Tratto dallo speciale:

Frodi su conti online, la banca è responsabile

di Anna Fabi

11 Ottobre 2016 11:33

Frodi informatiche bancarie e principio di accountability: la legge tutela il correntista, che la banca deve risarcire in caso si danni.

Le frodi tramite furto di identità sono numerose, soprattutto in ambito Internet Banking. Per fortuna ci sono esistono gli strumenti legali per difendersi. Una recente pronuncia del Tribunale di Roma (sentenza n. 16221 del 31/08/2016), per esempio, ha confermato l’orientamento indicato dalla Cassazione (Sez. 1, sentenza n. 10638 del 23/05/2016) condannando due banche online alla restituzione del maltolto e al pagamento di 20.000 per danni, in favore di un correntista frodato (difeso in giudizio dagli Avvocati Fabio Di Resta ed Emiliano Vitelli).

Queste sentenze, finalmente, hanno dato spazio applicativo alle norme – quali il Codice Privacy e il decreto legislativo n. 10/11 sui sistemi di pagamento online – che impongono alle aziende (in particolare gli istituti bancari) di predisporre adeguati sistemi di sicurezza informatica e dimostrare, in caso di illeciti, di non avere alcuna responsabilità. Dunque, il correntista può limitarsi alla denuncia tempestiva dell’illegittima e non riconosciuta operazione bancaria.

Frode su conti online

Nel caso oggetto di sentenza, si era verificato un accesso illecito conto corrente online, la clonazione della carta di identità del titolare e il furto del numero di cellulare del correntista: con una semplice autocertificazione di smarrimento, si otteneva una SIM Card sostitutiva e si apriva a nome della vittima un conto online presso altro istituto bancario (SIM Swap Fraud). Da qui: cambio di password del primo conto, spostamento del deposito sul secondo e successiva redistribuzione del denaro verso ulteriori conti. Intera operazione svolta in pochi giorni.

Responsabilità delle banche

Il correntista frodato ha disconosciuto tempestivamente le operazioni illecite compiute sul proprio conto, denunciando l’evento e il danno. Le due banche, invece, non sono stati in grado di provare che i loro sistemi di sicurezza fossero efficaci ed i processi conformi alla legge sulla privacy D.lgs. 196/2003, al decreto legislativo sui servizi di pagamento nel mercato interno D.lgs 11/10 e al codice civile art. 2050 attività pericolose e 2049 responsabilità dei padroni e committenti). Anzi, nel giudizio è emerso il contrario.

La prima banca ha rivelato un sistema informatico e protocolli di sicurezza deboli (nonostante i documenti Bankitalia che impongono efficaci misure di sicurezza). Lo evidenzia bene il Tribunale di Roma:

i problemi alla SIM dell’utente dovrebbero essere rilevati in automatico dal sistema con sospensione cautelativa dei movimenti in difetto di un assenso del titolare del conto”.

La seconda banca si è dimostrata inidonea nell’applicazione delle norme in materia di antiriciclaggio (che impone specifiche procedure di riconoscimento personale soprattutto per i conti online), soprattutto – segnala il Tribunale di Roma – considerando che il documento di riconoscimento utilizzato “presenta[va] delle irregolarità macroscopiche”.

Dunque, la frode di per sé è operazione ma possibile se esistono debolezze informatiche e procedurali a carico degli istituti di credito, i quali avrebbero potuto evitare e bloccare la frode applicando le leggi (oltre a quella sull’antiriciclaggio) e allineandosi alle migliori pratiche di sicurezza nell’ambito bancario.

=> Banche: evoluzione o rivoluzione?

Responsabilità delle aziende

Sicuramente le banche sono gli obiettivi più frequenti di questi attacchi, ma l’intrusione informatica potrebbe avere come obiettivo anche informazioni aziendali anziché denaro.

=> Verso il nuovo Regolamento Privacy

Gli strumenti tecnici e normativi per difendersi esistono: ecco perché soltanto dimostrando di averli applicati sarà possibile risultare esenti da responsabilità ed evitare il risarcimento dei danni. Il rispetto di tale impostazione diventerà imprescindibile quando il nuovo Regolamento Privacy diventerà operativo nel 2018. La nuova legge sui dati personali, infatti, ha codificato il principio dell’accountability cioè della responsabilità e della prova in capo al titolare del trattamento.

Avv. Emiliano Vitelli