Abbiamo visto, nella prima parte dell’articolo, quali sono i limiti di responsabilità dell’Istituto di credito, nel caso in cui il cliente sia stato vittima di “phishing”, cioè di furto dei dati personali ed utilizzo fraudolento dell conto corrente.
La banca, come si desume dalla legislazione e dalla giurisprudenza, si esime dall’obbligo di risarcire il danno se dimostra che il cliente ha tenuto un comportamento negligente nel custodire i propri dati.
UN CASO DECISO DALL’A.B.F.
A questo proposito consideriamo ora una decisione dell’Arbitrato Bancario e Finanziario, in sigla ABF, organo istituito nel 2009 per dirimere stragiudizialmente le controversie tra istituti di credito e clienti in materia di operazioni bancarie senza finalità d’investimento; si tratta della pronuncia n. 4861 del 08.05.2017, il cui oggetto del contendere riguardava proprio un caso di phishing attuato mediante l’invio di mail, contente avviso di avvio di procedimento sanzionatorio da parte dell’istituto di credito presso cui il destinatario era titolare di conto corrente.
Il mattino seguente il correntista riceveva una telefonata dall’ufficio frodi della banca, con cui gli veniva chiesta conferma dell’effettuazione di un bonifico il giorno precedente; il correntista rispondeva negativamente, quindi la banca provvedeva a bloccare la disposizione di pagamento.
Troppo tardi, in quanto la somma bonificata era stata già incassata dall’autore dell’atto fraudolento, motivo per cui la vittima chiedeva il risarcimento dei danni alla banca.
MISURE DI SICUREZZA INFORMATICHE
Nell’esaminare la vicenda l’ABF accerta in primo luogo l’adozione, da parte dell’istituto di credito, di tutte le misure di sicurezza previste dalle leggi in materia e ritenute adeguate all’evoluzione tecnologica, in particolare l’utilizzo, per il cliente, sia di codici di accesso “statici” sia di una password “dinamica” o “usa e getta” (detta OTP, generata da un dispositivo token); inoltre era risultata adeguata anche la pubblicità antiphishing sul proprio sito internet, con cui erano state date opportune informazioni alla clientela.
NEGLIGENZA DEL CLIENTE
D’altra parte il cliente aveva adottato un comportamento ritenuto gravemente colposo e negligente, in quanto, nell’aprire la mail sospetta aveva digitato i propri codici d’accesso on line al conto, consentendo, in tal modo, il furto dei propri dati.
Nei casi in cui ciò avviene, precisa l’ABF, non opera la limitazione di responsabilità prevista all’art. 12 del d.lgs. 11/2010, che dispone che, salvi i casi di dolo o colpa grave nell’utilizzo dei propri dati, il cliente non può sopportare una perdita superiore a 150 €; nelle diverse ipotesi in cui è ravvisaileb un comportamento negligente – come nel caso specifico - o addirittura doloso da parte dell’utilizzatore tale limitazione non opera e la responsabilità ricade interamente su di lui.
CONCLUSIONI
Come bisogna comportarsi, dunque, nel caso in cui si sia stati vittime di phishing? L’ABI consiglia all’utente di attivare il servizio di avviso via sms per accorgersi subito di anomalie in caso di bonifici non autorizzati; nel caso di transazioni non volute di avvisare subito la banca e poi fare immediatamente denuncia alla polizia, in quanto prima si mette la banca in condizioni di intervenire più aumentano le possibilità di bloccare l’operazione.
A monte, una maggiore attenzione alle mail ricevute: qualsiasi banca o istituto di credito, o altro ente creditore, se intende comunicare avvisi di mora al cliente non lo fa attraverso posta elettronica ordinaria ma contattando telefonicamente il cliente prima e, in caso di perdurante morosità, inviando una raccomandata o una mail all’indirizzo di posta elettronica certificata.