In caso di furto di dati, qualora si dimostri la “colpa grave” del cliente, la banca può evitare il risarcimento (cfr. Cassazione, sentenze 7214/2023, 3780/2024).

Un bonifico in piena notte da 2700 euro, il conto svuotato e il denaro indirizzato “su un conto lituano intestato a un beneficiario mai conosciuto prima“. Il tutto, sfruttando un malware mascherato da finto aggiornamento di Google Chrome. Il caso risale al 2023 ed è avvenuto ad Empoli, dove il Giudice di Pace ha disposto il risarcimento. Non sempre però le banche sono tenute a risarcire.

Anzi, in alcune pronunce la Cassazione (per esempio sent. 7214/2023, 3780/2024) ha riconosciuto la responsabilità del cliente per negligenza o colpa grave. Anche nel caso di Empoli, l’istituto di credito ha cercato di mettere sotto accusa la negligenza del correntista.

Il giudice, però, ha riconosciuto una “frode qualificata“. Ai sensi dell’art. 10 del d. lgs. n. 11/2010, “se il correntista dichiara di non aver mai autorizzato un’operazione bancaria, deve essere la banca a presentare l’onere della prova dell’avvenuta frode“. E la banca non è riuscita a presentare delle prove di merito.

Il ruolo dei malware

Nella sentenza, ha scritto il Giudice di Pace, “il nesso causale tra la visione della partita e l’installazione del malwarenon è stato provato. La Banca assume che il trojan sia stato scaricato necessariamente dal sito di streaming. Si tratta però di una mera supposizione, priva di qualsiasi fondamento probatorio“. Al contrario, sono tantissimi i canali che possono veicolare malware.

Peraltro, la banca sosteneva che il correntista avesse consentito “l’installazione del malware, come se si trattasse di una scelta consapevole e volontaria ma non ci sono prove che lo dimostrano“.

“Non si tratta di negligenza, ma di frode qualificata“

Il Giudice di Pace ha sostenuto che il malware si sia presentato “come un legittimo aggiornamento dell’applicazione Google Chrome“. L’inganno è dunque avvenuto per mezzo di “una sofisticata tecnica di social engineering, progettata specificamente per eludere la vigilanza dell’utente e bypassare i sistemi di sicurezza degli smartphone“.

Da qui: “Non si tratta di negligenza, ma di frode qualificata. A riprova di ciò, il ricorrente ha immediatamente notato anomalie e ha tentato di rimuovere l’applicazione malevola. Questo dimostra che il cliente ha agito con la diligenza che ci si può ragionevolmente attendere da un utente medio, senza competenze tecniche avanzate io ambito informatico“.

Le banche non possono controllare tutte le operazioni

Al di là del caso di Empoli, si evidenzia l’elevata discrezionalità a fronte di situazioni simili. Questa dipende dal fatto che è impensabile controllare a priori tutte le operazioni. Per altro, come hanno sottolineato diversi esperti cyber, il problema del furto dei dati parte fuori dalla banca, sul cellulare del cliente.

Pur esistendo degli indicatori di anomalia (orario notturno, IBAN estero, nuovo beneficiario) “trasformarli automaticamente in obbligo di blocco o verifica rafforzata introduce un principio pericoloso“. Quello della “sorveglianza predittiva obbligatoria”.

In questo caso la banca dovrebbe allora intercettare ogni possibile frode, anche quando formalmente un’operazione risulti corretta. “Un modello di responsabilità oggettiva di fatto“, che rimane insostenibile sia sul piano operativo che su quello normativo.

Vai al sito di Cybersecurity Italia.

L'articolo Furto password e conto corrente svuotato? Il Giudice di Pace: “La banca deve rimborsarti”. Non sempre però il correntista ha ragione sembra essere il primo su CyberSecurity Italia.