Il fenomeno del “phishing” è sempre più dilagante e cresce di pari passo con il massivo uso dei sistemi home banking o comunque con tutti quei sistemi telematici che inducono il consumatore, per comodità o per scelta imposta, al fine di abbattere i costi di gestione, a fare uso del web per interagire con la propria Banca o con gli istituti di moneta elettronica.
Il termine phishing deriva dalla storpiatura dell’ inglese to fish (pescare) ed è traducibile in italiano con “abboccare” o meglio con “abboccamento”. In sostanza si tratta di una truffa informatica condotta attraverso una email “esca” a mezzo della quale si induce il malcapitato ad inserire dati normalmente riservati o che comunque dovrebbero rimanere tali (es. username e password o key code autorizzativo) poiché atti a dare ordini dispositivi incidenti sui movimenti contabili del proprio conto corrente ovvero sulla propria carta di credito. La mail “esca” non proviene, però, dalla Banca, la quale, è bene dirlo, non agisce mai in codesto modo e per nessuna ragione, ma da terzi truffatori, i quali, ottenuti in maniera fraudolenta e con la collaborazione del correntista i dati di accesso, hanno campo libero per prosciugare le tasche di colui che ha “abboccato”.
Le Banche sono sempre restie ad ammette le proprie colpe, anche quando è evidente che l’operazione è stata condotta da terzi non autorizzati, scaricando la responsabilità sul cliente, tuttavia, in attuazione della Direttiva 2007/64/CE, il D.Lgs. 11/2010 ha disciplinato le responsabilità in caso di uso non autorizzato di strumenti di pagamento. In particolare l’art. 12 stabilisce, in sintesi, due diverse ipotesi. Infatti, in base alla predetta legge, l’utilizzatore non sopporta alcuna perdita derivante dall’uso non autorizzato di uno strumento di pagamento, quando egli stesso, avutone conoscenza, abbia comunicato al titolare dei servizi di pagamento lo smarrito, la sottrazione o utilizzo indebito. Ciò è evidente, perché non può gravare sul consumatore una mancanza dell’istituto di credito o di moneta elettronica. Ma può accadere e, anzi, a dire il vero, è il caso tipico, che il consumatore, subito il phishing, non abbia ancora avuto conoscenza dello smarrito, della sottrazione o dell’utilizzo indebito dello strumento di pagamento; in questo caso il malcapitato, non avendo avvertito la Banca di quanto stesse accadendo, è chiamato a sopportare una perdita massima di Euro 150,00, a meno che la condotta dello stesso non sia stata tenuta con dolo o colpa grave, ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento (art. 12, comma terzo, D.lgs. 11/2010).
Chi subisce un “abboccamento” e successivo prosciugamento del conto corrente, può pretendere dal fornitore dei servizi di pagamento, la restituzione della somma alle condizioni sopra descritte. Come anticipato, spesse volte, le Banche tendono ad essere restie a riconoscere tale diritto al proprio correntista, addebitando allo stesso una condotta di scarsa cautela e dunque di “colpa grave” nella gestione dei dispositivi di sicurezza che consentono l’utilizzo corretto dello strumento di pagamento, ritenendo il phishing sempre evitabile… ma non è così!
L’Arbitrato Bancario Finanziario (ABF) è uno strumento di alternative dispute resolution – ADR, volto a veicolare la trattazione di parte delle controversie destinate ad essere oggetto di un provvedimento giurisdizionale fuori dalle aule giudiziarie. Chi subisce il phishing e relativo danno può chiedere, preferibilmente attraverso un professionista competente in materia, l’intervento dell’ABF, il quale può decidere su tutte le controversie che riguardano operazioni e servizi bancari e finanziari, quali ad esempio i conti correnti, i mutui, i prestiti personali fino a 100.000 euro, se il cliente chiede una somma di denaro senza limiti di importo, oppure, se il cliente chiede soltanto l’accertamento di diritti, obblighi e facoltà.
Sull’argomento che qui si tratta, è molto interessante l’orientamento dell’ABF.
Infatti, l’Arbitrato, sebbene consideri colpevole l’utilizzatore che con un po’ di leggerezza abbia digitato nella mail “esca” i propri dati riservati di accesso allo strumento di pagamento, non chiama a responsabilità il consumatore “per colpa grave” quando l’intermediario finanziario “… non abbia fornito elementi utili per valutare se il messaggio di phishing fosse, o meno, palesemente riconoscibile come truffaldino”. Inoltre l’intermediario non può invocare mai una “colpa astratta” ma deve dare sempre prova che il proprio cliente ha agito con assoluta leggerezza, nonostante le ampie cautele suggerite dall’istituto in materia di phishing. Dunque, e da ultimo, pur in presenza di un comportamento colposo, in mancanza di prova della colpa grave dell’utilizzatore ed in mancanza di prove circa l’adozione di misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, al netto della franchigia di Euro 150,00, l’intermediario è sempre tenuto a restituire il denaro sottratto a causa del phishing.
A beneficio di colleghi e clienti pubblichiamo un’inedita pronuncia dell’ABF.
[gview file=”https://www.legalsolution.eu/wp-content/uploads/2015/02/phishing-ABF-Legal-Solution-Studio-legale-Bubici.pdf” save=”1″]