Frode informatica: quando la banca è responsabile?

Le banche e le Poste sono responsabili di eventuali frodi informatiche e, dunque, sono tenute a risarcire i clienti a meno che la responsabilità per l’accaduto non sia totalmente imputabile a questi ultimi

Sempre più di frequente, negli ultimi anni, si sente raccontare di avvenimenti, che si verificano in internet, che vedono coinvolti spiacevolmente i correntisti, aventi tutti in comune la stessa prassi e natura fraudolenta. Invero, trattasi di tutti quei casi che si caratterizzano per l’invio di una email, con grafica affine a quella nota e consueta degli istituti di credito e postali, contenenti un link, il quale rinvia ad altro sito che fraudolentemente usurpa le credenziali.

Il malcapitato, ignaro della natura fraudolenta dalla mail, il più delle volte si trova ad accedere al link e ad inserire i propri dati (user e password), così come richiestogli di fare, con la conseguenza che le stesse vengono apprese ed usate per compiere operazioni sul conto senza, ovviamente, la sua autorizzazione, come ad esempio un bonifico. In tali casi, non affatto infrequenti, viene da sé chiedersi se siano configurabili profili di responsabilità della banca o se, diversamente, la responsabilità è solo rintracciabile in capo al titolare del conto per la condotta negligente impiegata.

Quando la banca è responsabile?

Se il cliente di un Istituto di credito o postale rimane vittima di una frode informatica (tecnicamente de cosiddetto phishing), la banca o la Posta sono responsabili per il fatto a meno che la frode non sia stata determinata dal dolo del titolare o sia imputabile a suoi comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Per comprendere meglio la questione può essere utile compiere qualche premessa in ordine al contenuto e alle caratteristiche della frode informatica e del phishing.

Frode informatica o phishing: cosa sono?

Iniziamo col dire che la frode informatica, oltre ad essere un fenomeno deprecabile e certamente causa di un danno patrimoniale, è altresì un reato [1]. In particolare, la norma penale punisce «chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la da cinquantuno euro a milletrentadue euro».

Il legislatore ha voluto inserire questo reato nel codice penale sia per offrire tutela al patrimonio individuale, sia per garantire il regolare funzionamento dei sistemi informatici e proteggere la riservatezza dei dati ivi contenuti e, dunque, punire le condotte dirette a minarne l’integrità.

In concreto la frode informatica consiste nell’accesso ad un server con l’obiettivo di clonare account di inconsapevoli utilizzatori del servizio, ottenere informazioni riservate, interferire sul funzionamento di un sistema informatico ed in molte altre condotte fraudolente dirette a far ottenere un ingiusto vantaggio. Lo sviluppo dell’e-commerce, dei traffici commerciali virtuali, delle transazioni bancarie online, poi, hanno sensibilmente contribuito all’incremento di queste forme di reati.

Nel dettaglio il phishing è un tipo di frode finalizzata a rubare l’identità di un utente. Si verifica quando un soggetto cerca di appropriarsi di informazioni quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali convincendo l’utente a fornirgliele con falsi pretesti. Le modalità con cui viene attuato generalmente consistono in condotte dirette a trarre in inganno l’utente, ad esempio tramite email che appaiono provenire da siti noti o in ogni caso fidati o finestre a comparsa.

Frode informatica: la responsabilità della banca

Il furto delle credenziali di accesso ad un conto corrente nonché delle password dispositive per eventuali bonifici o operazioni online determina il sorgere di una responsabilità della banca (o della Posta) che, per questo motivo, è tenuta a risarcire il cliente. Questo è quanto statuito recentemente dalla Cassazione [2] che ha accolto il ricorso di due correntisti di Poste Italiane che avevano chiesto la condanna dell’istituto al pagamento di una somma a titolo di responsabilità contrattuale o extracontrattuale. La Cassazione, in sostanza, ha così sancito in favore dei ricorrenti il diritto al ristoro delle somme perse a causa di un bonifico indesiderato di oltre 5mila euro partito dal conto senza l’autorizzazione dei suoi titolari.

La responsabilità della banca e, dunque, la necessità che la stessa ristori il danno patito dal cliente è sostenuta dai giudici di piazza Cavour sulla scorta del principio del cosiddetto “rischio professionale“.  In sostanza, sostiene il Collegio che, in tema di responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.

Nella sentenza della Cassazione si legge, infatti, che «in tema di responsabilità della banca in caso di operazioni effettuate con mezzi elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni all’effettiva volontà del cliente, la possibilità di un’utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo».

Proprio in virtù di tale orientamento, la Cassazione ha ribaltato quanto dettato nei gradi precedenti e riconosciuto la responsabilità dell’istituto bancario per un’operazione effettuata sul conto di un proprio correntista, quale quella di un bonifico a terza persona per lo più a quest’ultima sconosciuta, non autorizzata, mediante la sottrazione delle credenziali di accesso al sistema online, dallo stesso non fornite.

Da ciò deriva che la banca, cui è richiesto un alto grado di diligenza tecnica (da valutarsi con il parametro dell’accorto banchiere), per andare esente da responsabilità è tenuta a fornire la prova della riconducibilità dell’operazione al cliente, al suo dolo o alla sua incuria. In sostanza, la responsabilità dell’Istituto di credito è sempre sussistente a meno che lo stesso non riesca a dimostrare l’incauta trasmissione delle password da parte del titolare a mail sospetta e sconosciuta e, dunque, la riconducibilità dell’operazione al cliente stesso.

La decisione della Cassazione è figlia del nostro tempo. La battaglia volta a disincentivare l’uso del contante e ad agevolare i pagamenti elettronici (anche ai fini del contrasto dell’evasione del riciclaggio) impone di far sentire sicuri gli utenti del conto online e di “assecondare” le loro richieste di restituzione del denaro sottratto con addebiti non autorizzati sul conto. Anche se ciò è stato agevolato dall’«ignoranza informatica» dell’utente stesso. Pertanto la banca è tenuta a dotarsi di sistemi che permettano di verificare la riconducibilità delle operazioni alla volontà del cliente, evitando i rischi prevedibili, come la possibilità che estranei possano fare uso dei codici di accesso.