di Giovanni Di Rella*
Purtroppo si verificano con una certa frequenza casi in cui, nel navigare in internet con il nostro smartphone, scarichiamo involontariamente software dannosi (malware o trojan) che sono progettati per infiltrarsi ed ottenere accessi non autorizzati, così da consentire ai terzi truffatori di eseguire pagamenti in proprio favore.
Qualche settimana fa il Giudice di Empoli si è occupato di uno di questi casi, escludendo la colpa grave del cliente correntista ed affermando invece la responsabilità della banca, che è stata condannata a rimborsare al cliente l’importo del bonifico non autorizzato di € 2.700,00 che era stato eseguito fraudolentemente ad insaputa dello stesso.
Ovviamente, sia prima che nel corso del giudizio la banca ha cercato addossare al cliente la responsabilità dell’accaduto, in quanto il bonifico era stato effettuato utilizzando le credenziali personali segrete che il correntista aveva l’onere di custodire diligentemente; pertanto, trattandosi di frode informatica, il cliente sarebbe stato negligente – a dire della banca – per aver incautamente scaricato un cd. software truffa che ha consentito al truffatore di carpire i codici/credenziali bancarie.
Il Giudice l’ha pensata però in modo diverso, ritenendo correttamente che “la mera circostanza che il pagamento risulti tecnicamente eseguito tramite le credenziali e il dispositivo del cliente non equivale a dimostrazione dell’autorizzazione, soprattutto in presenza di un contesto di frode informatica che ha consentito a terzi di operare all’insaputa dell’intestatario del conto”.
Il convincimento del Giudice si è basato su norme ben precise, contenute nella legge di attuazione della Direttiva CE relativa ai servizi di pagamento nel mercato interno (D. Lgs. n. 11/2010), che stabiliscono chiaramente che, in presenza di un’operazione disconosciuta dal cliente, è la Banca a dover dimostrare che il sistema di pagamento ha funzionato correttamente e che sono state adottate tutte le misure di sicurezza necessarie.
In altre parole, la norma inverte l’onere della prova: non è il cliente a dover dimostrare che non ha autorizzato l’operazione, ma è la Banca a dover provare che l’operazione è stata effettivamente autorizzata dal cliente, che il sistema di autenticazione era sicuro e non vulnerabile e che non vi sono stati malfunzionamenti o inconvenienti nelle procedure.
Nel caso in questione non solo la banca non è stata in grado di fornire tale (difficile) prova, ma la sua stessa difesa (solitamente analoga a quella di tutte le banche, in queste circostanze) “rappresenta una prova a favore del ricorrente”, come affermato dal Giudicante.
Infatti, se è vero che il truffatore – tramite una App terza incautamente installata dal cliente – ha avuto accesso al cellulare di questi, ha assunto il controllo del device ed ha quindi carpito le credenziali di accesso all’home banking, è altrettanto vero che ciò è stato possibile in quanto il Sistema di Autenticazione Forte della banca (Strong Customer Authentication – SCA) non era affatto sicuro e non ha impedito la frode.
In conclusione: se un sistema di sicurezza può essere aggirato da un malware relativamente comune (i trojan bancari sono purtroppo diffusi), allora quel sistema non è adeguato ai sensi della normativa vigente, come precisato anche dalla nostra Corte di Cassazione.
In particolare, poi, l’operazione fraudolenta presentava numerosi elementi che avrebbero dovuto far scattare immediatamente un allarme per la banca: il bonifico è stato disposto alle ore 04:46 del mattino, orario assolutamente inconsueto per qualsiasi operazione bancaria legittima; il beneficiario del pagamento era nuovo ed il suo IBAN era estero (Lituania); l’importo di € 2.700,00 rappresenta una somma significativa per una singola operazione da parte di un correntista privato.
Ecco che la banca avrebbe anche dovuto dimostrare che si fosse dotata di (adeguati) sistemi automatizzati di rilevamento delle operazioni anomale, quali algoritmi di intelligenza artificiale capaci di identificare transazioni sospette in base ai comportamenti abituali del cliente. Avrebbe quindi dovuto bloccare automaticamente l’operazione sospetta, chiedendo una verifica aggiuntiva al cliente prima di procedere all’esecuzione. Le truffe di ogni genere, come ben sappiamo, sono dietro l’angolo. Fortunatamente, ci sono molte tutele in nostro favore e di questo dobbiamo averne consapevolezza.
