Pescara. La responsabilità è della banca e non dell’utente quando la frode avviene all’interno del sistema di home banking. A dirlo è una decisione dell’Arbitro Bancario Finanziario, organo della Banca d’Italia, consultato per dirimere un contenzioso tra un utente, difeso dall’avvocato pescarese Alessandra Torelli, rimasto vittima di truffa online e la sua banca.
L’utente in questione aveva effettuato una transazione tramite home banking della sua banca. Al momento della transazione, le coordinate bancarie del destinatario erano state sostituite con quelle di un destinatario sconosciuto all’utente. “Inizialmente la banca aveva ritenuto di non avere responsabilità e si era rifiutata di risarcire l’utente”, riferisce la legale del foro di Pescara, la quale aveva ricostruito i fatti e contestato la decisione della banca ricorrendo all’Arbitro Bancario Finanziario.
“Secondo la polizia postale”, spiega l’avvocato, “la frode sarebbe stata effettuata in presenza di un malware di tipo trojan banking che, secondo la stessa, funzionerebbe come segue: quando viene avviata la transazione, il codice malevolo sostituisce di nascosto il codice del conto di destinazione con quello del cyber criminale, che riceverà quindi il denaro al posto del corretto beneficiario. Essendo l’utente già autenticato al servizio e contestualmente attivo in quel momento ed operando il malware secondo lo schema appena illustrato, vengono rese di fatto inefficaci eventuali misure di sicurezza contro il pagamento non autorizzato, come l’autenticazione a due fattori oppure eventuali alert del tipo LOGINLOGOUT utilizzate, come nel caso di specie, dalla piattaforma antifrode della Banca della vittima”.
Secondo l’articolo 10, comma 1, del d.lgs. 11/2010 (così come modificato dal d.lgs. 218/2017, che ha recepito la PSD2), è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
Inoltre, secondo il comma 3 dello stesso articolo 10 del d.lgs. 11/2010, “l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento […] non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente”.
“Da tali premesse”, argomenta l’avvocato Torelli, “non può che conseguire che l’utente ha diritto a un risarcimento da parte del prestatore di servizi. Con decisione del 24 aprile, comunicata il successivo 22 luglio, l’Arbitro Bancario Finanziario ha dato ragione alla vittima affermando che in casi come questo deve escludersi l’imputabilità all’utilizzatore di qualsivoglia profilo di colpa grave, proprio per l’insidiosità che caratterizza la frode, dovendosi conseguentemente tenere indenne quest’ultimo dalle perdite subite, al netto della franchigia eventualmente prevista”.
“La decisione crea un importante precedente per le truffe online, stabilendo che ogni volta che la frode sia riconducibile al cosiddetto “man in the browser”, sarà la banca a dover risarcire il cliente”, commenta l’avvocato Alessandra Torelli, “nell’epoca dei pagamenti on line, a mio parere, il precedente costituirà anche un pungolo per gli istituti bancari che, avendone i mezzi, dovrebbero certamente investire di più nella sicurezza informatica a beneficio dei propri clienti”.