Furto di identità, hacker, bonifici non autorizzati e banche: quando scatta il risarcimento dei danni al correntista che ha visto svuotare il conto corrente a causa di phishing?
Truffa su internet: se l’hacker riesce ad entrare nel conto corrente della vittima e a svuotarlo, sfruttando l’inesperienza di quest’ultima, la banca è responsabile per non aver predisposto sistemi di controllo e di prevenzione ed è, pertanto, tenuta a rimborsare la somma sottratta al proprio cliente. È quanto chiarito dal Tribunale di Roma con una recente sentenza che riprende il solco delle pronunce della giurisprudenza maggioritaria e dello stesso Abf, l’arbitro bancario e finanziario.
Se è vero che la stessa mafia è passata dai campi coltivati a internet vuol dire che il web è un «mercato» più che florido per gli illeciti: lo sanno bene i titolari di conto corrente con accesso su internet (cosiddetta home banking) che, spesso, si trovano con addebiti sospetti. Per molti hackers è un gioco da ragazzi inviare virus a distanza, in grado di individuare i codici segreti per l’accesso allo sportello telematico dei risparmiatori. Username e password vengono scovati o perché il malcapitato cade nel tranello di una email esca (email che lo invita ad accedere al proprio conto online, fornendogli però un link errato che lo indirizza su una pagina in tutto identica a quella del proprio istituto di credito, ma costruita ad arte solo per carpire le sue credenziali di accesso) o perché apre allegati «malevoli», ossia contenenti virus(virus che sono poi in grado di rilevare, a distanza, i tasti da questi digitati sulla propria tastiera, ivi comprese le password di accesso).
Contro l’inesperienza dei propri clienti, però, la banca si deve elevare a garante e attuare tutte le misure che la tecnologia consente per evitare il rischio di prelievi illegittimi e frodi sul conto corrente ad opera degli hackers. Come? Ad esempio, subordinando il bonifico online a un codice contenuto in una chiavetta esterna e fisica (cosiddetto token di sicurezza) oppure facendolo subito seguire da un sms di conferma.
Ma non è tutto. Molte delle truffe avvengono mediante il cosiddetto furto d’identità. In pratica il truffatore ottiene, per vie mediate, gli estremi anagrafici della vittima e riesce a falsificare la sua carta d’identità con il nome e cognome. In questo modo attiva contratti, apre conti correnti o ottiene prestiti a nome dello stesso soggetto. Prestiti che – inutile dirlo – non vengono rimborsati.
Il correntista truffato, di fronte alla frode subita, deve chiedere il risarcimento dei danni alla propria banca. Lo può fare con una raccomandata a.r., ma, in caso di silenzio, può rivolgersi all’arbitro bancario e finanziario (che attua una procedura veloce e priva di costi, cui si può accedere senza avvocati) oppure al giudice.
Come di recente ha stabilito la Cassazione in materia di frodi bancarie, al correntista abilitato a svolgere operazioni online che agisca per l’abusiva utilizzazione delle sue credenziali informatiche, spetta soltanto la prova del danno riferibile al trattamento del suo dato personale.
L’istituto bancario risponde, invece, quale titolare del trattamento, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d’accesso del correntista, ove non dimostri che l’evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore.
Se il correntista riesce a provare il danno subito riferibile al trattamento del suo dato personale e disconosce le operazioni bancarie scatta sull’istituto bancario l’obbligo di dimostrare l’adeguatezza del proprio sistema informatico se non vuole risarcire i danni; in mancanza di tale ultima prova il correntista deve essere risarcito.
In pratica, la banca deve provare di aver adottato tutte le misure idonee a evitare il danno. Tra le sopra citate misure spiccano quelle di sicurezza previste dal Codice della privacy. In particolare la legge richiede sempre il rispetto di un onere di diligenza da valutare concretamente, sia «in relazione alle conoscenze acquisite in base al progresso tecnico», sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento.
La banca deve quindi provare l’adeguatezza del proprio sistema informatico.
Ad esempio, l’istituto può essere tenuto ad adottare un secondo sistema di autenticazione (tramite chiavetta esterna), oppure un sistema di allert di anomalie di movimenti di denaro rispetto alla pregressa normale operatività del cliente; o ancora un sistema di rilevazione di anomalie e problemi alla sim del cliente con relativa sospensione cautelativa dei movimenti in difetto di un assenso del titolare.
In ultima istanza, in caso di furti d’idendità, la banca deve essere pronta a richiedere spiegazioni o attivare controlli quando il truffatore rifiuti di attivare sul conto quei servizi standard, come un bancomat, la domiciliazione delle utenze o l’accredito di uno stipendio. La banca non può procedere all’identificazione del soggetto solo con la carta di identità (documento soggetto a facile contraffazione).
Sintetizzando, nel caso di frodi online con furti di identità la banca è tenuta a pagare i danni. Il correntista non può richiedere la restituzione dei soldi truffati nel caso di frodi con furto di identità solo nel caso in cui lo stesso sia responsabile di trascuratezze, errori, oppure quando sia autore della frode.
Fonte: La Legge per tutti
Studio Legale Roma, Furto, Internet, Studio Legale Roma, NomoLex Studio Legale, Studio Legale Roma, Studio Legale Roma, Avvocato Roma, Studio Legale Roma
Cookie | Durata | Descrizione |
---|---|---|
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category . |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Durata | Descrizione |
---|---|---|
sb | 2 years | This cookie is used by Facebook to control its functionalities, collect language settings and share pages. |
Cookie | Durata | Descrizione |
---|---|---|
fr | 3 months | Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin. |