News

L'UTILIZZO FRAUDOLENTO DI CARTE CREDITO, DEL BANCOMAT E DEI SERVIZI BANCARI ONLINE

da GiuridicaMente - Repubblica Genova on line

L'UTILIZZO FRAUDOLENTO DI CARTE CREDITO, DEL BANCOMAT E DEI SERVIZI BANCARI ONLINE

1. La fattispecie. Chi ha avuto modo di leggere gli interventi pubblicati su questo blog ricorderà probabilmente l'Arbitro Bancario Finanziario (“ABF”), l'organismo, operativo dall’ottobre 2009,  attraverso il quale, nella sostanza, la Banca d'Italia ha inteso fornire alla collettività un servizio per l'agevole risoluzione delle controversie che tipicamente nascono nel settore bancario e finanziario, ulteriore rispetto alla via giudiziale, e accessibile in modo semplice ai clienti delle banche (come degli altri intermediari finanziari – più avanti per semplicità parleremo solo di “banche”).

Nella sua passata esperienza  l’ABF (se si guardano le decisioni pubblicate nel sito internet di questo organismo) si è spesso occupato di vicende con le quali molte persone si sono più o meno misurate: quelle che riguardano l'utilizzo, da parte di terzi non autorizzati, del servizio di home banking  (ovvero l'invio online di disposizioni di pagamento alla propria banca ), o delle carte, sia di credito o di debito (bancomat)  - le “carte”.

Contestazioni frequenti, come dimostrano pure gli articoli apparsi su riviste squisitamente giuridiche o del mondo bancario, ma anche su testate giornalistiche vicine a problemi economici (ad esempio il Plus del Sole24Ore).

A parte il caso più classico di sottrazione fisica della carta e delle relative credenziali di accesso del cliente (cioè, user ID, password e PIN), si fa riferimento pure ad altre forme purtroppo diffuse di frode informatica, sviluppate da una criminalità che segue di pari passo le evoluzioni operative introdotte dalle banche con lo sviluppo della tecnologia. 

E' il caso del così detto phishing, che consiste nell'invio di e.mail che invitano l'utente a collegarsi al sito internet delle banche attraverso un link, presente nel messaggio di posta elettronica, che tuttavia non conduce al sito internet ufficiale della banca, bensì a una sua copia creata dal phisher. Il phisher si appropria  delle credenziali di accesso digitate dal malcapitato cliente della banca per poi utilizzarli spendendo a danno di quest'ultimo.

Altra tecnica più complessa è il trojan banking (che richiama appunto alla mente lo stratagemma – il Cavallo di Troia - cui fece ricorso l'Ulisse, nella tradizione epico-mitica, per entrare, dopo anni di assedio, nella famosa città dell'Asia Minore dallo stesso nome) e che consiste nella diffusione di virus informatici in grado di carpire le credenziali di accesso ai servizi bancari online.  Si tratta di virus in continua evoluzione, non sempre rilevati dagli appositi software.   Questi virus sfruttano le debolezze di software di sistema e/o applicativi e sono in grado di autoinstallarsi, autoriprodursi e diffondersi, nonché di determinare alterazioni del corretto funzionamento del sistema e di esportare i dati  (quali appunto le credenziali di accesso).

Stesso dicasi per i casi di clonazione delle carte, ovvero le metodologie (come ad esempio il c.d. skimmer ) usate per catturare i dati della banda magnetica delle carte, con una semplice “strisciata”, per poi ritrascriverli su una “carte  vergini”. 

Bene, si tratta quindi di capire in questi casi chi (il cliente titolare della carta e del conto bancario, ovvero invece la banca che offre appunto la carta o il conto) debba farsi carico dell'eventuale atto illecito eseguito da terzi appropriandosi, a danno del malcapitato cliente, degli “strumenti di pagamento” (come la legge – il recente d.lgs. n.11/2010, di  attuazione della Direttiva europea 2007/64/CE sui servizi di pagamento, definisce le carte, o comunque quelle altre modalità che permettono ai clienti di dare ordini a distanza, online, alla banca, a valere sui conti aperti presso questa).   

Di queste casistiche ha avuto di occuparsi molte volte l'ABF sin dalla sua istituzione, e anche di recente, come si apprende dalla relazione sulla sua attività dell'anno 2012 pubblicata lo scorso luglio 2013 (alle cui risultanze prevalentemente ci rifacciamo).

 

2. La disciplina normativa. La dialettica fondamentale alla base delle decisioni dell'ABF, in ossequio alla disciplina dettata dal citato d.lgs. n.11/2010, è quella tra (a) obbligo di diligenza professionale della banca, tenuta a strutturare e ad adeguare i propri sistemi di protezione all'evoluzione delle tecniche di frode, al fine appunto di assicurare che lo strumento di pagamento non possa venire usato da terzi diversi dal cliente legittimo, e (b)  obbligo di diligenza del cliente, a cui si richiede di utilizzare lo strumento di pagamento secondo le modalità e i termini previsti nel contratto sottoscritto, e a comunicare alla banca , senza indugio, la sua perdita o sottrazione o l'uso non autorizzato da parti di terzi.          

Il bilanciamento tra interessi, in linea teorica, contrapposti (le banche che vorrebbero scaricare il rischio dell'uso illegittimo sui clienti e questi ultimi che vorrebbero essere tutelati in tutti quei casi non siano stati loro ad usare la carta o a dare l'ordine di pagamento online)  è stato raggiunto dalla legge, da un lato, imponendo alle banche, nella loro qualità di prestatori di servizi di pagamento, specifici obblighi di precauzione, primo tra tutti l’obbligo di garantire l’inaccessibilità dei dispositivi di sicurezza di pagamento da parte di soggetti non autorizzati [ossia diversi dal loro legittimo titolare : si vedano l'art.8, comma lett.a) e l'art.11 del d.lgs n.11/2010)]. 

I clienti, dal lato loro,  come sopra si diceva , sono però tenuti a custodire gli strumenti che servono a disporre dei pagamenti con sufficiente accuratezza, utilizzarli correttamente e diligentemente, e a comunicare alla banca tempestivamente eventuali usi indebiti  di terzi (si veda l'art. 7. del d.lgs n.11/2010).

A rafforzare inoltre la posizione dei clienti delle banche, il d.lgs. n.11/2010 ha previsto un  favor probatorio a beneficio degli utilizzatori, prevedendo siano le banche, nei casi in cui i primi neghino di aver dato loro corso all'operazione (con l'uso della carta o attraverso l'ordine disposto online) a dover dimostrare, nella sostanza, la negligenza  del cliente (o la sua frode) e che il servizio di pagamento azionato tramite lo strumento affidato al cliente abbia funzionato correttamente.

Questo bilanciamento di interessi trova la sua giustificazione – seguendo appunto l'impostazione dell'ABF -  nel c.d. “rischio di impresa” che impone, in modo ragionevole, alle banche di farsi carico di quei rischi che statisticamente sono prevedibilmente legati ad attività, per cosi dire, “pericolose”  oggettivamente, che interessano un'ampia moltitudine di consumatori.

Le banche, da parte loro, nella determinazione dei prezzi dei servizi e prodotti offerti dovrebbero essere in grado di ribaltare sulla massa dei consumatori e degli utenti il costo dell'assicurazione di detti rischi.

L'evidente squilibrio di partenza attuato – a livello generale di legge dalle previsioni del d.lgs. n.10/2011 - tra banche e loro clienti, a favore di questi ultimi, impone una sua corretta concreta traduzione, che si riduce -  in estrema  sintesi – a verificare (e così è stato fatto in sede di ABF) se le prime abbiano adottato effettivamente tutti i migliori accorgimenti della tecnica per scongiurare gli utilizzi illeciti, e se i comportamenti dei secondi siano stati o meno, caso per caso, fraudolenti (vale a dire con consapevole volontà di ingannare la banca), ovvero negligenti al punto da qualificarsi “colpa grave”, cioè in seria violazione di quei doveri di diligenza imposti al cliente/utilizzatore.

Per il che: (i) se viene provata la responsabilità del cliente, egli subirà integralmente le perdite derivanti dall'uso dello strumento di pagamento, diversamente, (ii) ove invece una simile responsabilità non possa affermarsi (perchè non v'è stata sua frode o “colpa grave”),  l’utilizzatore non sopporterà le conseguenze dell’uso non autorizzato del mezzo di pagamento, se non nei limiti di una “franchigia” non superiore di 150 euro (art.12, commi 1 e 3 art.11 del d.lgs. n.11/2010).

 

3. I casi specifici per interpretare la norma.  Con riferimento alla nozione di “colpa grave”, l'ABF aderisce alla nozione delineata dalla Corte di Cassazione, ad avviso della quale questa consiste nella condotta di chi agisce con straordinaria e inescusabile imprudenza e negligenza, omettendo non solo la diligenza media del “buon padre di famiglia”, ma anche quel grado minimo di diligenza osservato da tutti, anche dalle persone “ordinariamente trascurate”.

Per l'ABF, condotte gravemente colpose nell'utilizzo di strumenti di pagamento – e quindi situazioni nelle quali può addossarsi al cliente l'evento accaduto - sono ad esempio : a) la conservazione della carta unitamente al PIN;  b) la mancata custodia della borsa o del portafogli in cui è conservata la carta; c) il ritardo nella denuncia dello smarrimento, del furto o dell'utilizzo non autorizzato dello carta  e il non tempestivo blocco della carta (si noti che l'obbligo di diligente custodia della carta comprende anche un monitoraggio dei conti sui quali si opera); d) la mancanza di attivazione di sistemi di sicurezza messi a disposizione della banca; e) il mancato blocco della carta in seguito alla spedizione del c.d. sms alert; f) la comunicazione delle credenziali e del PIN a terzi.

Tutte queste sono ipotesi di totale trascuratezza verso i minimi accorgimenti che vengono utilizzati dai consociati al fine di evitare un accadimento dannoso.

D'altra parte il comportamento professionale impone – come sopra detto – l'adeguatezza dei presidi di sicurezza attivati dalle banche.

E' infatti risaputo che esistono -  come in esordio detto -  svariate tecniche, più o meno complesse e sofisticate, che consentono al frodatore di appropriarsi del PIN dei clienti malcapitati anche quando nessuna violazione degli obblighi di diligente custodia siano a questi imputabile : il pishing  o il trojan banking  di cui sopra si parlava ne sono esempi, ma lo stesso dicasi del PIN-hacking, ovvero l'installazione di videocamere in corrispondenza delle macchine per il prelievo del denaro (o altre tecniche usate per clonare le carte).

Sul punto l'ABF ha affermato che la predisposizione di un solo primo livello di sicurezza (consistente nel mero inserimento di codici di accesso al sito home banking : user ID e password) non rappresenta di per sé un presidio sufficiente alla prevenzione del rischio di utilizzi fraudolenti; costituisce infatti un dato di comune esperienza che i codici personali di accesso ad un sistema informatico possano essere catturati da terzi non autorizzati anche in assenza di comportamenti negligenti del cliente.

Diversamente è da dirsi in presenza di più presidi di sicurezza  concorrenti tra loro. Ciò viene detto in particolare per i sistemi OTP (one time password – i c.d. token ad esempio), ovvero quelli che producono una password generata ad hoc dal cliente per ogni singola operazione, attraverso un dispositivo nell'esclusiva disponibilità del cliente.   

Stesso dicasi per la dotazione di microchip nelle carte e nell'invio al cliente di sms o messaggi di alert al momento del pagamento.

Appare chiaro quindi che, più che di interessi contrapposti (tra banche e clienti), si tratta invece di comportamenti complementari per la salvaguardia di un sistema avanzato di pagamenti in cui ciascuno deve fare la propria parte (assumendosene la responsabilità), chi (le banche) assicurando una tecnologia operativa al passo coi tempi (per prevenire le aggressioni di terzi), chi (la clientela), consapevole dei tempi in cui viviamo - grazie anche ad una informazione sui temi qui ricordati che si diffonde con facilità -,  prestare sempre più attenzione nel seguire quelle modalità d'uso degli strumenti di pagamento proposte come più affidabili dalle banche che offrono servizi di pagamento.  

Avvocati Chiara Romeo e Gianfranco Tita