Diritto e Fisco | Articoli

Truffa su conto corrente online: la banca deve rimborsare?

25 Maggio 2022 | Autore:
Truffa su conto corrente online: la banca deve rimborsare?

Quando l’istituto di credito deve risarcire il correntista rimasto vittima degli hacker che hanno carpito le sue credenziali e prelevato somme di denaro.

Viviamo in un’epoca fluida, in cui, oltre ai movimenti delle persone, anche i trasferimenti di denaro sono diventati facili, almeno in apparenza: bastano un paio di clic dal proprio smartphone per effettuare pagamenti in qualsiasi esercizio commerciale e per movimentare somme anche consistenti, con bonifici, ricariche o altri metodi di accredito ai beneficiari. Le possibilità offerte dai conti correnti online sono vastissime ed anche molto comode, ma le truffe sono sempre in agguato e colpiscono nei modi più subdoli. C’è chi si trova il conto svuotato perché incautamente ha cliccato un link civetta su un messaggio che credeva affidabile: spesso si trattava di un invito apparentemente innocuo, pervenuto per posta elettronica o su WhatsApp, a verificare i propri dati o ad accedere a qualche offerta o promozione commerciale.

Ma in tutti questi casi di truffa su conto corrente online la banca deve rimborsare il malcapitato che ne è rimasto vittima oppure può tirarsi fuori da ogni responsabilità? In realtà su ciascuna delle parti del rapporto contrattuale, cioè sia sul cliente sia sull’istituto di credito del quale è correntista, incombono dei precisi doveri di diligenza, attenzione e custodia: si tratta, quindi, di ricostruire l’accaduto e di stabilire chi è venuto meno ai propri doveri e non ha esercitato la dovuta vigilanza sui propri dati. La sicurezza è un onere che compete anche all’utilizzatore dei servizi di home banking, ma la responsabilità della banca è tendenzialmente maggiore, in quanto essa è un operatore professionale ed attrezzato, dunque in grado di approntare i sistemi idonei per prevenire ed evitare le principali e più pericolose truffe online che possono colpire i propri correntisti.

Ecco perché attualmente quasi tutti gli istituti di credito richiedono ai propri correntisti che operano online l’autenticazione a doppio fattore, chiedendo la conferma delle operazioni su un altro dispositivo del cliente, come il suo smartphone: il messaggio di alert serve ad informare che qualcuno sta cercando di compiere una transazione sul conto corrente o sulle carte ad esso collegate, e prima di disporlo il correntista deve dare il suo ok, inserendo un apposito codice.

La responsabilità della banca per le truffe online ai propri correntisti

La legge [1] dispone che il prestatore di servizi di pagamento è tenuto a rimborsare un’operazione che non risulta autorizzata dal titolare del conto corrente o della carta. Se l’utilizzatore del servizio di pagamento nega di aver eseguito l’operazione e la disconosce, tocca al prestatore dimostrare che essa, invece, era stata regolarmente autenticata e inserita nel sistema e che non vi sono stati malfunzionamenti o indebite intrusioni e manomissioni. Quindi, nel caso del conto corrente online, se il correntista non riconosce come suo un movimento contabile registrato, l’istituto di credito è tenuto a provare che l’operazione era stata correttamente disposta ed autorizzata dal sistema informatico bancario.

La giurisprudenza afferma da tempo che sulla banca grava un preciso onere, chiamato «rischio d’impresa»: perciò essa di regola deve risarcire il correntista se un hacker con vari stratagemmi sottrae soldi dal suo conto, a meno che il cliente non versi in «colpa grave», ad esempio quando trascura per parecchio tempo di consultare i movimenti del conto corrente, che sono disponibili anche online.

Utilizzo fraudolento di codici di accesso al conto: la banca deve rimborsare?

L’ultima ordinanza della Corte di Cassazione intervenuta sul tema [2] ha affermato che «è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo».

In quella vicenda il titolare del conto corrente aveva negato di aver fornito a qualcuno le proprie password di accesso, di aver risposto ad e-mail sospette o di essersi collegato a link esterni fraudolenti. Così la Suprema Corte ha riconosciuto l’assenza di un comportamento colposo da parte del cliente che aveva subito un prelievo illecito di 1.100 euro ed ha condannato la banca a rimborsare tale importo.

Insomma, in caso di contestazioni tocca alla banca fornire la prova che l’operazione compiuta sul conto corrente era riconducibile al cliente anziché ad estranei, come gli hacker che si sono introdotti abusivamente nel sistema e hanno carpito in modo fraudolento o ingannevole le credenziali di accesso di uno o, come talvolta accade, più correntisti dello stesso istituto. Solo se risulta che il cliente è stato completamente incauto (ad esempio, se ha divulgato pubblicamente i propri codici di autenticazione e le password) e così ha consentito ad altri di operare sul suo conto corrente online, la banca non sarà responsabile delle sottrazioni di denaro.

Come avvengono le truffe sui conti correnti online

Le truffe sui conti correnti online si realizzano impossessandosi delle credenziali di accesso del correntista alla propria banca: essenzialmente, si tratta del nome utente e della password che gli consente di autenticarsi (dal pc o da un qualsiasi altro dispositivo dotato di connessione ad Internet, come un tablet o uno smartphone), ai servizi di home banking dai quali è possibile disporre tutte le operazioni. Se è prevista l’autenticazione a doppio fattore, l’hacker deve impossessarsi anche del codice di sicurezza (detto anche codice dispositivo) che il sistema invia con un messaggio al numero di cellulare del titolare del conto.

Tutto questo avviene solitamente attraverso uno stratagemma, attualmente molto diffuso: il phishing, che consiste in una richiesta inviata alla vittima – attraverso la posta elettronica o tramite i sistemi di messaggistica come WhatsApp e gli sms – abilmente camuffata in modo da sembrare proveniente dalla propria banca o da una società affidabile (compresi Enti pubblici, come l’Agenzia delle Entrate o il ministero della Salute). Il messaggio informa che c’è stato un problema tecnico e invita l’utente a collegarsi al link che per comodità viene fornito nel messaggio stesso. È una trappola: il collegamento rimanda a una pagina web truffaldina e, se l’utente inserisce le proprie credenziali, automaticamente esse vengono acquisite dagli hacker, che potranno utilizzarle per compiere movimenti non autorizzati sul conto corrente, fino a svuotarlo.

Una variante ancora più insidiosa è lo spoofing, che avviene con una telefonata o un sms proveniente da un numero mascherato che sembra corrispondere a quello della propria banca: così il correntista è più incline ad abbassare la guardia e a rivelare i codici. Quando la telefonata è vocale, il fenomeno prende il nome di vishing: qui il sedicente funzionario, con varie scuse (ad esempio un’anomalia del sistema informatico), chiede al cliente di fornire le proprie credenziali di accesso; subito dopo lo avverte che arriverà un messaggio con un codice e gli chiede di comunicare anche quello. In questo modo è bypassato anche il codice di sicurezza: l’hacker ottiene la conferma dell’operazione che nel frattempo ha compiuto sul conto corrente del titolare, rimasto ignaro del fatto che i suoi soldi sono stati prelevati o utilizzati per compiere acquisti o effettuare bonifici e ricariche.

Come difendersi dalle truffe sui conti correnti online

Una volta capito che è molto facile subire intrusioni degli hacker e che non è sempre altrettanto facile essere rimborsati dalla propria banca se si è stati troppo disattenti, rimane da vedere come difendersi dalle truffe sui conti correnti online. La prima raccomandazione è quella di non fornire mai a nessuno le proprie credenziali ed i propri codici di accesso, che sono strettamente personali; il secondo consiglio è quello di non cliccare mai su link sospetti e di dubbia provenienza, tenendo presente che la propria banca non inviterà mai i propri correntisti a inserire i propri dati su piattaforme esterne.

Per saperne di più, leggi anche questi articoli:


note

[1] D.lgs. n. 11/2010 e D.Lgs. n. 28/2017.

[2] Cass. ord. n. 16417 del 20.05.2022.


Sostieni LaLeggepertutti.it

La pandemia ha colpito duramente anche il settore giornalistico. La pubblicità, di cui si nutre l’informazione online, è in forte calo, con perdite di oltre il 70%. Ma, a differenza degli altri comparti, i giornali online non hanno ricevuto alcun sostegno da parte dello Stato. Per salvare l'informazione libera e gratuita, ti chiediamo un sostegno, una piccola donazione che ci consenta di mantenere in vita il nostro giornale. Questo ci permetterà di esistere anche dopo la pandemia, per offrirti un servizio sempre aggiornato e professionale. Diventa sostenitore clicca qui

Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube