È stato quindi riconosciuto che la banca ha contribuito causalmente alla realizzazione dell’evento dannoso, che non può essere addossato in via esclusiva al cliente.

Le operazioni dispositive fraudolentemente poste in essere dal malfattore sono quindi state causate sia dall’ingenuità del cliente, sia dal malfunzionamento e dall’inadeguatezza dei sistemi di sicurezza della banca, sui quali si è innestata la colpa del cliente.

Conto corrente: chi deve provare la truffa?

La decisione dell’Abf è conforme al dettato normativo attualmente vigente.

Secondo la legge [2], qualora il cliente neghi di aver autorizzato un’operazione di pagamento, grava sull’istituto di credito l’onere di provare l’avvenuta autenticazione della medesima operazione, la sua corretta registrazione e contabilizzazione, nonché il mancato verificarsi di malfunzionamenti delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

Tale prova non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi sul medesimo gravanti, essendo onere dell’istituto di credito fornire la prova della frode, del dolo o della colpa grave dell’utente.

Nel caso di mancato assolvimento dell’onere probatorio di cui si è detto, l’intermediario è obbligato a riaccreditarne l’importo sul conto del cliente.

Ottenere il rimborso della somma di cui si sono impossessati i truffatori, però, non è facile. Nel caso sopra analizzato, il cliente è riuscito a provare la negligenza della banca, la quale avrebbe dovuto avvisarlo dei precedenti accessi abusivi alla propria area personale, rendendosi così colpevole dell’inganno che la vittima ha subito.


note

[1] Abf, decisione del 5 maggio 2021.

[2] Art. 10, d.lgs. 11/2010, come modificato dal d.lgs. 218/2017.

Autore immagine: canva.com/


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube