In caso di phishing bancario è a carico dell'istituto di credito la prova di avvenuta adozione delle misure di sicurezza della transazione telematica.
Tribunale di Catanzaro, sentenza 25 maggio 2021, n. 832
|
Una azienda calabrese riceve da un proprio cliente una comunicazione di posta elettronica contenente l'invito alla lettura di un documento allegato, poi rivelatosi vuoto. Successivamente, in occasione di un accesso al servizio telematico di gestione del conto corrente, riscontra la richiesta di aggiornamento delle password personali e provvede in tal senso. Accade di seguito che, in concomitanza con una richiesta di bonifico inoltrato telematicamente, l'amministratore rilevi la condizione di saldo passivo del conto ed è in questo frangente che individua una precedente operazione bancaria richiesta con modalità “urgente”, destinata ad un istituto bancario estero ed in favore di persona ignota alla società. L'importo prelevato con quell'operazione causa l'azzeramento dell'attivo all'epoca presente sul conto su cui residua una risicata somma. L'interessato si reca immediatamente presso la banca interessata che manifesta riserve in merito alla possibilità di forzare i livelli di sicurezza adottati per le transazioni telematiche. Fa seguito la denunzia presentata presso l'autorità di P.S. e la successiva richiesta di restituzione della somma che la società ritiene illegittimamente prelevata ma che non sortisce però alcun effetto al pari della procedura di mediazione a cui l'istituto di credito neanche si presenta. Viene quindi introdotta l'azione giudiziale preordinata a conseguire la condanna della banca al ripristino della situazione precedente il verificarsi del fatto illecito che si assume riconducibile all'inidoneità dei sistemi di sicurezza da quella utilizzati nella gestione dei servizi offerti on line. La domanda viene accolta dal Tribunale di Catanzaro con sentenza n. 832/2021 del 25 maggio 2021. |
|
La decisione emessa dal Tribunale di Catanzaro coinvolge numerosi profili che muovono dalla qualificazione giuridica dell'attività svolta della banca e si sviluppano attraverso interessanti considerazioni di informatica giuridica e sicurezza dei servizi telematici. L'estensore (dott.ssa Wanda Romanò) provvede, preliminarmente, a collocare la domanda proposta dalla società nella generale fattispecie delle vicende del rapporto contrattuale involgenti quindi la sua risoluzione, gli effetti del danno che si assume cagionato o la denuncia di inadempimento. In questo contesto viene individuato un livello elevato di responsabilità dell'operatore bancario (ancor più per il caso in cui egli metta a disposizione dell'utenza servizi telematici) che determina un differente onere probatorio processuale. Chi agisce – rileva il Tribunale - deve soltanto provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi all'allegazione della circostanza dell'inadempimento della controparte. Resta invece a carico del debitore convenuto (la banca) l'onere di provare il fatto estintivo dell'altrui pretesa mediante dimostrazione dell'avvenuto adempimento ovvero della sua impossibilità per causa a lui non imputabile (richiamando in proposito Cass. 12.04.2018, n. 9158; Cass. 3.02.2017, n. 2950). Si realizza, in definitiva, un'inversione dell'onere della prova che impone, nel caso dedotto in giudizio, l'obbligo della banca di fornire dimostrazione del corretto funzionamento dei sistemi adottati per l'esecuzione dell'operazione controversa, con ciò rispondendo al dovere di diligenza propria dell'attività specialistica e quindi non più rivolta all'ordinario comportamento del pater familias ma a quello proprio dell'operatore professionale (l'accorto banchiere) congenitamente esposto al rischio d'impresa da cui può essere esentato solo laddove riesca a dimostrare «…quanto meno in via presuntiva che le operazioni contestate dal cliente sono allo stesso riconducibili». Nel caso di operazioni bancarie telematiche, non soddisfa queste finalità la semplice adozione del sistema di autorizzazione c.d. a due fattori(password + codice OTP) ritenuta dal Tribunale presidio non idoneo a garantire la sicurezza delle operazioni, tanto più se non associata al servizio c.d. SMS-ALERT che la banca non deve limitarsi a mettere a disposizione del correntista, ma attivare in maniera generalizzata ed obbligatoria, pur restando salva la possibilità postuma dell'utente di non usufruirne volontariamente. Generalizzato, ma ancora più pressante in caso di operazioni telematiche, è poi l'obbligo della banca di assicurare un controllo sulle movimentazioni che rivelino apparenti anomalie quali quelle riscontrate nell'operazione oggetto del contendere e ravvisate dall'A.G.:
Ulteriore profilo è quello dedicato dal giudicante alla documentazione con cui la banca mira a dimostrare la riconducibilità dell'operazione ad opera della società correntista e consistente della stampa del c.d. “log di registro” e della rappresentazione fotografica dello schermo della c.d. “evidenza di bonifico”. La produzione non viene ritenuta però rilevante alla stregua del riscontro con quella parte delle disposizioni del codice dell'amministrazione digitale che definisce il concetto di “documento informatico” e la sua portata probatoria, limitandone la sua forza per il caso in cui il primo non venga fornito nella sua originaria natura digitale. La semplice stampa di un documento nativamente informatico o la sua semplice rappresentazione fotografica non consentono di realizzare quelle garanzia di sicurezza, integrità e immodificabilità, oltre alla riconducibilità all'autore che la legge indica come indispensabili. La decisione si completa quindi con la condanna dell'istituto di credito alla restituzione della somma illegittimamente prelevata, oltre accessori di legge e condanna alle spese del giudizio. |
|
La questione portata all'attenzione del Tribunale di Catanzaro attiene alla fattispecie del phishing bancario, figura ormai frequente nell'attività decisoria delle corti di merito e di legittimità in relazione al sempre maggiore uso dei servizi informatici bancari ed alla sempre più pervicace diffusione di questa tipologia di reato che colpisce, indifferentemente, tanto le persone fisiche quanto quelle giuridiche. La procedura informatica perviene solitamente insieme ad un messaggio di posta elettronica apparentemente affidabile perché proveniente da un account conosciuto al destinatario e comprensivo di un allegato che, se inavvertitamente attivato, permette all'hacker il controllo sulle operazioni dell'ignaro utente (tipico il reindirizzamento ad un indirizzo internet solo graficamente identico a quello originale ma in effetti realizzato dal malintenzionato) a cui il primo si sostituisce nella gestione di quelle attività richiedenti accesso tramite autenticazione. Il preoccupante diffondersi della fattispecie ha in qualche modo guidato l'elaborazione di una normativa comunitaria (Direttiva EU 2015/2366 anche nota come PSD2) preordinata a delineare norme più stringenti in materia di sicurezza bancaria, rispettose dei principi di massima trasparenza, sicurezza ed affidabilità, da realizzarsi mediante ricorso ad elementi tecnologici sempre più sofisticati per l'autenticazione dell'utente (si pensi ai sistemi di riconoscimento dell'impronta digitale). La situazione si colloca in quel particolare e specialistico contesto proprio dell'attività bancaria e che guida ormai univocamente la giurisprudenza di merito nella individuazione della qualificazione giuridica del soggetto che fornisce servizi telematici bancari, richiesto ad un elevato comportamento dell'accorto banchiere (bonus nummarius) e quindi alla particolare diligenza prescritta dall'art. 1176, comma 2, c.c. e produttivo della responsabilità di cui al successivo art. 2050, superabile solo mediante dimostrazione dell'attuazione di adeguate misure tecniche atte a garantire la sicurezza nello svolgimento di qualsiasi transazione. Vengono in tal modo definite le posizioni processuali delle parti in giudizio che trovano riscontro normativo nelle disposizioni di cui all'art. 10 del D.Lgs. n. 11/2010 nella parte in cui prevedono che «Qualora l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti», precisando di seguito (comma 2) che «Quando l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sè necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7.» Questi princìpi trovano attagliante rafforzamento nelle procedure eseguite con modalità telematiche che riducono ancora di più l'ambito di responsabilità del correntista, limitandola alle ipotesi di sua azione fraudolenta. In questo rigoroso contesto, condiviso dalla prevalente giurisprudenza di merito e legittimità, non appare sufficiente, anche per il Tribunale di Catanzaro, l'adozione del sistema a doppia autenticazione che la banca sostiene di aver messo a disposizione dell'utenza senza neanche provare la sua automatica e generalizzata attivazione. La sentenza, complessivamente aderente ai consolidati adagi giurisprudenziali, presenta una nota di originalità rivolta a un settore del diritto non sempre adeguatamente attenzionato. Il Tribunale infatti, trovatosi a valutare i contributi istruttori forniti dalle parti, esclude rilevanza probatoria ai documenti prodotti dalla banca convenuta che fondava la difesa sulla regolarità della procedura di bonifico e la sua riconducibilità alla società attrice, su una stampa ed una riproduzione fotografica di due documenti nativamente informatici. Rileva il giudice come questa tipologia di documento possa assumere forza probatoria solo se conforme alla definizione contenuta nel codice dell'amministrazione digitale (“rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti") perdendola nel caso in cui essa venga trasformata in documento analogico (rappresentazione non informatica), così come avviene con la stampa o la riproduzione fotografica, entrambi inidonei a conferire quell'autenticità riservata invece al documento informativo. In questo caso il requisito della forma scritta ed il suo valore probatorio rimarranno assoggettati alla libera valutazione in giudizio, tenuto conto delle loro caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità e si concludono con una valutazione discrezionale dell'estensore. Il rilievo ben si sposa con quei princìpi di prova recepiti ormai a livello internazionale, tesi ad affidare l'analisi informatica del documento elettronico a procedure di “indagine forense” piuttosto che alla mera trasposizione grafica del suo contenuto ed invita quindi il difensore ad una opportuna cautela nella predisposizione dei mezzi istruttori da utilizzare in giudizio. L'attenzione del Tribunale si estende, da ultimo, a scongiurare l'incontrollato ricorso agli automatismi delle procedure telematiche, predisponendo invece sistemi che consentano di allertare l'operatore, ancor prima dell'utente, sulla ricorrenza di anomalie di alcune movimentazioni che, nel caso in esame, erano rappresentati dalla tipologia del bonifico (URGENTE) dalla sua destinazione (banca estera), dall'entità dell'importo (superiore a 16.000.000 euro) e dall'effetto pratico che avrebbe determinato un pressocchè completo azzeramento di quel saldo attivo che la banca utilizzava per il prelievo mensile dei ratei di mutuo corrisposti dall'azienda. |
Tribunale di Catanzaro, sentenza 25 maggio 2021, n. 832
Svolgimento del processo / Motivi della decisione
La società ha adito il Tribunale di Catanzaro deducendo di aver occasionalmente riscontrato in data .... l'avvenuta esecuzione di un'operazione bancaria consistita in un bonifico annotato come "urgente" sul proprio conto corrente n. .... , per un importo di € .... disposto in favore di tal ......, apparentemente collocato a Londra.
Trattandosi di operazione non riconducibile al l.r.p.t. né ad alcun componente della società, essendo sconosciuto il beneficiario del bonifico, essa attrice provvedeva a sporgere la relativa denuncia presso la locale stazione di Polizia e chiedeva, senza posit ivo r iscontro, i l rimborso delle somme in questione alla Banca Nazionale del Lavoro S.p.a.
Dedotta, pertanto, la responsabilità della Banca convenuta per l'omessa adozione di adeguati presidi tecnici di sicurezza atti a scongiurare la forzatura dei servizi telematici con illecito prelevamento, chiedeva che la Banca Nazionale del Lavoro S.p.a. venisse condannata al pagamento, in suo favore, della somma di € .... oltre interessi legali e rivalutazione monetaria e con vittoria di spese.
Si costituiva in giudizio la Banca Nazionale del Lavoro S.p.a. eccependo l'infondatezza dell'avversa pretesa della quale chiedeva il rigetto.
Ciò posto, ritiene il giudicante che la domanda attorea sia fondata e che, pertanto, possa trovare accoglimento.
Ed invero, in primo luogo deve essere rilevato che, vertendosi in materia di responsabilità contrattuale, il creditore che agisca per la risoluzione contrattuale, per il risarcimento del danno, ovvero per l'adempimento deve soltanto provare la fonte (negoziale o legale) del suo diritto ed il relativo termine di scadenza, limitandosi alla mera allegazione della circostanza dell'inadempimento della controparte, mentre il debitore convenuto è gravato del onere del la prova del fatto estintivo dell'altrui pretesa, costituito dall'avvenuto adempimento ovvero dall'impossibilità di adempiere per causa a lui non imputabile (cfr., ex plurimis, Cass. 12.04.2018, n. 9158; Cass. 3.02.2017, n. 2950).
Applicando tali coordinate al caso di specie, pertanto, spetta alla Banca convenuta l'onere di fornire la prova del corretto funzionamento del proprio sistema, con particolare riferimento al servizio bancario mediante collegamento telematico, considerato che l'Istituto di credito è al riguardo tenuto ad osservare un grado di diligenza valutabile non sulla base del criterio del pater familias ma dell'operatore professionale, quale è l'accorto banchiere.
Peraltro, tale servizio rientra nel rischio d'impresa per cui sulla Banca grava una responsabilità da cui può andare esente, ove si verifichino situazioni come quella dedotta nel presente giudizio, solo ove essa riesca a provare quanto meno in via presuntiva che le operazioni contestate dal cliente sono allo stesso riconducibili.
Ebbene, nel caso di specie la Banca convenuta ha eccepito che l'attore era rimasto vittima di phishing, pur avendo essa regolarmente adempiuto ai doveri precauzionali, considerato che le operazioni effettuate tramite il servizio di home banking presuppongono obbligatoriamente l'inserimento del numero cliente, del codice PIN e del codice OTP, generato dal dispositivo in dotazione al cliente (c.d . TOKEN).
Ritiene, tuttavia, il giudicante che tale autorizzazione c.d. a due fattori non costituisca un presidio idoneo a garantire adeguatamente la sicurezza delle transazioni telematiche, considerato che in primis la Banca dovrebbe adottare automaticamente ed in modo generalizzato il servizio SMSALERT e non limitarsi a metterlo a disposizione del cliente in base alla volontà di quest'ultimo.
Si consideri, inoltre, che colposamente la Banca convenuta non ha valutato che nel caso di specie la movimentazione telematica era rivolta ad una banca estera senza compiere alcuna verifica sull'autenticità del richiedente e senza considerare che tale operazione avrebbe azzerato il conto corrente da cui la stessa Banca traeva il rateo mensile di mutuo della società attrice.
Condivide, inoltre, il giudicante quanto dedotto dalla società attrice in base al Codice dell'Amministrazione Digitale sulla irrilevanza probatoria dei documenti prodotti dalla Banca quali il "log di lavorazione" e l'"evidenza di bonifico", trattandosi di documenti nativi digitali dei quali è stata, in realtà, prodotta la mera stampa che è priva del valore probatorio del documento informatico.
Tanto premesso, la Banca Nazionale del Lavoro S.p.a. deve essere condannata al pagamento in favore della società della somma di € ....
Essendovi un ritardo imputabile a parte convenuta nell'adempimento, a titolo di mora, sulla somma di denaro complessivamente liquidata dovranno essere computati anche gli interessi nella misura legale dal dì del fatto illecito (15.11.2018) alla data di deposito della sentenza, per cui le somme vanno devalutate al momento dell'illecito.
Sulle somme così ottenute, di anno in anno si opererà la rivalutazione secondo indici Istat dal 15.11.2018 fino alla data di deposito della sentenza, data a partire dalla quale vanno computati gli interessi legali su quanto liquidato fino al soddisfo, ai sensi dell'art. 1282, 1 ° co., cc.
Le spese del giudizio, liquidate come in dispositivo in base al valore della controversia, seguono la soccombenza.
P.Q.M.
Il Tribunale, definitivamente pronunciando, disattesa ogni contraria istanza, così provvede:
accoglie la domanda attorea e, per l'effetto, condanna la Banca Nazionale del Lavoro S.p .a. al pagamento in favore della società della somma di € .... oltre interessi legali e rivalutazione monetaria come indicato in motivazione;
condanna la Banca convenuta alla rifusione, in favore della controparte, delle spese di giudizio, liquidate in € 264,00 per esborsi ed € .... - per competenze professionali, oltre rimborso spese generali, Iva e Cpa come per legge, con distrazione ex art. 93 c.p.c. in favore dell'Avv. (…).