Primo Commento alla Sentenza del Giudice di Pace di Bari 1174/2020 in materia di phishing

Di Avv. Piero Mongelli – Ing. Andrea Pandurino

La Sentenza emessa dal Giudice di Pace di Bari, Avv. Fernando Lombardi, in data 21 luglio 2020 appare molto interessante poiché è la prima, nel panorama giuridico, che ha affrontato la responsabilità contrattuale della banca in materia di phishing, allorquando sia attivo il doppio livello di sicurezza rappresentato dal dispositivo a pin variabile denominato OTP.

Il Phishing è una vera e propria truffa in cui vengono sottratti con l’inganno dati riservati (quali ad esempio numero di carta di credito, password di accesso, OTP ecc.).

L’estorsione di tali dati è effettuata attraverso l’invio di una comunicazione (es. e-mail o SMS).

Tale comunicazione ingannevole è studiata ad arte in quanto spesso riproduce il logo contraffatto di un istituto di credito o di una società commerciale, e motiva tale richiesta con ragioni di ordine tecnico o contabile o contrattuale.

Il malcapitato destinatario sulla base della richiesta e preoccupato delle conseguenza di una sua Non-Risposta, accede al link fraudolento riportato nella comunicazione e fornisce le proprie credenziali in un sito web che esteriormente è identico al sito dell’istituto di credito ma in realtà è una sua copia gestita da criminali il cui scopo è di carpire le informazioni sensibili.

Al fine di evitare il proliferare di questa tipologia di truffa, ormai da tempo, molti Istituti di credito per i c.d. pagamenti elettronici si sono dotati di una doppio livello di autenticazione composto da due pin: il primo è in possesso del titolare della carta, il secondo è variabile ed è generato automaticamente di volta in volta per il tramite di un OTP o del cellulare, ovvero inviato via SMS al cellulare del titolare della carta.

Come detto, quella in commento, è la prima Sentenza che individua in materia di phishing una specifica responsabilità contrattuale dell’istituto di credito anche nel caso in cui lo stesso si sia dotato di un sistema di sicurezza a pin variabile.

Nella Sentenza in commento il Giudice di pace da atto, perché ciò risulta chiaramente dall’istruttoria documentale svolta, come l’attore abbia provato di essere stato vittima di phishing così come l’istituto convenuto ha provato che l’operazione oggetto di contestazione siano state assistite da un sistema di sicurezza “a due fattori” che, in qualche modo consentire di attribuire le stesse direttamente al titolare della carta.

Il Giudice di Bari, però, ha ritenuto tale prova non sufficiente a liberare l’Istituto di credito dalla propria responsabilità contrattuale ove si consideri che sin dal 2007 la Suprema Corte di Cassazione aveva stabilito il principio di diritto secondo cui “in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Ne consegue che, anche prima dell’entrata in vigore del D.Lgs. n. 11 del 2010, attuativo della direttiva n. 2007/64/CE relativa ai servizi di pagamento nel mercato interno, la banca, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuta a fornire la prova della riconducibilità dell’operazione al cliente”. Prova che, nella condivisibile visione del Giudice barese, suffragata da numerose decisioni sia di legittimità che dell’ABF, la banca può raggiungere solo provando “tutti i fatti idonei ad integrare la colpa grave del correntista”.

Appare quindi evidente che l’adozione del sistema del doppio binario, di per sé non è, da solo, un sistema idoneo a superare la primaria esigenza di garantire la fiducia degli utenti nella sicurezza del sistema di pagamento elettronico che è il vero ed ultimo obiettivo perseguito dallo stesso legislatore comunitario.

Al fine di superare la propria responsabilità la banca deve dimostrare non solo di aver adottato i migliori sistemi tecnici di tutela della correttezza dei pagamenti, ma anche che il titolare della carta, nell’ambito delle operazioni oggetto di contestazione abbia tenuto un comportamento “attivo” favorente, quanto meno con il criterio della colpa grave, l’utilizzo fraudolento del mezzo di pagamento.

Ed è proprio questo l’elemento, la mancata prova della colpa grave dell’utilizzatore che, in buona fede sia incappato in una situazione di phishing, che ha indotto il giudice di Pace di Bari a dichiarare la civile responsabilità dell’istituto di credito convenuto.

Peraltro, è stata recentemente la stessa Suprema Corte di Cassazione ad aprire la strada ad una siffatta condivisibile interpretazione della normativa, sia nel momento in cui ha affermato il principio che la sicurezza dei pagamenti rappresenta il perno centrale della legislazione di tutela, sia allorquando recentemente ha affermato il principio di diritto, pure citato nella Sentenza in commento, secondo cui “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa se ricorre una situazione di colpa grave dell’utente” con la logica conseguenze che ove tale colpa grave non sussiste e/o non è rintracciabile e/o non è provata dalla stessa banca in giudizio, il pagamento fraudolento rientra, inevitabilmente, nell’alveo della propria responsabilità contrattuale.

De iure condendo, anche traendo spunto dalla Sentenza in commento, potrebbe essere utile che il legislatore intervenga per rendere obbligatoria da parte degli istituti di credito una adeguata informazione ai propri clienti in merito ai potenziali rischi connessi all’uso delle carte di pagamento elettronico con particolare riferimento proprio all’operatività on line delle stesse. Ciò sarebbe ancor più valido se i risparmi che il settore bancario realizza nel trasferire on line il proprio rapporto commerciale con i clienti, fossero per l’appunto investiti in adeguate campagne e/o iniziative di informazione e tutela del cliente.

p.s.: si ringrazia l’Avv. Ettore Cardinali del Foro di Bari per la gentile segnalazione.