Navigare e acquistare online è ormai un’abitudine per milioni di italiani. E al crescere del numero degli acquisti di prodotti e servizi su internet, crescono anche le truffe in particolare su carta di credito e postepay. Pensare che a cadere nella trappola siano solo i consumatori meno esperti sarebbe un errore: le tecniche usate dai truffatori sono sempre più sofisticate. Vediamo in cosa consiste la truffa del phishing e come fare per chiedere e ottenere il rimborso da parte della propria banca e delle Poste.
Cos’è il phishing?
Questa truffa consiste nell’inviare false e-mail o falsi sms spacciandosi per enti di credito prestigiosi ad esempio una Banca o Poste Italiane , al fine di spingere la vittima ad inoltrare i propri dati personali, come numero della carta o della postepay e CVV. Il termine “phishing” in inglese vuol dire “pescare” ed è proprio quello che fanno i malfattori inviando tante e-mail in attesa che qualche vittima “abbocchi”.
La cosa migliore da fare è ignorare totalmente questi messaggi o in alternativa segnalarli alla Polizia Postale o alle altre autorità presentando una denuncia .
Tale truffa è stata favorita dallo sviluppo della home banking , la tecnologia che ci permette di effettuare on line diverse operazioni bancarie, come fosse una filiale, senza però il fastidio di doversi sorbire ore di fila agli sportelli delle banche fisiche. Oltre agli indubbi vantaggi, questa tecnologia nasconde delle insidie, essendo esposta ad attacchi informatici di ogni tipo da parte di malintenzionati interessati ai nostri risparmi. Una volta ottenuto l’accesso alla nostra app di home banking, infatti, per gli hacker sarà semplice prosciugare il conto corrente.
Cosa può fare la vittima della truffa di phishing per chiedere il rimborso della somma ?
La giurisprudenza ha da sempre precisato che, nell’espletamento dei servizi di pagamento tramite internet, le Poste o gli istituti bancari sono tenuti ad adottare tutte le misure tecniche idonee a garantire un adeguato standard di sicurezza, quando il cliente opera con questi sistemi di “home-banking”, effettuando dei pagamenti. Devono quindi adoperarsi, in modo da impedire l’accesso di soggetti non abilitati al sistema ed evitare danni ai clienti. (Cass. 19 gennaio 2016, n. 806 e Cass. n. 2950/2017).
Tale impostazione è stata ribadita dalla Corte di Cassazione con ordinanza n. 9158 del 12 aprile 2018 con la quale ha statuito che spetta all’ istituto di credito ( Banca o Poste Italiane) verificare la riconducibilità delle operazioni effettuate tramite home banking alla volontà del cliente, impiegando la diligenza dell’ “accorto banchiere” e che in mancanza il correntista deve essere risarcito.
La vicenda trae origine da un’operazione di bonifico compiuta mediante piattaforma di internet banking, in favore di individui sconosciuti al cliente. Cliente che, ovviamente, disconosce la transazione, affermando di non averla mai posta in essere.
La domanda di risarcimento da parte del correntista veniva tuttavia respinta dalla Corte d’Appello, secondo cui la controparte creditizia (Poste Italiane) aveva comprovato di essersi munita di un sistema di sicurezza, tale da impedire l’accesso ai dati personali del correntista da parte di terzi, con l’utilizzo di username e password.
In particolare la Corte d’Appello riconosceva la responsabilità del correntista che aveva inavvertitamente ceduto a terzi i propri dati di autenticazione.
Dal canto loro, proposto ricorso in Cassazione, i correntisti sottolineavano invece come la Corte d’Appello non avesse esaminato opportunamente il fatto che fosse stata disconosciuta l’operazione contabile di addebito operata sul conto corrente, e di contro avesse fondato le proprie motivazioni su valutazioni di tipo ipotetico della responsabilità dei danneggiati, senza provare, ad esempio, che i correntisti fossero stati effettivamente coinvolti in attività che avessero comunicato a terze parti i propri codici segreti.
Giunta in Cassazione, la vicenda ha un esito favorevole per i correntisti.
Nelle proprie motivazioni, infatti, gli ermellini ricordano come la Suprema Corte abbia più volte avuto modo di affermare – peraltro, sempre in cause che riguardano le Poste, e per fattispecie analoghe – che in materia di responsabilità della banca, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche per poter garantire la fiducia degli utenti nella sicurezza del sistema, è da considerarsi ragionevole ricondurre nell’area del rischi professionale del prestatore di servizi di pagamento (in questo caso, Poste Italiane, ma più generalmente gli operatori del sistema bancario), prevedibile ed evitabile mediante l’applicazione di specifiche misure che siano destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o comunque a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.
Alla luce di ciò, a quanto già rammentato con Cass. 3 febbraio 2017, n. 2950, e ancor prima dell’entrata in vigore del d.lgs. 11 del 2010, la banca – cui è richiesta una diligenza di natura tecnica da valutarsi con il parametro dell’accorto banchiere – è tenuta a fornire la prova della riconducibilità dell’operazione al cliente.
ll danneggiato e truffato, quindi, potrà agire in giudizio contro la propria Banca o la Posta , onde ottenere il risarcimento del danno di quanto indebitamente sottratto dal truffatore dal proprio conto corrente .
Pertanto al fine di ottenere il rimborso della somma il correntista è semplicemente tenuto ad allegare l’inadempimento e quindi disconoscere l’operazione e spetta invece alla Banca o alle Poste provare la riconducibilità dell’operazione al cliente.
Ciò a meno che l’evento non sia attribuibile a dolo del cliente o a comportamenti tanto incauti da non poter essere fronteggiati anticipatamente.
In mancanza di tale prova il correntista ha diritto ad ottenere il rimborso della somma sottratta dal conto.
Dovrà altresì la Banca o le Poste provare di utilizzare uno strumento di sicurezza adeguato al progresso tecnologico (ad esempio in molti casi di phishing le Poste Italiane sono state condannate al rimborso della somma prelevata indebitamente dalla postepay in quanto consentivano di poter effettuare pagamenti on line inserendo semplicemente user e password senza fornire ulteriori validi strumenti di sicurezza quali la chiavetta o l’invio di un messaggio sul cellulare prima di completare l’operazione).
Dovrà infine la Banca o le Poste provare di aver agito con la diligenza di natura tecnica da valutarsi con il parametro dell’accorto banchiere (ad esempio in altri casi la Banca o le Poste Italiane sono state condannate al rimborso della somma prelevata indebitamente dal conto o dalla postepay in presenza di bonifici molto sospetti perché indirizzati verso Paesi dell’Europa dell’Est o perché di importo elevato rispetto alla movimentazione bancaria del correntista).
