Una redazione di oltre 50 collaboratori, esperti delle tematiche che stanno a cuore alle imprese

Frodi informatiche bancarie: il correntista va tutelato

La banca risponde al correntista vittima di un furto di identità che ha subito una sottrazione non autorizzata dei denaro dal proprio conto di home banking.

Una recentissima pronuncia del Tribunale di Roma (sentenza n. 16221 del 31 agosto 2016) ha confermato il nuovo e chiarissimo orientamento indicato dalla Corte di Cassazione con la sentenza Cass, Sez. 1, Sentenza n. 10638 del 23/05/2016, che onera gli istituti bancari a dimostrare di essere esenti da colpa.

Il Tribunale di Roma ha condannato, infatti, due note banche on line alla restituzione di ben 110.000,00 euro ed al pagamento di 20.000,00 euro, per danni, in favore di un correntista frodato (difeso dagli avvocati Fabio di Resta ed Emiliano Vitelli, esperti di diritto delle nuove tecnologie).

Nel giudizio celebrato davanti al giudice romano hanno trovato piena applicazione il Codice Privacy ed il decreto legislativo n. 10/11 sui sistemi di pagamento on line, che impongono alle aziende – ed in particolare gli istituti bancari – di predisporre adeguati sistemi di sicurezza informatica.

Sulla base di dette norme il correntista può limitarsi a denunciare tempestivamente l’illegittima e non riconosciuta operazione bancaria.

Vediamo come si è svolta l’operazione criminale (c.d. Sim swap fraud).

I responsabili della frode hanno acceduto abusivamente al conto corrente online ed anno anche clonato la carta di identità della vittima; successivamente hanno carpito fraudolentemente il numero di cellulare del correntista e, grazie al documento di identità falso, mostrando una semplice autocertificazione di smarrimento, hanno ottenuto una nuova sim card sostituiva di quella del titolare del conto (che veniva quindi inabilitata in automatico). Con il medesimo documento falso aprivano, a nome della stessa vittima, un conto online presso un altro istituto bancario. Organizzate queste basi poi, in soli quattro giorni, hanno provveduto a cambiare la password dispositiva del conto della prima banca, hanno spostato l’ingente somma sul conto del secondo istituto di credito, per poi spacchettare il denaro verso ulteriori conti correnti.

Le responsabilità delle banche.

I frodatori hanno sfruttato le debolezze informatiche e procedurali dei due istituti di credito, i quali avrebbero potuto evitare e bloccare la frode applicando le leggi su indicate, nonché quella sull’antireciclaggio; avrebbero dovuto allinearsi alle migliori pratiche di sicurezza nell’ambito bancario e impiegare l’elevato livello di diligenza professionale richiesto in tale settore (e da tempo definito anche dalla giurisprudenza).

Il sistema informatico e i protocolli di sicurezza della banca presso cui il correntista aveva il proprio conto online si sono dimostrati estremamente fallaci (nonostante anche i numerosi documenti provenienti da Bankitalia che impongono di adottare serie ed efficaci misure di sicurezza).

Sintomatico è un passaggio della sentenza del Tribunale di Roma “[ndr la Banca convenuta] deduce che, poiché la scheda sim dell’attore era stata sostituita dagli ignoti truffatori, tale accorgimento [ndr l’invio di un avviso di sicurezza al cellulare] non avrebbe avuto alcun esito. A ben vedere tale argomentazione rappresenta un’ulteriore falla nel sistema, in quanto i problemi alla SIM dell’utente dovrebbero essere rilevati in automatico dal sistema con sospensione cautelativa dei movimenti in difetto di un assenso del titolare del conto”.

D’altra parte, anche l’istituto bancario presso cui veniva aperto il nuovo conto -sulla base della falsa carta di identità- si è dimostrato assolutamente inidoneo nell’applicazione di quanto previsto dalle stringenti norme in materia di antiriciclaggio. Lo stesso Tribunale di Roma, tra l’altro, ha sottolineato infatti che il documento di riconoscimento utilizzato “presenta[va] delle irregolarità macroscopiche”.

Conclusioni.

Purtroppo le frodi telematiche ed i furti di identità sono sempre più frequenti ed è necessario che tanto le istituzioni (pubbliche e privati) quanto gli utenti facciano sempre molta attenzione.

Sicuramente le banche sono gli obiettivi più frequenti, ma una complessa operazione di intrusione informatica potrebbe avere come obiettivo informazioni aziendali, anziché denaro.

Proprio per la delicatezza della materia e in considerazione del fatto che la parte debole è sempre il correntista, le norme richiamate prevedono che è onere del titolare fornire la prova di aver predisposto un sistema di sicurezza adeguato; soltanto in tal modo sarà possibile risultare esenti da responsabilità ed evitare il risarcimento dei danni.

Sul punto va infatti ricordato che il rispetto di tale impostazione diventerà fondamentale ed imprescindibile quando il Regolamento Privacy diventerà operativo nel 2018. La nuova legge sui dati personali, infatti, ha codificato il c.d. principio dell’accountability cioè della responsabilità e della prova in capo al titolare del trattamento.

Nel caso deciso dal Tribunale di Roma infatti il correntista frodato, aveva disconosciuto tempestivamente le operazioni illecite compiute sul proprio conto, denunciando l’accadimento dell’evento dannoso ed il danno sofferto. Da parte loro invece gli istituti bancari (proprio in applicazione della legge sulla privacy –D.lgs. 196/2003, del decreto legislativo sui servizi di pagamento nel mercato interno –D.lgs 11/10 e del codice civile art. 2050 –attività pericolose e 2049 –responsabilità dei padroni e committenti) non sono stati assolutamente in grado di provare che i loro processi aziendali si sicurezza informatica fossero efficaci. Anzi, come accennato, nel giudizio è emerso come fossero presenti molteplici debolezze.

Redazione

Redazione

Partecipa alla discussione