Frodi informatiche bancarie e responsabilità della banca

Le frodi informatiche bancarie — phishing, Business Email Compromise (BEC), SIM swap, vishing e smishing — rappresentano oggi una delle fenomenologie più diffuse di contenzioso tra correntista ed intermediario. Pongono un complesso problema di ripartizione del rischio, che il legislatore europeo — con la PSD2 — e quello nazionale — con il D.Lgs. 11/2010 — hanno disciplinato in modo dettagliato. Contrariamente a un diffuso convincimento, il quadro normativo vigente è assai meno favorevole alla banca di quanto si creda.

Il principio cardine

Il principio cardine è che l'operazione di pagamento non autorizzata dal cliente deve essere rimborsata dall'intermediario, salvo che quest'ultimo non fornisca la rigorosa prova della negligenza grave o del dolo del cliente. Il sistema riposa su tre pilastri: (i) l'obbligo della banca di adottare presidi di sicurezza adeguati, ed in particolare l'autenticazione forte del cliente (SCA) ex PSD2; (ii) il diritto del cliente al rimborso immediato dell'importo dell'operazione contestata; (iii) la rigorosa ripartizione dell'onere della prova, secondo cui spetta alla banca dimostrare che l'operazione è stata correttamente autenticata e che il cliente ha agito con colpa grave.

Le fattispecie ricorrenti

Nell'esperienza dello studio, le fattispecie ricorrenti possono ricondursi a tre tipologie. Il phishing classico, in cui il cliente è indotto, mediante comunicazioni apparentemente provenienti dalla banca, a inserire le proprie credenziali su un sito clone. Il Business Email Compromise, che colpisce le imprese: l'aggressore compromette la casella di posta del rappresentante legale ed altera i dati di bonifici già concordati con fornitori, dirottandoli su IBAN diversi. Il SIM swap, in cui l'aggressore ottiene la duplicazione della SIM della vittima, ricevendo così i codici di autenticazione e disponendo bonifici a suo danno.

I rimedi a disposizione del cliente

Il primo rimedio è il tempestivo reclamo alla banca, da ribadire per iscritto a mezzo PEC, e la contestuale denuncia all'autorità giudiziaria. Sul piano civile, l'azione tipica è la domanda di rimborso e di risarcimento del danno ai sensi del D.Lgs. 11/2010. La domanda può essere proposta dinanzi all'Arbitro Bancario Finanziario, nei limiti della sua competenza temporale e per valore, ovvero dinanzi al giudice ordinario. L'azione, in molti casi, conduce al rimborso integrale ovvero pressoché integrale dell'importo sottratto.

Considerazioni finali

Il quadro normativo vigente pone il cliente vittima di frode informatica in una posizione assai più tutelata di quanto comunemente si percepisca. La consapevolezza dei propri diritti, unita alla tempestività della reazione, è spesso decisiva per il buon esito del rimedio. Per le ragioni che precedono, chiunque sia rimasto vittima — o sospetti di essere stato vittima — di una frode informatica bancaria è ben consigliato a sottoporre il caso, senza indugio, al vaglio di un legale esperto della materia.

Lo studio è stato uno dei primi, in Italia, ad occuparsi della materia, come comprovato dalle pubblicazioni, dalla partecipazione a convegni sul tema e dai giudizi patrocinati sin da tempi non sospetti.