Spoofing e truffe bancarie: implicazioni giuridiche alla luce della decisione ABF n. 2063/2024
Le frodi bancarie perpetrate attraverso tecniche di ingegneria sociale, come lo spoofing e il vishing, rappresentano un fenomeno in costante crescita. La recente decisione dell’Arbitro Bancario Finanziario (ABF) n. 2063 del 16 febbraio 2024 offre spunti di riflessione importanti sulla responsabilità delle parti coinvolte in questi illeciti.
Il caso di specie
La vicenda riguarda una frode perpetrata mediante un SMS fraudolento che si è inserito nella chat dei messaggi autentici provenienti dalla Banca (SMS spoofing), seguito da una chiamata telefonica da parte di un sedicente operatore bancario (vishing). La particolarità del caso risiede nella sofisticata combinazione di tecniche fraudolente utilizzate dai malfattori.
Il ricorrente ha denunciato di aver ricevuto un SMS apparentemente proveniente dal proprio intermediario bancario, che lo informava di un accesso sospetto e lo invitava a cliccare su un link per verificare l’attività. Dopo aver seguito il link e inserito le proprie credenziali, è stato contattato telefonicamente da un falso operatore bancario che lo ha indotto a effettuare ulteriori operazioni. Successivamente, il ricorrente ha scoperto che ignoti erano riusciti a eseguire pagamenti fraudolenti.
Il quadro normativo
La normativa di riferimento è il D.lgs. 27 gennaio 2010, n. 11, modificato dal D.lgs. 15 dicembre 2017, n. 218, in attuazione della direttiva PSD2 (UE 2015/2366). L’art. 10 del D.lgs. 11/2010 stabilisce che l’intermediario è tenuto a dimostrare che l’operazione contestata sia stata autenticata, registrata e contabilizzata correttamente.
Come evidenziato dalla recente giurisprudenza del Tribunale di Ragusa (sentenza n. 420 del 7 marzo 2024), la responsabilità della banca ha natura contrattuale e può essere esclusa solo in presenza di una colpa grave dell’utente.
Il prestatore di servizi di pagamento ha l’onere di provare che l’operazione disconosciuta dall’utente sia stata autenticata, correttamente registrata e contabilizzata, e che non abbia subito conseguenze da malfunzionamenti delle procedure necessarie per la sua esecuzione. L’utilizzo di uno strumento di pagamento registrato dal prestatore non è di per sé sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente, né che questi abbia agito in modo fraudolento o con colpa grave. Grava sulla banca l’onere di provare non solo di aver adottato tutte le misure idonee a evitare il danno e di aver osservato la diligenza qualificata propria dell’accorto banchiere, ma anche la riconducibilità delle operazioni disconosciute alla volontà del cliente o alla sua grave negligenza. La possibilità di sottrazione dei codici al correntista attraverso tecniche fraudolente rientra nel rischio d’impresa della banca, la quale può liberarsi dalla responsabilità solo dimostrando la sopravvenienza di eventi che si collochino al di là dello sforzo diligente richiesto.
Qualora l’istituto di credito, attraverso il proprio servizio antifrode, rilevi operazioni sospette e modifiche anomale all’utenza del cliente, ha l’obbligo di attivarsi tempestivamente bloccando non solo le carte di pagamento ma anche il servizio di home banking e il conto corrente del cliente, essendo altrimenti responsabile per le operazioni fraudolente successive alla scoperta dell’attività illecita. In tal caso, non è configurabile il concorso di colpa del danneggiato ex art. 1227 c.c. per le operazioni effettuate dopo la segnalazione al servizio antifrode della banca.
Decisione dell’ABF e principio del concorso di colpa
L’ABF ha rilevato che l’operazione contestata era stata autenticata tramite Strong Customer Authentication (SCA), includendo la validazione via notifica push e il riconoscimento biometrico. Tuttavia, ha anche riconosciuto la natura insidiosa dello spoofing, che sfrutta la capacità dei malfattori di inserire SMS fraudolenti nelle conversazioni ufficiali della banca.
Pur ribadendo che nelle ipotesi di spoofing non si ravvisa generalmente la colpa grave del cliente, l’ABF ha sottolineato che, nel caso di specie, l’utente avrebbe dovuto riconoscere alcune anomalie nel messaggio ricevuto, come errori grammaticali e un link non riconducibile all’intermediario. In virtù di ciò, il Collegio ha optato per un concorso di colpa tra banca e cliente, disponendo il rimborso del 50% della somma contestata.
La decisione rappresenta un importante precedente nella valutazione delle responsabilità in caso di frodi informatiche complesse, evidenziando l’importanza di un’attenta valutazione sia delle misure di sicurezza predisposte dall’intermediario sia della diligenza del cliente nella custodia delle proprie credenziali di sicurezza.
Implicazioni pratiche e giuridiche
La decisione conferma un orientamento giurisprudenziale consolidato in tema di truffe bancarie, ribadendo che:
1. L’onere della prova dell’autenticazione dell’operazione grava sull’intermediario.
2. Lo spoofing non implica automaticamente colpa grave del cliente, ma quest’ultimo deve comunque prestare attenzione a segnali di allerta.
3. Si applica il principio del concorso di colpa se il cliente non adotta condotte diligenti, come verificare l’attendibilità del link ricevuto.
Questa pronuncia evidenzia la necessità per gli intermediari di rafforzare le misure di sicurezza e le campagne di sensibilizzazione, al fine di prevenire truffe informatiche. D’altro canto, i clienti devono essere consapevoli dei rischi e adottare precauzioni nell’interazione con presunti operatori bancari. Il bilanciamento tra protezione del consumatore e responsabilità individuale rimane un tema centrale nel contenzioso bancario, in continua evoluzione con l’adattamento delle tecniche fraudolente ai nuovi strumenti digitali.
Se sei stato vittima di una frode bancaria o hai ricevuto un addebito non autorizzato, è fondamentale agire tempestivamente per tutelare i tuoi diritti. Lo Studio Legale Mandico, con esperienza nel diritto bancario e nella tutela dei consumatori, offre consulenza personalizzata per affrontare al meglio queste situazioni.
Se hai necessità di assistenza su situazioni similari o per altri tipi di frodi informatiche
Scrivici su Whatsapp