Risarcimento del danno da phishing e l’onere della prova: occorre tutelare la parte debole
Fa riflettere la recente sentenza n. 3295 del 14 aprile 2022 del Tribunale di Milano, una volta che l’istituto di credito ha fornito prova di aver correttamente operato in termini di contabilizzazione e autenticazione delle operazioni di pagamento, in contrasto con il dettato normativo, il giudice opera un’inversione dell’onere imponendo al correntista la dimostrazione che il testo truffaldino del messaggio di phishing fosse stato talmente insidioso da trarre inganno chiunque si trovasse nella stessa situazione secondo l’ordinaria diligenza dell’uomo medio, pertanto il giudice, ritenendo che tale prova non fosse stata fornita dall’attore, ha rigettato integralmente la richiesta del correntista proposta nei confronti dell’istituto.
Tuttavia, l’attore aveva fatto anche domanda di risarcimento del danno nei confronti della società telefonica (si trattava, infatti, di una Sim Swap Fraud ossia una frode commessa tramite richiesta falsa di duplicato della SIM del cliente), il giudice riteneva in questo caso che la contestuale richiesta di duplicato della SIM presso il gestore di telefonia fossa stata corredata con documenti grossolanamente falsi, atteso che il documento era emesso da un Comune diverso da quello di residenza e che era sottoscritto da un sindaco di altro Comune. Sulla base di queste circostanze il giudice ravvisava come fondata la richiesta di risarcimento nei confronti della società telefonica, individuando un’evidente negligenza nell’esaminare i documenti grossolanamente falsi presentati per la richiesta di duplicato della SIM intestata al cliente.
La sentenza de qua non è esente da censure a mio avviso, soprattutto per l’inversione dell’onere della prova impiegata in contrasto con il dettato normativo, infatti, l’onere nasce a favore della parte debole proprio perché il correntista (consumatore) si trovava evidentemente in una situazione di debolezza e che l’istituto di credito in un giudizio non può limitarsi a produrre solo i tracciati informatici con i log delle operazioni, perché il prestatore di servizio deve garantire la sicurezza complessiva dei servizi di pagamento e non limitarla a verifiche formalistiche.
Peraltro verso, l’altra asserzione appare in contrasto con un diffuso operato sul territorio nazionale, si tratta dell’asserzione per la quale un Comune diverso dal luogo di residenza non possa emettere una carta di identità al cittadino che ne faccia richiesta, infatti, la carta di identità potrebbe essere rilasciata in base al luogo nella quale è stata fissata dimora o domicilio, tralasciando il caso del cittadino senza fissa dimostra. Non è dato sapere inoltre se si trattasse di Carta di identità elettronica (CEI) oppure del documento cartaceo, qualora si fosse trattato di CEI si sarebbe potuto comunque chiedere appuntamento e ottenere la carta di identità presso altro Comune, pervio rilascio del nulla osta da parte del Comune di residenza del cittadino. Per contro, quanto asserito nella sentenza è pienamente condivisibile per la diversa circostanza relativa all’anomalia che un terzo soggetto sindaco di altro Comune non avrebbe potuto sottoscrivere il documento di identità di un Comune diverso, ma questo elemento avrebbe richiesto una diversa specifica attenzione anche sul timbro apposto. In tale contesto, è lecito pertanto sollevare, in base agli elementi emersi dal pronunciamento, qualche dubbio sulla piena grossolanità del falso. Ciò nonostante, il giudice condanna su questa prova considerata determinante, basata sul documento ritenuto falso grossolano, la società telefonica al risarcimento del danno per aver contribuito nella misura del 50% in concorso con la presunta condotta colpevole del correntista. Il correntista si trovava pertanto, a dover sborsare le spese processuali in base al principio di soccombenza nei confronti dell’istituto di credito e con solo il 50% del patrimonio versato sul conto corrente rispetto al totale importo sottratto dai malintenzionati.
Per quanto concerne l’onere della prova, più ragionevolmente, vanno invece in senso opposto altre pronunce del medesimo Tribunale meno recenti, come la sentenza n. 32 del 2020 del Tribunale di Milano in tema di phishing (in tal senso, anche il Tribunale di Milano, n. 5534, del 17 maggio 2018), a mio avviso pienamente aderente all’interpretazione letterale del dettato normativo di settore, anche in assenza di censura sulla condotta dell’istituto di credito nella gestione del servizio di internet banking, il quale per il sistema di internet banking ha previsto e operato tramite un sistema di autenticazione a due fattori, qualora si versi in un caso di phishing, la mancanza dell’acquisizione del testo della email di phishing costituisce un elemento probatorio favorevole al correntista non potendosi altrimenti attribuire allo stesso la colpa grave prevista dalla normativa.
In sostanza, si ritiene non condivisibile e in contrasto con la normativa quella interpretazione della normativa che si basa solo su presunzioni senza approfondire aspetti cruciali, come il monitoraggio dell’antifrode, aspetti previsti dalle normative di settore unitamente ai presidi di sicurezza anche organizzativa volti a verificare l’effettiva identità del correntista, limitarsi invece, a chiedere solo i tracciati informatici e log di accesso al sistema di internet banking rappresenta sul piano logico giuridico ancora prima che sul piano pratico, una contraddizione con conseguenze nefaste per i clienti e per il settore bancario. Laddove, infatti, tutti gli istituti producano tali documenti in via ordinaria nelle varie sedi stragiudiziali e giudiziali, significherebbe semplicemente disapplicare la tutela normativa posta a tutela dei clienti quali parti deboli.
Giova infatti ricordare che vi sono due normative rilevanti e specifiche, la normativa sui servizi di pagamento che tutela il cliente in ambito bancario e il regolamento sulla protezione dei dati, il tema cruciale è che i prestatori di servizi di pagamento, tra i quali gli istituti di credito, devono farsi carico delle perdite per le frodi bancarie, così dovrebbero essere in grado di monitorare tramite sofisticati sistemi antifrode progettati e gestiti in modo efficace (secondo un principio denominato antifraud by design), identificando e soprattutto gestendo in modo proattivo e per la migliore tutela del cliente qualunque operazione anomala, questo necessariamente richiede una specifica profilazione da effettuarsi anche in filiale al momento dell’apertura del conto corrente con dispendio di tempo ed energie da parte degli istituti di credito.
In particolare, sotto un profilo normativo da una parte vi è il decreto legislativo n. 11 del 2010, il quale prevede all’art. 7 che il cliente comunichi senza indugio l’operazione sospetta disconoscendo la stessa, ovviamente per disconoscerla il cliente dovrà esserne a conoscenza, inoltre, l’art. 12 prevede che solo il cliente che risulti che abbia agito in modo doloso o con colpa grave può farsi carico delle perdite rilevanti dalla frode, la dimostrazione del dolo e della colpa grave ricade necessariamente sull’intermediario bancario secondo il dettato normativo.
Accanto a questa normativa di settore vi è altra normativa sempre speciale, ed è la normativa sulla protezione dei dati personali, la quale impone che l’istituto di credito gestisca proattivamente i rischi connessi alla frode e pertanto anche all’accesso non autorizzato di terzi ai dati personali (solo se riferiti a persone fisiche) presenti nel conto corrente (Iban dell’ordinante e del beneficiario, la descrizione dell’operazione, oltre ai dati anagrafici e di contatto del titolare del conto).
Viene così imposto all’istituto di credito di adottare ogni misura adeguata a mitigare il rischio di frode, questo in base al combinato disposto degli artt. 24, 32 e 82 de GDPR, la mancanza di adeguate misure di sicurezza in linea con lo stato dell’arte, pertanto in linea con le migliori soluzioni disponibili sul settore di mercato, può comportare il risarcimento del danno da frode e anche in questo caso è prevista una tutela del cliente tramite l’inversione dell’onere della prova a favore dello stesso.
In un contesto di crescita esponenziale di attacchi informatici, la situazione non migliorerà nel prossimo futuro, occorre solo interpretare le normative di settore e applicarle in modo letterale, il rischio altrimenti è che i clienti di banca perdano totalmente la fiducia e scelgano strade alternative per custodire i propri risparmi affidandosi a strumenti più sicuri dell’ordinario conto corrente. Questo può essere evitato elevando davvero i sistemi di autenticazione e soprattutto il monitoraggio già imposto con il provvedimento di Banca d’Italia del 2011 e successivamente con il Regolamento delegato della Commissione del 27 novembre 2017 n. 2018/389 divenuto applicabile dal 19 settembre 2019, impianto normativo che include disposizioni per prevenire e mitigare i rischi di sospetta frode, in modo che il cliente venga avvisato delle anomalie con presidi efficaci e l’antifrode verifichi l’effettiva identità del correntista con applicativi, ma anche con procedure organizzative efficaci commisurate agli elementi di sospetta frode, non ultimo anche l’aspetto della formazione per personale preposto all’identificazione del cliente, tutti elementi spesso generati o comunque gestiti dal sistema antifrode ma senza un’efficace azione di contrasto o mitigazione del rischio.
Lo studio legale Di Resta lawyers è da un paio di decenni che tutela con successo correntisti vittime di frodi semplici e complesse con un team di avvocati e tecnici esperti del settore (https://www.direstalawyers.eu).
Articolo a cura di Fabio Di Resta
Esercita come avvocato principalmente nei fori di Roma, Milano e Latina. Ha maturato oltre 19 anni di esperienza nella consulenza legale sulla protezione dei dati personali rivolta a grandi operatori economici, nel settore dei trasporti e nel settore bancario, attualmente è specializzato nell’ambito del servizio di Responsabile della protezione dei dati (Data Protection Officer per Gruppi Ospedalieri, Enti pubblici e primarie società di servizi tecnologici internazionali. Specializzato anche nell’ambito dei modelli di gestione e controllo 231 operando come componente di Organismi di Vigilanza 231 e sul diritto delle nuove tecnologie. Assiste aziende e PA per casi giudiziari specialistici in ambito bancario per aspetti connessi alla protezione dei dati e normative sui servizi di pagamento, il diritto delle nuove tecnologie, al diritto industriale e intellettuale, al codice dell’amministrazione digitale. Ha pubblicato con prestigiose oltre una decina di libri con note case editrici: “Privacy, Data Protection e Cybersecurity”, “Cybersecurity, Digital Forensics, Data Protection”, “Protezione delle Informazioni. Privacy e sicurezza”, “Insidie telematiche, Frodi e sicurezza”, La tutela dei dati personali nella Società dell’Informazione, “La nuova Privacy Europea”, “Il Fascicolo Sanitario Elettronico”. Pubblica su riviste anche internazionali come la rivista londinese “Journal of Data Protection and Privacy” nel quale è anche componente dei Board editoriale. Già docente presso l'Università Sapienza di Roma e l'Università Roma Tre, attualmente è Professore a contratto nell’insegnamento di “Cybersercurity e protezione dei dati personali”, presso la Facoltà di Giurisprudenza dell’Università Niccolò Cusano, inoltre, insegna come docente a contratto presso l’Università di Tor Verga di Roma nel master II livello in Competenze digitali per la cybersecurity, privacy e data protection, in tale ambito è coordinatore scientifico anche di diversi master, tra i quali, il Mater di II Iivello in specialista sulla Cybersecurity, Digital Forensics e Data Protection e quello di specialista sul Responsabile della protezione dei dati presso l’Università degli Studi Niccolò Cusano. Infine, ricopre il ruolo di Presidente del Centro europeo per la Privacy-EPCE.