Nel caso esaminato dal Tribunale di Taranto, un correntista aveva adito il Tribunale sostenendo di essere stato vittima di una truffa complessa, evoluzione del phishing che combinava vishing (tramite una chiamata apparentemente dal numero verde della banca) e smishing (con un SMS contraffatto). A seguito di queste interazioni, il cliente era stato persuaso a fornire i propri codici di sicurezza, inclusi gli OTP (One Time Password), il che aveva permesso l’effettuazione di due prelievi non autorizzati dai suoi conti correnti. La contestazione del cliente verteva sulla presunta vulnerabilità dei sistemi di sicurezza della banca e sulla mancata adozione di misure adeguate.
La banca, costituendosi in giudizio, ha contestato la propria responsabilità, eccependo l’adeguatezza dei propri sistemi e la colpa grave del cliente. Il Tribunale di Taranto ha accolto le argomentazioni della banca, respingendo la domanda del cliente e attribuendo a quest’ultimo la responsabilità esclusiva del danno.
Alla base della decisione vi è l’applicazione dell’articolo 10 del D.Lgs. 27 gennaio 2010 n. 11, che stabilisce una presunzione di responsabilità a carico del prestatore di servizi di pagamento (la banca) per le operazioni non autorizzate. Tuttavia, questa presunzione può essere superata se la banca fornisce prova che l’evento non è a essa imputabile, derivando invece da trascuratezza, errore o frode del correntista, o da forza maggiore. La diligenza richiesta alla banca è di natura professionale, mentre al cliente è richiesta la diligenza ordinaria; solo una condotta connotata da dolo, frode o colpa grave da parte dell’utente può escludere la responsabilità della banca e addossare interamente le perdite al cliente.
Nel caso in questione, il Tribunale ha ritenuto che la banca abbia dimostrato adeguatamente di aver adottato un sistema di sicurezza informatica basato sull’autenticazione a più fattori, conforme alle normative europee (Regolamento Europeo 2018/38 e D.Lgs. 218/2017). Tale sistema, che prevede l’uso congiunto di credenziali statiche (codice titolare, PIN) e password dinamiche (OTP), rende l’accesso non autorizzato significativamente più difficile. Inoltre, la banca ha comprovato di aver intrapreso una vasta campagna di informazione alla clientela sui rischi specifici del phishing, pubblicando avvisi sul proprio sito internet e fornendo esempi di messaggi fraudolenti molto simili a quello ricevuto dall’attore, spesso evidenziando che la banca non richiede mai le credenziali complete tramite messaggi.
Di contro, il Tribunale ha accertato la colpa grave del cliente. Nonostante gli avvertimenti contrattuali e le raccomandazioni della banca a non divulgare tali informazioni, il cliente ha imprudentemente comunicato i propri codici personali (inclusi gli OTP) a terzi non identificati. Il Giudice ha sottolineato come il cliente abbia fatto affidamento su un messaggio solo apparentemente proveniente dalla banca, senza verificarne l’identità del mittente o la veridicità delle richieste. La capacità dei cyber-truffatori di simulare fedelmente siti istituzionali o numeri verdi non è stata considerata imputabile alla banca. La sentenza richiama peraltro una precedente decisione dello stesso Tribunale che ha riconosciuto come “grave” l’imprudenza di affidare a terzi non identificati i propri codici personali in risposta a un messaggio ingannevole.
In conclusione, la sentenza del Tribunale di Taranto riafferma un principio fondamentale: la sicurezza nelle operazioni online richiede una diligenza collaborativa. Sebbene le banche siano gravate da oneri significativi in termini di sicurezza dei sistemi e informazione della clientela, una condotta gravemente negligente dell’utente, come la condivisione di credenziali riservate nonostante gli avvisi, può comportare la totale perdita del diritto al rimborso per le operazioni non autorizzate. La vigilanza dell’utente e la verifica scrupolosa dell’affidabilità delle comunicazioni ricevute si confermano elementi essenziali nella prevenzione delle frodi.
