Home
Network ALL-IN
Quotidiano
Specializzazioni
Rubriche
Strumenti
Fonti
27 maggio 2021
Civile e processo
Phishing bancario: a chi spetta provare la sicurezza della transazione bancaria?

In caso di phishing bancario è a carico dell'istituto di credito la prova di avvenuta adozione delle misure di sicurezza della transazione telematica.

di Prof. Avv. Fabrizio Sigillò

Tribunale di Catanzaro, sentenza 25 maggio 2021, n. 832

Il caso

ilcaso

Una azienda calabrese riceve da un proprio cliente una comunicazione di posta elettronica contenente l'invito alla lettura di un documento allegato, poi rivelatosi vuoto.

Successivamente, in occasione di un accesso al servizio telematico di gestione del conto corrente, riscontra la richiesta di aggiornamento delle password personali e provvede in tal senso.

Accade di seguito che, in concomitanza con una richiesta di bonifico inoltrato telematicamente, l'amministratore rilevi la condizione di saldo passivo del conto ed è in questo frangente che individua una precedente operazione bancaria richiesta con modalità “urgente”, destinata ad un istituto bancario estero ed in favore di persona ignota alla società. L'importo prelevato con quell'operazione causa l'azzeramento dell'attivo all'epoca presente sul conto su cui residua una risicata somma.

L'interessato si reca immediatamente presso la banca interessata che manifesta riserve in merito alla possibilità di forzare i livelli di sicurezza adottati per le transazioni telematiche. Fa seguito la denunzia presentata presso l'autorità di P.S. e la successiva richiesta di restituzione della somma che la società ritiene illegittimamente prelevata ma che non sortisce però alcun effetto al pari della procedura di mediazione a cui l'istituto di credito neanche si presenta.

Viene quindi introdotta l'azione giudiziale preordinata a conseguire la condanna della banca al ripristino della situazione precedente il verificarsi del fatto illecito che si assume riconducibile all'inidoneità dei sistemi di sicurezza da quella utilizzati nella gestione dei servizi offerti on line.

La domanda viene accolta dal Tribunale di Catanzaro con sentenza n. 832/2021 del 25 maggio 2021.

Il diritto

ildiritto

La decisione emessa dal Tribunale di Catanzaro coinvolge numerosi profili che muovono dalla qualificazione giuridica dell'attività svolta della banca e si sviluppano attraverso interessanti considerazioni di informatica giuridica e sicurezza dei servizi telematici.

L'estensore (dott.ssa Wanda Romanò) provvede, preliminarmente, a collocare la domanda proposta dalla società nella generale fattispecie delle vicende del rapporto contrattuale involgenti quindi la sua risoluzione, gli effetti del danno che si assume cagionato o la denuncia di inadempimento.

In questo contesto viene individuato un livello elevato di responsabilità dell'operatore bancario (ancor più per il caso in cui egli metta a disposizione dell'utenza servizi telematici) che determina un differente onere probatorio processuale.

Chi agisce – rileva il Tribunale - deve soltanto provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi all'allegazione della circostanza dell'inadempimento della controparte.

Resta invece a carico del debitore convenuto (la banca) l'onere di provare il fatto estintivo dell'altrui pretesa mediante dimostrazione dell'avvenuto adempimento ovvero della sua impossibilità per causa a lui non imputabile (richiamando in proposito Cass. 12.04.2018, n. 9158; Cass. 3.02.2017, n. 2950).

Si realizza, in definitiva, un'inversione dell'onere della prova che impone, nel caso dedotto in giudizio, l'obbligo della banca di fornire dimostrazione del corretto funzionamento dei sistemi adottati per l'esecuzione dell'operazione controversa, con ciò rispondendo al dovere di diligenza propria dell'attività specialistica e quindi non più rivolta all'ordinario comportamento del pater familias ma a quello proprio dell'operatore professionale (l'accorto banchiere) congenitamente esposto al rischio d'impresa da cui può essere esentato solo laddove riesca a dimostrare «…quanto meno in via presuntiva che le operazioni contestate dal cliente sono allo stesso riconducibili».

Nel caso di operazioni bancarie telematiche, non soddisfa queste finalità la semplice adozione del sistema di autorizzazione c.d. a due fattori(password + codice OTP) ritenuta dal Tribunale presidio non idoneo a garantire la sicurezza delle operazioni, tanto più se non associata al servizio c.d. SMS-ALERT che la banca non deve limitarsi a mettere a disposizione del correntista, ma attivare in maniera generalizzata ed obbligatoria, pur restando salva la possibilità postuma dell'utente di non usufruirne volontariamente.

Generalizzato, ma ancora più pressante in caso di operazioni telematiche, è poi l'obbligo della banca di assicurare un controllo sulle movimentazioni che rivelino apparenti anomalie quali quelle riscontrate nell'operazione oggetto del contendere e ravvisate dall'A.G.:

  • nella tipologia del bonifico, richiesto con urgenza, destinata ad un versamento su istituto di credito estero ma privo di alcuna verifica sull'autenticità del richiedente;
  • nell'irragionevole quanto improvviso azzeramento del conto corrente da cui la stessa banca traeva il rateo mensile di mutuo corrisposto dalla società attrice.

Ulteriore profilo è quello dedicato dal giudicante alla documentazione con cui la banca mira a dimostrare la riconducibilità dell'operazione ad opera della società correntista e consistente della stampa del c.d. “log di registro” e della rappresentazione fotografica dello schermo della c.d. “evidenza di bonifico”.

La produzione non viene ritenuta però rilevante alla stregua del riscontro con quella parte delle disposizioni del codice dell'amministrazione digitale che definisce il concetto di “documento informatico” e la sua portata probatoria, limitandone la sua forza per il caso in cui il primo non venga fornito nella sua originaria natura digitale.

La semplice stampa di un documento nativamente informatico o la sua semplice rappresentazione fotografica non consentono di realizzare quelle garanzia di sicurezza, integrità e immodificabilità, oltre alla riconducibilità all'autore che la legge indica come indispensabili.

La decisione si completa quindi con la condanna dell'istituto di credito alla restituzione della somma illegittimamente prelevata, oltre accessori di legge e condanna alle spese del giudizio.

La lente dell'autore

lenteautore

La questione portata all'attenzione del Tribunale di Catanzaro attiene alla fattispecie del phishing bancario, figura ormai frequente nell'attività decisoria delle corti di merito e di legittimità in relazione al sempre maggiore uso dei servizi informatici bancari ed alla sempre più pervicace diffusione di questa tipologia di reato che colpisce, indifferentemente, tanto le persone fisiche quanto quelle giuridiche.

La procedura informatica perviene solitamente insieme ad un messaggio di posta elettronica apparentemente affidabile perché proveniente da un account conosciuto al destinatario e comprensivo di un allegato che, se inavvertitamente attivato, permette all'hacker il controllo sulle operazioni dell'ignaro utente (tipico il reindirizzamento ad un indirizzo internet solo graficamente identico a quello originale ma in effetti realizzato dal malintenzionato) a cui il primo si sostituisce nella gestione di quelle attività richiedenti accesso tramite autenticazione.

Il preoccupante diffondersi della fattispecie ha in qualche modo guidato l'elaborazione di una normativa comunitaria (Direttiva EU 2015/2366 anche nota come PSD2) preordinata a delineare norme più stringenti in materia di sicurezza bancaria, rispettose dei principi di massima trasparenza, sicurezza ed affidabilità, da realizzarsi mediante ricorso ad elementi tecnologici sempre più sofisticati per l'autenticazione dell'utente (si pensi ai sistemi di riconoscimento dell'impronta digitale).

La situazione si colloca in quel particolare e specialistico contesto proprio dell'attività bancaria e che guida ormai univocamente la giurisprudenza di merito nella individuazione della qualificazione giuridica del soggetto che fornisce servizi telematici bancari, richiesto ad un elevato comportamento dell'accorto banchiere (bonus nummarius) e quindi alla particolare diligenza prescritta dall'art. 1176, comma 2, c.c. e produttivo della responsabilità di cui al successivo art. 2050, superabile solo mediante dimostrazione dell'attuazione di adeguate misure tecniche atte a garantire la sicurezza nello svolgimento di qualsiasi transazione.

Vengono in tal modo definite le posizioni processuali delle parti in giudizio che trovano riscontro normativo nelle disposizioni di cui all'art. 10 del D.Lgs. n. 11/2010 nella parte in cui prevedono che «Qualora l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti», precisando di seguito (comma 2) che «Quando l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sè necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7.»

Questi princìpi trovano attagliante rafforzamento nelle procedure eseguite con modalità telematiche che riducono ancora di più l'ambito di responsabilità del correntista, limitandola alle ipotesi di sua azione fraudolenta.

In questo rigoroso contesto, condiviso dalla prevalente giurisprudenza di merito e legittimità, non appare sufficiente, anche per il Tribunale di Catanzaro, l'adozione del sistema a doppia autenticazione che la banca sostiene di aver messo a disposizione dell'utenza senza neanche provare la sua automatica e generalizzata attivazione.

La sentenza, complessivamente aderente ai consolidati adagi giurisprudenziali, presenta una nota di originalità rivolta a un settore del diritto non sempre adeguatamente attenzionato.

Il Tribunale infatti, trovatosi a valutare i contributi istruttori forniti dalle parti, esclude rilevanza probatoria ai documenti prodotti dalla banca convenuta che fondava la difesa sulla regolarità della procedura di bonifico e la sua riconducibilità alla società attrice, su una stampa ed una riproduzione fotografica di due documenti nativamente informatici.

Rileva il giudice come questa tipologia di documento possa assumere forza probatoria solo se conforme alla definizione contenuta nel codice dell'amministrazione digitale (“rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti") perdendola nel caso in cui essa venga trasformata in documento analogico (rappresentazione non informatica), così come avviene con la stampa o la riproduzione fotografica, entrambi inidonei a conferire quell'autenticità riservata invece al documento informativo.

In questo caso il requisito della forma scritta ed il suo valore probatorio rimarranno assoggettati alla libera valutazione in giudizio, tenuto conto delle loro caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità e si concludono con una valutazione discrezionale dell'estensore.

Il rilievo ben si sposa con quei princìpi di prova recepiti ormai a livello internazionale, tesi ad affidare l'analisi informatica del documento elettronico a procedure di “indagine forense” piuttosto che alla mera trasposizione grafica del suo contenuto ed invita quindi il difensore ad una opportuna cautela nella predisposizione dei mezzi istruttori da utilizzare in giudizio.

L'attenzione del Tribunale si estende, da ultimo, a scongiurare l'incontrollato ricorso agli automatismi delle procedure telematiche, predisponendo invece sistemi che consentano di allertare l'operatore, ancor prima dell'utente, sulla ricorrenza di anomalie di alcune movimentazioni che, nel caso in esame, erano rappresentati dalla tipologia del bonifico (URGENTE) dalla sua destinazione (banca estera), dall'entità dell'importo (superiore a 16.000.000 euro) e dall'effetto pratico che avrebbe determinato un pressocchè completo azzeramento di quel saldo attivo che la banca utilizzava per il prelievo mensile dei ratei di mutuo corrisposti dall'azienda.

Documenti correlati