Risarcimento del danno da phishing e l’onere della prova: occorre tutelare la parte debole
Fa riflettere la recente sentenza n. 3295 del 14 aprile 2022 del Tribunale di Milano, una volta che l’istituto di credito ha fornito prova di aver correttamente operato in termini corretta contabilizzazione e autenticazione delle operazioni di pagamento, in contrasto con il dettato normativo, il giudice opera un’inversione dell’onere prova imponendo al correntista la dimostrazione che testo truffaldino del messaggio di phishing sia stato talmente insidioso da trarre inganno chiunque si trovasse nella stessa situazione secondo l’ordinaria diligenza dell’uomo medio, pertanto il giudice ritenendo che tale prova non sia stata fornita dall’attore rigettata integralmente la richiesta del correntista proposta nei confronti dell’istituto.
Tuttavia, l’attore aveva spiegato anche domanda di risarcimento del danno nei confronti della società telefonica (si trattava, infatti, di una Sim Swap Fraud ossia una frode commessa tramite richiesta falsa di duplicato della SIM del cliente), il giudice riteneva in questo caso che la contestuale richiesta di duplicato della SIM presso il gestore di telefonia fissa stata corredata con documenti grossolanamente falsi, atteso che il documento era emesso da un Comune diverso da quello di residenza e che era sottoscritto da un sindaco di altro Comune. Sulla base di queste circostanze il giudice ravvisava come fondata la richiesta di risarcimento nei confronti della società telefonica, individuando un’evidente negligenza nell’esaminare i documenti grossolanamente falsi presentati per la richiesta di duplicato della SIM intestata al cliente.
La sentenza de qua non è esente da censure a mio avviso, soprattutto per l’inversione dell’onere della prova impiegata in contrasto con il dettato normativo, infatti, l’onere nasce a favore della parte debole proprio perché il correntista (consumatore) si trovava evidentemente in una situazione di debolezza e che l’istituto di credito in un giudizio non può limitarsi a produrre solo i tracciati informatici con i log delle operazioni, perché il prestatore di servizio deve garantire la sicurezza complessiva dei servizi di pagamento e non limitarla a verifiche formalistiche.
Peraltro verso, l’altra asserzione appare in contrasto con una diffuso operato sul territorio nazionale, si tratta dell’asserzione per la quale un Comune diverso dal luogo di residenza non possa emettere una carta di identità al cittadino che ne faccia richiesta, infatti, la carta di identità potrebbe essere rilasciata in base al luogo nella quale è stata fissata dimora o domicilio, tralasciando il caso del cittadino senza fissa dimostra. Non è dato sapere inoltre se si trattasse di Carta di identità elettronica (CEI) oppure del documento cartaceo, qualora si fosse trattato di CEI si sarebbe potuto comunque chiede appuntamento e ottenere la carta di identità presso altro Comune, pervio rilascio del nulla osta da parte del Comune di residenza di cittadino. Per contro, quanto asserito nella sentenza è pienamente condivisibile per la diversa circostanza relativa all’anomalia che un terzo soggetto sindaco di altro Comune non avrebbe potuto sottoscrivere il documento di identità di un Comune diverso, ma avrebbe richiesto una diversa specifica attenzione anche sul timbro apposto. In tale contesto, è lecito pertanto sollevare, in base agli elementi emersi dal pronunciamento, qualche dubbio sulla piena grossolanità del falso. Ciò nonostante, il giudice condanna su questa prova considerata determinante, basata sul documento ritenuto falso grossolano, la società telefonica al risarcimento del danno per aver contribuito nella misura del 50% in concorso con la presunta condotta colpevole del correntista. Il correntista si trovava pertanto, a dover sborsare le spese processuali in base al principio di soccombenza nei confronti dell’istituto di credito e con solo il 50% del patrimonio versato sul conto corrente rispetto al totale importo sottratto dai malintenzionati.
Per quanto concerne l’onere della prova, più ragionevolmente, vanno invece in senso opposto altre pronunce del medesimo Tribunale meneghino meno recenti, come la sentenza n. 32 del 2020 del Tribunale di Milano in tema di phishing (in tal senso, anche il Tribunale di Milano, n. 5534, del 17 maggio 2018), a mio avviso pienamente aderente all’interpretazione letterale del dettato normativo di settore, anche in assenza di censura sulla condotta dell’istituto di credito nella gestione del servizio di internet banking, il quale per il sistema di internet banking ha previsto e operato tramite un sistema di autenticazione a due fattori, qualora si versi in un caso di phishing, la mancanza dell’acquisizione del testo della email di phishing costituisce un elemento probatorio favorevole al correntista non potendosi altrimenti attribuire allo stesso la colpa grave prevista dalla normativa.
In sostanza, si ritiene non condivisibile e in contrasto con la normativa quella interpretazione della normativa che si basa solo su presunzioni senza approfondire aspetti cruciali, come il monitoraggio dell’antifrode, aspetti previsti dalle normative di settore unitamente ai presidi di sicurezza anche organizzativa volti a verificare l’effettiva identità del correntista, limitarsi invece a chiedere solo i tracciati informatici e log di accesso al sistema di internet banking rappresenta sul piano logico giuridico ancora prima che sul piano pratico, una contraddizione con conseguenze nefaste per i clienti e per il settore bancario. Laddove, infatti, tutti gli istituti producano tali documenti in via ordinaria nelle varie sedi stragiudiziali e giudiziali, significherebbe semplicemente disapplicare la tutela normativa posta a tutela del cliente quali parti deboli.
Giova infatti ricordare che vi sono due normative rilevanti e specifiche, la normativa sui servizi di pagamento che tutela il cliente in ambito bancario e il regolamento sulla protezione dei dati, il tema cruciale è che i prestatori di servizi di pagamento, tra i quali gli istituti di credito, devono farsi carico delle perdite per le frodi bancarie, così dovrebbero essere in grado di monitorare tramite sofisticati sistemi antifrode progetti e gestiti in modo efficace (secondo un principio denominato antifraud by design), identificando e soprattutto gestendo in modo proattivo e per la migliore tutela del cliente qualunque operazione anomala, questo necessariamente richiede una specifica profilazione da effettuarsi anche in filiale al momento dell’apertura del conto corrente con dispendio di tempo ed energie da parte degli istituti di credito.
In particolare, sotto un profilo normativo da una parte vi è il decreto legislativo n. 11 del 2010, il quale prevede all’art. 7 che il cliente comunichi senza indugio l’operazione sospetta disconoscendo la stessa, ovviamente per disconoscerla il cliente dovrà esserne a conoscenza, inoltre, l’art. 12 prevede che solo il cliente che risulti che abbia agito in modo doloso o con colpa grave può farsi carico delle perdite dalle perdita derivante dalla frode, la dimostrazione del dolo e della colpa grave ricade necessariamente sull’intermediario bancario secondo il dettato normativo.
Accanto a questa normativa di settore vi è altra normativa sempre speciale, ed è la normativa sulla protezione dei dati personali, la quale impone che l’istituto di credito gestisca proattivamente i rischi connessi alla frode e pertanto anche all’accesso non autorizzato di terzi ai dati personali (solo se riferiti a persone fisiche) presenti nel conto corrente (Iban dell’ordinante e del beneficiario, la descrizione dell’operazione, oltre ai dati anagrafici e di contatto del titolare del conto).
Viene così imposto all’istituto di credito di adottare ogni misura adeguata a mitigare il rischio di frode, questo in base al combinato disposto degli artt. 24, 32 e 82 de GDPR, la mancanza di adeguate misure di sicurezza in linea con lo stato dell’arte, pertanto in linea con le migliori soluzioni disponibili sul settore di mercato, può comportare il risarcimento del danno da frode e anche in questo caso è prevista una tutela del cliente tramite l’inversione dell’onere della prova a favore dello stesso.
In un contesto di crescita esponenziale di attacchi informatici, la situazione non migliorerà nel prossimo futuro, occorre solo interpretare le normative di settore e applicabili in modo letterale, il rischio altrimenti è che i clienti di banca perdano totalmente la fiducia e scelgano strade alternative per custodire i propri risparmi affidandosi a strumenti più sicuri dell’ordinario conto corrente, questo può essere evitato elevando davvero i sistemi di autenticazione e soprattutto il monitoraggio già imposto con il provvedimento di Banca d’Italia del 2011 e successivamente con il Regolamento delegato della Commissione del 27 novembre 2017 n. 2018/389 divenuto applicabile dal 19 settembre 2019, previsto in diverse disposizioni per prevenire e mitigare i rischi di sospetta frode, in modo che il cliente venga avvisato delle anomalie con presidi efficaci e l’antifrode verifichi l’effettiva identità del correntista con applicativi, ma anche con procedure organizzative efficaci commisurate agli elementi di sospetta frode, non ultimo anche l’aspetto della formazione per personale preposto all’identificazione del cliente, tutti elementi spesso generati o comunque gestiti dal sistema antifrode ma senza un’efficace azione di contrasto o mitigazione del rischio.
Lo studio legale Di Resta lawyers è da un paio di decenni che tutela con successo correntisti vittime di frodi semplici e complesse con un team di avvocati e tecnici esperti del settore (https://www.direstalawyers.eu).
Articolo a cura di Fabio Di Resta
Fabio Di Resta. Esercita come avvocato principalmente nei fori di Roma, Milano e Latina. Dopo la specializzazione in Gran Bretagna in diritto dell’informatica in ambito comunitario, inizia l’attività di consulenza legale per società di primaria importanza in ambito nazionale ed internazionale riguardo la protezione dei dati personali e il diritto delle nuove tecnologie. In tale contesto ha maturato oltre 17 anni di esperienza sia per la consulenza legale che per la gestione dei contenziosi, ricopre attualmente la posizione di Responsabile della protezione dei dati personali (Data Protection Officer) prevalentemente per primari gruppo ospedalieri privati, nel settore trasporti, nei servizi tecnologici avanzati. In ambito contenzioso lo studio Di Resta Lawyers, di cui l’avvocato è titolare, può vantare importanti esperienze in ambito bancario, in particolare, gestendo con successo casi complessi di risarcimento del danno relativo all’internet banking a favore dei correntisti ( www.direstalawyers.eu ). Attualmente è docente universitario a contratto nel Master di II livello in “Competenze digitali per la protezione dei dati, la cybersecurity e la privacy” istituito presso il Dipartimento di management e diritto dell’Università Tor Vergata di Roma. Ricopre, infine, il ruolo di Presidente dal Centro europeo per la Privacy – EPCE associazione che coinvolge avvocati e tecnici specializzati di privacy e diritto delle nuove tecnologie www.europeanprivacycentre.eu.
https://www.ictsecuritymagazine.com/articoli/risarcimento-del-danno-da-phishing-e-lonere-della-prova-occorre-tutelare-la-parte-debole/