La banca non rimborsa le somme sottratte alla vittima di phishing

Il Sole 24 Ore lunedì 15 gennaio 2024 di Giuseppina Satta

Se è provata l’imprudenza del cliente nel condividere i codici di accesso

La banca non deve rimborsare al cliente vittima di phishing le somme sottrattegli dal conto corrente se dimostra la sua condotta «fortemente imprudente» nell’aver comunicato al truffatore le credenziali di accesso. Lo ha precisato il Tribunale di Roma con la sentenza 16588 del 15 novembre scorso.

Il caso

A rivolgersi al tribunale è stato un cliente, che ha agito contro la banca presso la quale aveva attivato un rapporto di conto corrente con servizio di pagamenti telematici. Il cliente invocava il grave inadempimento contrattuale dell’istituto per non aver impedito – in assenza di adeguati sistemi di sicurezza – l’illecita captazione dei suoi codici di accesso al servizio di home banking e per aver consentito a terzi di sottrarre somme dalla sua carta di debito prepagata. Di qui la richiesta di rimborso.

La banca declinava ogni responsabilità, ritenendo che la truffa fosse stata realizzata in conseguenza della negligente condotta del cliente.

La decisione

Secondo il tribunale, il cliente non ha diritto a ottenere il risarcimento dalla banca. Questa ha infatti dimostrato di avere predisposto un sistema di autenticazione forte a doppio fattore per l’accesso al servizio di home banking (come previsto dal decreto legislativo 11/2010), consistente nell’utilizzo combinato di password statiche e password dinamiche utilizzabili una volta sola e generate dall’applicazione della banca installata sullo smartphone del cliente. Ma queste cautele sono state neutralizzate dalla condotta del cliente che, prima, si è collegato a un link contenuto in un messaggio (che sembrava inviato dalla banca), inserendo i codici di accesso al servizio di home banking; poi, ha comunicato al frodatore – che nel frattempo l’aveva contattato telefonicamente – anche le password variabili di accesso al conto, consentendo così il compimento della truffa. Infine, il cliente ha persistito nella sua condotta anche dopo aver ricevuto gli alert dalla banca circa l’imminente compimento delle operazioni dispositive.

Il tribunale ha quindi valutato il comportamento del correntista come «fortemente imprudente», anche tenuto conto che la banca aveva realizzato una massiccia campagna antifrode proprio concentrata sul fenomeno del phishing, esortando i clienti a non condividere con altri le credenziali di accesso al conto.

Per il tribunale, le frodi perpetrate mediante phishing sono talmente diffuse e note da rendere inescusabile la condotta dell’utente dei servizi di pagamento che decida di comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario.