Phishing, responsabilità della banca e strumenti a tutela del correntista.

Il phishing è una tecnica di furto di informazioni sensibili quali codici di accesso, password, numeri di conto corrente, dati della carta di credito realizzata mediante uso di strumenti informatici.
L’espediente classico è l’invio di e-mail con contenuti grafici e testuali che richiamano quelli di istituti bancari, poste e servizi online di pagamento. L’utente è così indotto ad accedere a siti web creati ad hoc – all’apparenza identici a quelli dei veri prestatori di servizi di pagamento – e digitare credenziali e dati personali.
Meno frequente è l’invio di SMS ingannevoli oppure semplici telefonate.

Se il malcapitato “abbocca” il malintenzionato dispone dei dati che, il più delle volte, sono utilizzati per azzerare le giacenze su conti correnti e carte di pagamento.
In tali ipotesi, il D. Lgs. n. 11/2010, che ha recepito la Direttiva europea n. 64/2007 sui servizi di pagamento, offre importanti meccanismi di tutela per l’utente frodato.

Fermo restando che l’utente è sempre tenuto ad adottare la massima prudenza e custodire con diligenza dispositivi, carte, codici ecc. è a dirsi che l’intermediario (banche, poste, ecc.) è sempre gravato da uno specifico obbligo di diligenza professionale.
Deve cioè predisporre tutte le misure di protezione che siano adeguate agli standards tecnici esistenti ed alle disposizioni normative vigenti (A.B.F. Napoli, 26 gennaio 2016 n. 856).

Allorché l’utente ha conoscenza di un’operazione di pagamento non autorizzata o non correttamente eseguita sul proprio conto corrente gestito in home banking oppure attraverso utilizzo dei dati riferiti ad una carta di pagamento, ha diritto alla rettifica del conto (rimborso integrale), purché provveda alla tempestiva contestazione dell’operazione.
Le norme vigenti fissano il termine di 13 mesi dall’operazione per effettuarne la contestazione.

Una disposizione che consiglio di invocare sempre in questi casi è l’art. 11 del D. Lgs. n. 11/2010.
Notoriamente, infatti, gli intermediari richiedono tempo per rimborsare le somme illecitamente sottratte dal conto dell’utente. In realtà, la norma obbliga l’intermediario a rimborsare l’importo immediatamente e, in ogni caso, al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito”.
L’intermediario, cioè, a fronte della contestazione, non ha altra scelta che procedere all’immediato rimborso delle somme movimentate.

Tuttavia, il rimborso non impedisce all’intermediario di dimostrare, anche successivamente, che l’operazione fosse in regolare. In tal caso, l’intermediario potrà chiedere a sua volta al cliente di restituire l’importo rimborsato.

Sul tema della prova, l’art. 10 del D. Lgs. n. 11/2010 pone a carico dell’intermediario l’onere di dimostrare che l’operazione contestata sia stata correttamente eseguita, autenticata, registrata e contabilizzata.

L’intermediario deve dimostrare che l’operazione non sia stata frutto di malfunzionamento delle procedure per l’esecuzione dell’operazione. Deve dimostrare che l’utente ha agito con atti di frode, con dolo o colpa grave nella tenuta dei codici di accesso al conto ovvero nell’uso della carta di pagamento e degli altri strumenti connessi al suo funzionamento.

Sostanzialmente la banca può considerarsi esente da responsabilità solo dimostrando di avere adottato specifici meccanismi di tutela del cliente e, soprattutto, di avere adottato misure idonee a scongiurare il verificarsi di condotte fraudolente.

In argomento, l’orientamento della Corte di Cassazione (sentenza 3 febbraio 2017 n. 2950) pare oramai assestarsi sul principio per cui la responsabilità dell’intermediario, per operazioni effettuate a mezzo di strumenti elettronici, deve ricondursi nell’area del rischio professionale del prestatore dei servizi di pagamento prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente.

Inoltre, con la sentenza 23 maggio 2016, n. 10638, la Corte di Cassazione ha precisato che, in tema di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il D. Lgs. n. 11/2010, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, “l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio”.
Quest’ultimo deve rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, salvo che dimostri motivatamente un sospetto di frode e salva, naturalmente, la possibilità per il prestatore di servizi di pagamento di dimostrare che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere dall’utilizzatore la restituzione dell’importo rimborsato.

Consigli per prevenire il phishing
  • non aprire link contenuti nelle mail non richieste;
  • non aprire gli allegati delle mail non richieste o sconosciute;
  • proteggere user-id e password del conto on-line, il pin della carta di pagamento e non rivelarle a nessuno.
  • non fornire informazioni sensibili a nessuno via telefono, di persona o via mail;
  • controllare l’URL (indirizzo web) dei siti. In molti casi l’indirizzo web di una banca oppure di Poste Italiane;
  • tenere sempre aggiornati il filtro per le spam, anti-spyware, un anti-virus ed un firewall;
  • controllare costantemente il saldo disponibile sul conto, assicurandosi che non vi siano transazioni non autorizzate e che, nel saldo, tutte le voci risultino corrette.
Cosa dovresti fare immediatamente se sei vittima di attacco phishing e scopri transazioni non autorizzate sul conto

Qualora dovessi renderti conto di essere stato vittima di phishing e comunque, analizzando gli ultimi movimenti del conto, dovessi verificare la contabilizzazione di transazioni ed altre movimentazioni non autorizzate, è opportuno denunciare il prima possibile la circostanza all’autorità di pubblica sicurezza (Carabinieri, Polizia Postale ecc.), avendo cura di allegare alla denuncia copia del documento che dimostra la contabilizzazione di un’operazione non autorizzata (es. lista movimenti), e compilare l’apposito modulo di contestazione e disconoscimento delle operazioni che trovi rivolgendoti a qualsiasi sportello della banca di riferimento del conto o della carta di pagamento ovvero di Poste Italiane.

Stanti le norme richiamate in questo articolo, dal disconoscimento dell’operazione non dovrebbero più essere consentite movimentazioni dal conto. La carta di pagamento bloccata e sostituita con una nuova carta dotata di nuovi codici di utilizzo. Entro pochi giorni l’importo illecitamente sottratto dovrebbe essere integralmente rimborsate.