Le evoluzioni delle strategie fraudolente che coinvolgono utenti e prestatori di servizi di pagamento, oltre ad affollare le segreterie tecniche dell’Arbitro Bancario Finanziario, giungono sovente all’attenzione delle corti di merito, le cui decisioni assumono connotati di cogenza e, di perciò, non possono essere ignorate.
Di recente, il Tribunale di Verona ha avuto modo di occuparsi e decidere di una controversia relativa ad una truffa su c/c online, rispondente al fenomeno del c.d. vishing, ossia del phishing (sottrazione fraudolenta delle credenziali di un servizio di pagamento) effettuato tramite il canale voice (di qui la crasi tra le due terminologie, voice + phishing = vishing). In buona sostanza, il mal capitato utente riceve una telefonata da un sedicente operatore della banca presso cui ha aperto un rapporto on line e, con la scusa di interventi necessari per asseriti malfunzionamenti del servizio, consegna a quest’ultimo le credenziali di accesso al proprio sistema di home banking, da cui poi vengono impartite istruzioni di pagamento a beneficio di utenti sconosciuti, depauperando così il saldo dell’utente.
Si tratta di una, tra le tante, tipologia di frode ormai conosciuta, rispetto alla quale sia gli istituti di credito, sia la Vigilanza hanno fatto e continuano ad effettuare formazione presso il pubblico, a scopo di prevenzione. Eppure, stando al numero dei ricorsi in ABF, il fenomeno risulta ancora ben diffuso, complice l’utilizzo di tecniche di raggiro sempre più raffinate (e.g. utilizzo di utenze di rete riconducibili alla banca).
Se da un lato, l’orientamento dell’Arbitro ha raggiunto una linea consolidata, ben rara è l’occasione di trovarsi innanzi a pronunce della giurisprudenza che, applicando puntualmente la normativa di riferimento (i.e. PSD2) giungono a soluzioni coerenti con il grado di rischio che gli operatori bancari possono ragionevolmente preventivare.
È questo il caso della recente sentenza del Tribunale di Verona (10 gennaio 2022), per l’appunto, che nel riconoscere la responsabilità dell’istituto di pagamento, e condannandolo alla restituzione delle somme sottratte al cliente dai frodatori, ha ricostruito il percorso valutativo alla stregua delle regole previste dal D.lgs. 11/2010, declinandone puntualmente la successione logica in termini di accertamento della responsabilità dell’intermediario. Nello specifico, il Giudice ha affermato che, in siffatto tipo di controversie, è onere della banca – che voglia andare esente da responsabilità verso il proprio cliente – dimostrare che:
(i) le operazioni di pagamento disconosciute dall’utente siano state autenticate, correttamente registrate e contabilizzate e che non abbiano subito le conseguenze del malfunzionamento delle procedure dell’intermediario;
(ii) la sicurezza degli strumenti di pagamento è conforme ai requisiti normativi e regolamentari ed alla migliore prassi;
(iii) l’uso indebito dello strumento di pagamento sia da ricondursi al comportamento fraudolento, doloso o gravemente colposo dell’utente.
Dati questi tre requisiti, il mancato assolvimento di anche uno solo di essi comporta la condanna della banca al risarcimento del danno patito dall’utente. E, nel caso di specie, l’intermediario non aveva dimostrato che l’accesso al sistema di home banking fosse autorizzato solo mediante la c.d. autenticazione forte, ossia mediante la combinazione di almeno due fattori di sicurezza, come da normativa europea e nazionale.
L’assenza di una procedura di autenticazione forte del cliente utente dei servizi di pagamento rende superflua anche l’indagine circa l’eventuale sussistenza di un comportamento fraudolento o gravemente colposo di quest’ultimo.
Scegli l’orario che preferisci e invia la tua richiesta: uno dei nostri professionisti sarà a tua disposizione per approfondire con te la questione.
