L’Arbitro Bancario e Finanziario spesso si trova a decidere casi conseguenti a ricorsi esperiti da consumatori che lamentano di essere stati vittime del c.d. phishing, ovvero di quel tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile.
Questa attività fraudolenta viene effettuata, nella maggioranza dei casi, attraverso l’invio massivo di messaggi di posta elettronica o SMS che imitano messaggi legittimi di fornitori di servizi.
L’A.B.F., quando si è trovato a dover dirimere questo tipo di controversie, ha innanzitutto chiarito come il semplice fatto di aver allestito un sistema protettivo allineato agli standard del settore non sia di per sé idoneo ad esonerare da responsabilità il prestatore del servizio.
Infatti, è lo stesso Arbitro ad evidenziare una distinzione di non poca rilevanza tra le tecniche di phishing meno evolute, che consistono nell’aggiramento dei presidi di sicurezza attraverso metodi che il cliente, dispiegando un minimo di diligenza, è oggettivamente in grado di riconoscere, e le versioni più sofisticate della stessa tecnica, le quali, al contrario, non permettono all’utente medio di prendere alcuna contromisura.
Ancora differente è, poi, il meccanismo definito come “man-in-the-browser”, particolarmente difficoltoso da scoprire per un soggetto non esperto, caratterizzato dal fatto che un malware si annida in modo silenzioso nel computer della vittima rimanendo quiescente fino al momento in cui l’utente si collega ad un sito finanziario compreso fra quelli che il programma ha posto nel mirino.
Alla luce di quanto detto, le decisioni dell’A.B.F. si basano sulla valutazione circa la possibilità di ravvisare o meno in capo all’utente colpa grave, la quale molto spesso non viene riscontrata proprio in virtù delle sempre più avanzate e subdole tecniche messe a punto dai malintenzionati.
Tutto ciò fa sì che, in tali casi, l’intermediario rimanga comunque assoggettato al rimborso previsto dalla disciplina sui servizi di pagamento.
Prestando, dunque, attenzione alle pronunce maggiormente significative in tale settore, va sottolineato che, laddove il sistema informatico dell’intermediario sia a due fattori (ovvero un sistema che per l’autorizzazione delle operazioni on-line affianca all’inserimento del codice identificativo e della password, noti solo al cliente, un secondo sistema di autenticazione denominato OTP che genera una password monouso ogni 60 secondi di cui solamente il cliente deve essere a conoscenza e che deve essere correttamente inserita), si presume che l’intermediario abbia assolto i propri doveri probatori relativi agli obblighi su di esso gravanti ai sensi dell’art. 8, d.lgs. n.11/2010 e che il cliente si sia reso gravemente negligente in relazione al dovere di custodia e segretezza dei codici di accesso che consentono l’accesso ai servizi on-line e l’invio di ordini a valere sul conto allo stesso intestato.
Tuttavia, gli orientamenti del Collegio di Roma (decisione n. 2264/2012) e di Napoli (decisione n. 1583/2012), ricordano che, ai sensi dell’art. 10, co. 1 del d.lgs. n. 11/2010, il disconoscimento da parte del cliente dell’operazione fraudolenta implica l’inversione dell’onere probatorio, sicché è l’intermediario a dover dimostrare che l’operazione contestata è stata autenticata, correttamente registrata e contabilizzata. Nel caso in cui la banca non riuscisse specificatamente a provare ciò, si vedrà obbligata a corrispondere una somma a titolo di indennizzo.
Gli unici casi in cui l’intermediario sarà esonerato dal suddetto rimborso, sono quelli in cui sia comprovata la negligenza e/o colpa grave del correntista (si pensi ad es. ai casi in cui non si custodisca diligentemente lo strumento di pagamento e le relative informazioni sensibili, o al caso in cui il cliente sia vittima di una colpevole credulità in quanto portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario, nonostante i ripetuti inviti alla prudenza inviati da quest’ultimo).