Sentenza shock: banca condannata a risarcire cliente vittima di phishing

Il Tribunale di Ragusa, con la sentenza n. 420 del 7 marzo 2024, ha condannato una banca a restituire al cliente, vittima di phishing, le somme sottrattegli dal conto corrente. Secondo il Giudice, la condotta della banca è stata inescusabile, avendo rilevato operazioni anomale sul conto corrente del cliente e la modifica dell’utenza telefonica per l’operatività online, ma omettendo colpevolmente di interrompere il servizio di home banking.

Il cliente, titolare di un rapporto di conto corrente presso la banca, ha agito presso il Tribunale di Ragusa dichiarandosi vittima incolpevole di phishing. Il cliente ha riferito che terzi ignoti avevano sottratto somme di denaro dalla sua carta di credito e successivamente disposto ingenti bonifici dal proprio conto corrente. Il cliente ha inoltre raccontato di essere stato contattato da un sedicente operatore bancario che gli ha richiesto le credenziali di accesso al servizio di home banking, inducendolo ad autorizzare il cambio dell’utenza telefonica associata al servizio.

La Dinamica della Truffa

Successivamente, il cliente ha ricevuto un’altra telefonata, questa volta da un vero operatore della banca, che lo ha avvisato di movimentazioni anomale sulla carta di credito e della disinstallazione dell’applicazione della banca dall’utenza telefonica. La banca, informata della truffa e del disconoscimento delle operazioni di pagamento registrate, ha bloccato l’operatività della carta di credito. Tuttavia, giorni dopo, il cliente ha appreso che terzi avevano effettuato ulteriori accessi al proprio conto corrente online, sottraendogli altre somme di denaro.

La banca ha resistito in giudizio, sostenendo di aver adottato tutte le misure necessarie per garantire la sicurezza del servizio di home banking e che la truffa era stata realizzata a causa della colpa grave del cliente, che aveva comunicato a terzi le credenziali di accesso.

La Responsabilità della Banca

Il Tribunale di Ragusa ha affrontato il caso tracciando una linea temporale precisa tra i fatti accaduti prima che la banca fosse a conoscenza della truffa subita dal cliente e quelli verificatisi dopo che il cliente era stato informato. Il Tribunale ha rilevato che il servizio antifrode della banca, dopo aver appreso della truffa con la carta di credito, ha proceduto al blocco della stessa. Nonostante ciò, i malfattori sono riusciti ad accedere al conto corrente del cliente tramite il servizio di home banking e a disporre bonifici a favore di ignoti.

Queste ultime operazioni di pagamento avrebbero potuto essere evitate se la banca, dopo aver rilevato le anomalie e le modifiche all’utenza del cliente, avesse proceduto a bloccare tempestivamente il servizio di home banking. Il Giudice ha ritenuto che la negligenza inescusabile della banca abbia determinato la prosecuzione e l’aggravio della truffa, consentendo ai truffatori di agire anche successivamente alla scoperta della condotta fraudolenta.

Il Quadro Normativo

La sentenza è conforme ai prevalenti orientamenti della giurisprudenza di merito e di legittimità in materia. Il D. Lgs. 27 gennaio 2010, n. 11 prevede che il prestatore di servizi di pagamento abbia l’onere di provare che l’operazione di pagamento, disconosciuta dall’utente, “è stata autenticata, correttamente registrata e contabilizzata e non ha subito conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti” (art. 10, comma 1). La medesima norma, al comma 2, precisa che “quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, è onere del prestatore di servizi di pagamento fornire prova della frode, dolo o colpa grave dell’utente”.

La giurisprudenza di merito ha stabilito che la responsabilità contrattuale della banca per operazioni di pagamento disconosciute dal correntista, riconducibili allo schema del phishing, è esclusa solo se la banca riesce a provare di aver adottato tutte le misure necessarie per evitare il danno e di aver osservato la diligenza qualificata dell’accorto banchiere. Inoltre, la prova della riconducibilità delle disposizioni di pagamento al dolo o alla colpa grave del correntista deve essere caratterizzata dall’assenza di un minimo grado di diligenza riconoscibile.

Bullet Executive Summary

In conclusione, la sentenza del Tribunale di Ragusa rappresenta un importante precedente nel panorama delle nuove strategie bancarie e dei pagamenti digitali. La responsabilità della banca in caso di phishing è stata chiaramente delineata, sottolineando l’importanza di una tempestiva reazione da parte degli istituti di credito per proteggere i propri clienti.

Notione base: Le banche devono adottare misure di sicurezza avanzate per prevenire le frodi e, in caso di sospette attività fraudolente, devono agire immediatamente per bloccare i conti e i servizi di home banking.

Notione avanzata: La responsabilità delle banche non si limita solo all’adozione di misure preventive, ma si estende anche alla gestione delle emergenze. La tempestività e l’efficacia delle azioni intraprese in risposta a una truffa possono fare la differenza tra la protezione del patrimonio del cliente e l’aggravamento delle perdite.

Questa sentenza ci invita a riflettere sull’importanza della sicurezza nei servizi bancari digitali e sull’obbligo delle banche di proteggere i propri clienti non solo attraverso misure preventive, ma anche con una gestione reattiva e tempestiva delle situazioni di emergenza.