La responsabilità della banca nell’ambito delle frodi informatiche costituisce un tema di crescente interesse, anche alla luce di un’evoluzione interpretativa in senso favorevole al cliente.
Il phishing
Il phishing è una condotta illecita mediante la quale il c.d. phisher, attraverso l’invio di SMS o email apparentemente autentici, sottrae dati sensibili e informazioni personali – solitamente dati finanziari – al fine di accedere ai conti bancari di un soggetto ed appropriarsi indebitamente del suo denaro.
Tale tipologia di truffa è sempre più frequente e i Tribunali sono costantemente interpellati dai cittadini al fine di ottenere il risarcimento del danno derivante dal phishing.
Il problema essenziale è individuabile nell’impossibilità di rintracciare il phisher, trattandosi di un soggetto dotato di elevate competenze informatiche che “scompare” una volta effettuata la truffa.
Di conseguenza, la domanda risarcitoria del privato si rivolge nei confronti della banca, la cui responsabilità è diventata nel tempo di natura sostanzialmente oggettiva.
Le condizioni per la configurabilità della responsabilità in capo alla banca
Il cittadino vittima di phishing può rivolgersi all’ABF (arbitro bancario finanziario) ovvero alla giustizia ordinaria. Per andare esente da responsabilità, la banca dovrà provare che le operazioni contestate dal privato siano allo stesso riconducibili (per negligenza o dolo) e che il proprio sistema interno di misure tecnologiche sia concretamente idoneo – ergo tecnologicamente avanzato – ad evitare che soggetti terzi possano abusivamente “entrare” nei sistemi informatici della banca stessa.
L’istituto di credito, dunque, sarà obbligato a risarcire il danno al cliente a titolo di responsabilità oggettiva (ex multis, Cass. Civ. n. 9158/2018; ABF, Collegio di Bologna, decisione n. 5874/2022).
Qualora la banca non riesca a fornire tali prove, ai sensi dell’art. 11 del D. Lgs. N. 11/2010, sarà obbligata a rimborsare immediatamente l’importo dell’operazione.
La valutazione di questi elementi viene effettuata caso per caso, dal momento che può sussistere una responsabilità concorrente del cliente per negligente custodia dei codici di accesso. La prova della grave negligenza o del dolo deve essere comunque fornita dalla banca.
In particolare, quando il cittadino riceve un SMS o un’email sospetta, dovrà porre molta attenzione sul testo e verificare la presenza di eventuali errori grammaticali e/o spazi eccessivi tra le parole nonché la provenienza del messaggio. A titolo meramente esemplificativo, un messaggio con errori grammaticali, proveniente da un’utenza differente da quella della banca, difficilmente condurrà ad una condanna esclusiva di quest’ultima.