Gli svuotano il conto corrente fingendosi l'istituto di credito: il risarcimento danni della banca è dovuto?
Torna, come ogni domenica, la rubrica curata dall'avvocato Oberdan Pantana, "Chiedilo all’avvocato". In questa settimana, le numerose mail arrivate hanno interessato maggiormente tematiche riferibili alle conseguenze del phishing, fenomeno finalizzato all’acquisizione, da parte di hacker, di dati personali e sensibili.
Di seguito la risposta alla domanda posta da una lettrice di Monte San Giusto, che chiede: "È possibile ottenere un risarcimento dalla propria banca, qualora terzi si impossessino delle credenziali di accesso al servizio di home banking ed azzerino la giacenza sul conto corrente?".
Il caso di specie ci offre la possibilità di far chiarezza riguardo alla tematica, molto attuale, delle responsabilità derivanti dal phishing, fenomeno molto frequente online, che si verifica quando un soggetto si finge un ente affidabile, quale ad esempio un istituto di credito, e - attraverso varie modalità come l’invio di e-mail o il rimando dell’utente su un sito web creato ad hoc - acquisisce i dati finanziari o, comunque, le credenziali di accesso al conto corrente del titolare, allo scopo di utilizzarli per disporre della liquidità presente.
A tal proposito, occorre considerare come il rischio che terzi estranei sottraggano i dati personali dei propri correntisti, il cui particolare trattamento da parte dell’istituto è soggetto alle disposizioni previste in materia dal Codice della Privacy e dal Regolamento Europeo n. 679/2016, sia considerato da giurisprudenza consolidata, un rischio tipico del prestatore dei servizi di pagamento, in quanto tale "prevedibile ed evitabile".
Sussiste dunque, innanzitutto, in capo all’istituto di credito, l’obbligo di operare con la diligenza qualificata di cui all’art. 1176 co.2 c.c., da valutare assumendo come parametro la figura dell'accorto banchiere', e dunque l’obbligo di garantire elevati standard di sicurezza nell’utilizzo dei propri sistemi di pagamento online, determinato con riferimento alle conoscenze acquisite in base al progresso tecnico, in modo tale da evitare tali illegittime sottrazioni.
Ad esempio, imponendo ai propri clienti l’uso delle O.T.P., One Time Password, o dei sistemi di autenticazione a due fattori. Pertanto, in capo all’istituto di credito sussisterà l’obbligo di risarcire il danno, ex art. 2050 c.c., nel caso in cui avvengano episodi di accesso non autorizzato alle informazioni private dei propri clienti, sempre che questo non provi di avere adottato tutte le misure idonee a garantire la sicurezza del servizio e la riconducibilità dell'operazione al cliente.
Pertanto in risposta alla nostra lettrice risulta corretto affermare che, "l’Istituto che svolga un’attività di tipo finanziario o in generale creditizio risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova l’adozione delle misure atte a garantire la sicurezza del medesimo servizio" (Cass. Civ., Sez. III, 12.02.2024, n. 3780).
Nel consigliare, dunque, di porre particolare attenzione a mail o siti sospetti, rimango in attesa come sempre delle vostre richieste via mail, dandovi appuntamento alla prossima settimana.
Commenti