Disposizioni indesiderate su conto corrente: la banca deve rimborsare il correntista? Non sempre. Nei giorni scorsi vi abbiamo infatti raccontato una storia che si è conclusa con un lieto fine per il cliente della banca, che si era visto un ammanco sul conto corrente, derivante da un bonifico non eseguito da lui. In quel caso, l’istituto non aveva dimostrato che l’operazione era comunque addebitabile al correntista, vittima di phishing. La vicenda di oggi, invece, è diversa ed è approdata davanti al Tribunale di Torino che, con sentenza del giorno 29.04.2022, ha respinto la richiesta di rimborso avanzata dal cliente. E questo nonostante, anche in questo caso, ci troviamo davanti ad un bonifico che il correntista non voleva effettuare.
Phishing e man in the browser: due truffe molto diverse tra loro
La differenza risiede tutta nel fatto che qui non siamo davanti ad un’ipotesi di phishing, ma di “man in the browser”. Non c’è stato infatti un furto di credenziali. Semplicemente, il browser del correntista è stato infettato da un malware, che si frappone, per così dire, tra lui e la banca. Operando in home banking, l’utente inserisce i dati necessari per eseguire il bonifico, ma la banca riceve un diverso IBAN e opera in tal senso. Successivamente, il browser del cliente ottiene dal server dell’istituto una risposta ulteriormente alterata, che gli nasconde le modifiche operate “nel mezzo”.
Da un lato, quindi, il correntista è convinto di aver inserito i dati desiderati; dall’altro, la banca pensa che siano corretti quelli che riceve e si comporta di conseguenza. Resta quindi sempre valido il riferimento all’art. 10 d.lgs. 11/2010, secondo il quale, in caso di operazioni contestate dal correntista, la banca deve dimostrare che l’operazione è stata correttamente processata. Si evidenzia, così, la differenza tra il caso di phishing e quello di man in the browser. Nel primo caso, all’utente vengono sottratte le credenziali. Questo significa che la banca deve dimostrare che – anche grazie al ricorso a strumenti di sicurezza come OTP o PIN – la disposizione era effettivamente giunta dal titolare. Una prova che difficilmente può essere raggiunta in ipotesi di phishing.
Perché la banca si salva
Viceversa, nel caso in cui ad essere infettato sia il browser dell’utente, l’istituto potrà dimostrare con maggiore facilità che tutti gli elementi davano ad intendere che l’operazione era effettivamente stata richiesta dal diretto interessato. Questo, infatti, effettua sul serio un’operazione, utilizzando anche strumenti di sicurezza, nonché avvalendosi del device (riconoscibile dall’indirizzo IP) comunemente utilizzato. Per la banca, quindi, non si accende nessun campanello d’allarme.
Ed ecco allora il triste esito per il titolare del conto corrente. Se infatti egli non denuncia tempestivamente di essere stato vittima di una truffa informatica, l’istituto non sarà più nella condizione di poter bloccare il bonifico. Una denuncia tardiva, unitamente al fatto di aver permesso ad un malware di infettare il proprio device, configurano un’ipotesi di colpa grave, ad avviso del Tribunale di Torino. E la richiesta di rimborso va respinta.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale