Furto di identità, hacker e banche, quando scatta il risarcimento dei danni al cliente?

Il Tribunale di Roma esamina il caso di una truffa online ai danni di un correntista di una banca che si è trovato il conto prosciugato e approfondisce il profilo della responsabilità degli istituti bancari.

Così Tribunale di Roma, sentenza n. 16221/16 del 31 agosto. Il caso. Una banda di truffatori falsificava una carta di identità con il nome e cognome, fotografia di una terza persona oggetto della truffa, un correntista che abitava in Argentina e apriva un conto corrente fasullo presso una banca a nome dello stesso soggetto. I truffatori riuscivano ad appropriarsi delle password del soggetto truffato, ad entrare nel suo conto online e a prelevare dal conto 110.320 e a trasferire tale somma di denaro sul sopra citato conto corrente aperto presso la prima banca. I truffatori lasciavano sul conto solo 37 euro. La frode con relativo furto di identità è stata particolarmente complessa in quanto i truffatori sono riusciti a disattivare la sim card contenuta nel cellulare del correntista c.d. sim swap fraud , a indicare un’altra sim nel pannello di controllo dell’home banking ed a intercettare in questo modo gli sms di allerta inviati dalla banca nel caso di operazioni bancarie. I truffatori sono stati abili nello sfruttare le debolezze del sistema informatico degli istituti bancari. Il correntista truffato, di fronte alla grave frode effettuata con furto di identità conveniva in giudizio i due istituti bancari e ne chiedeva la condanna al risarcimento dei danni patrimoniali ed extrapatrimoniali conseguenti ad un illecito trattamento di dati personali. Frodi bancarie. Il Tribunale sotto il profilo della ripartizione dell’onere probatorio, nel richiamare la recente sentenza della Cassazione n. 10638/2016 in materia di frodi bancarie, ha evidenziato che al correntista abilitato a svolgere operazioni online” che agisca per l’abusiva utilizzazione delle sue credenziali informatiche, spetta, ai sensi del rinvio all’art. 2050 c.c. contenuto nell’art. 15 del Codice della privacy soltanto la prova del danno riferibile al trattamento del suo dato personale. L’istituto bancario risponde, invece, quale titolare del trattamento, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d’accesso del correntista, ove non dimostri che l’evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore. Il Tribunale specifica che se il correntista ha provato il danno subito riferibile al trattamento del suo dato personale e ha disconosciuto le operazioni bancarie scatta l’inversione dell’onere della prova l’istituto bancario deve provare l’adeguatezza del proprio sistema informatico . Ripartizione dell’onere probatorio. L’istituto bancario è onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno. Tra le sopra citate misure spiccano quelle di sicurezza previste dal titolo V del Codice della privacy artt. 31 - 36 . Tra le sopra citate misure spiccano quelle di sicurezza previste dal titolo V del Codice della privacy artt. 31 - 36 . In sede di trattamento dei dati personali, è richiesto sempre il rispetto di un onere di diligenza da valutare concretamente, sia in relazione alle conoscenze acquisite in base al progresso tecnico , sia in relazione alla natura dei dati e alle specifiche caratteristiche del trattamento. Secondo il Tribunale nel caso in esame la banca non ha provato l’adeguatezza del proprio sistema informatico. Nel caso in esame il Tribunale ha rilevato molteplici malfunzionamenti del sistema informatico l’assenza di un secondo sistema di autenticazione, l’assenza di un sistema di allert di anomalie di movimenti di denaro rispetto alla pregressa normale operatività del cliente l’assenza di un sistema di rilevazione di anomalie e problemi alla sim del cliente con relativa sospensione cautelativa dei movimenti in difetto di un assenso del titolare. Il Tribunale ha evidenziato che anche l’altra banca, dove è stato aperto il conto corrente fasullo ha delle responsabilità in quanto non ha verificato, con cura e attenzione, la carta di identità presentata dai truffatori. Il Tribunale osserva che la banca non si è accorta di un errore macroscopico commesso dai truffatori l’indicazione di una data di scadenza errata sulla carta di identità. La sopra citata data di scadenza è in palese violazione con le nuove norme in materia d.l. n. 5/2012 che prevedono il rinnovo della carta di identità con validità fino alla data corrispondente al giorno e al mese del titolare. La banca non si è accorta che dello scostamento fra la data riportata sulla carta di identità fasulla 12 luglio 2022 e la data di nascita del correntista 3 marzo 1974 . Il Tribunale rileva che la banca in esame non si è insospettita di fronte ad altre gravi stranezze l’indicazione da parte del truffatore di un domicilio a Siderno, in provincia di Reggio Calabria, senza alcuna giustificazione malgrado l’indicazione della residenza a Roma. La banca non ha richiesto spiegazioni o attivato controlli neanche quando il truffatore ha rifiutato di attivare sul conto quei servizi standard, come un bancomat, la domiciliazione delle utenze o l'accredito di uno stipendio. La banca ha proceduto all’identificazione del soggetto solo con la carta di identità documento soggetto a facile contraffazione . Secondo il Tribunale nel caso in esame è mancata la diligenza del buon banchiere”, debitori qualificati ex art. 1176, comma 2, c.c Il Tribunale in accoglimento parziale delle domande dell’attore ha condannato gli istituti bancari in solido tra di loro a restituire i soldi prelevati in modo illecito dal conto del truffato. Il Tribunale ha inoltre condannato gli istituti al risarcimento per illecito trattamento dei propri dati personali dell'ulteriore danno patrimoniale subito costituito dal tempo impiegato per effettuare i solleciti, comunicazioni, ecc., nonché i costi di prestiti risarcimento di importo pari a 20.000 euro . Il Tribunale ha condannato le banche al pagamento delle parcelle dei legali per una somma di 9533 euro. Il Tribunale non ha riconosciuto, nel caso in esame il danno biologico in quanto non provato in modo adeguato. Il danno esistenziale non appare risarcibile, secondo il Tribunale, alle luce delle sentenze gemelle delle Sezioni Unite del novembre 2008. La sentenza in esame è di estremo interesse in quanto costituisce una delle prime a tutela dei correntisti di istituti bancari online nel caso di frodi online con furti di identità la banca è tenuta a pagare i danni. La sentenza individua il discrimine fra le responsabilità dell’istituto bancario e del correntista. Il correntista non può richiedere la restituzione dei soldi truffati nel caso di frodi con furto di identità nel caso in cui lo stesso sia responsabile di trascuratezze, errori, oppure quando sia autore della frode. Il Tribunale di Roma ha richiamato la sentenza della Corte di Cassazione, n. 10638/16, ha affermato che la banca è tenuta al risarcimento dei danni ove non dimostri che l’evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore.

Tribunale di Roma, sez. X Civile, sentenza 4 – 31 agosto 2016, numero 16221 Giudice Perinelli Svolgimento del processo L'attore conveniva in giudizio la unitamente e in via solidale a chiedendo il risarcimento dei danni patrimoniali ed extrapatrimoniali subiti a seguito di una di una frode costituita da un furto d'identità a causa del comportamento negligente tenuto dalle convenute. Si costituiva in giudizio la convenuta impugnando e contestando illimitatamente le domande formulate da parte attrice nei propri confronti, giacché infondate in fatto ed in diritto. Si costituiva in giudizio anche l'altra convenuta deducendo l'infondatezza delle domande avversarie di cui chiedeva il rigetto. All'udienza del 28.04.2016, precisate le conclusioni, la causa veniva trattenuta in decisione con concessione dei termini ex art. 190 c.p.c. per il deposito di comparse conclusionali e memorie di replica. Motivi della decisione 1.L' attore conveniva in giudizio la unitamente e in via solidale amo, chiedendo il risarcimento dei danni patrimoniali ed extrapatrimoniali subiti a seguito di una di una frode costituita da un furto d'identità deducendo il comportamento negligente tenuto dalle convenute. 2.Occorre preliminarmente ricostruire i fatti di causa. 2.1.L'attore, che vive e ha famiglia in Argentina, il 23 settembre 2007 concludeva con l'istituto bancario succursale italiana, un contratto di Conto Deposito online, denominato . 2.2.In data 10 marzo 2009 sottoscriveva, con anche un contratto di Conto Corrente numero che veniva aggiunto al Conto Deposito come conto predefinito. 2.3.In data 24 aprile 2013, dopo alcuni problemi di accesso, scopriva che nel conto risultava esservi soltanto un saldo pari ad €. 37,00 anziché i ben €. 110.320,00, ivi depositati. 3.La truffa ai danni dell'attore avveniva con l'accensione di un conto corrente, presso la~ ~ con sede legale in Milano, indicando anche come indirizzo di corrispondenza del titolare del conto Via Circonvallazione Nord, i73/B, Siderno RC . Su tale conto, apparentemente intestato all'attore, venivano trasferiti i soldi dal Conto Arancio che quindi venivano ritirati da ignoti. 4.In tema di ripartizione dell'onere della prova, al correntista abilitato a svolgere operazioni on line che, alla stregua degli artt. 15 del d.lgs. numero 196 del 2003 e 2050 c.c., agisca per l'abusiva utilizzazione nella specie, mediante illegittime disposizioni di bonifico delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l'istituto creditizio risponde, quale titolare del trattamento di dato, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d'accesso del correntista, ove non dimostri che l'evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore Cfr. Cass, Sez. 1, Sentenza numero 10638 del 23/05/2016 . Viene così a configurarsi un sistema di responsabilità di tipo semioggettivo , atteso il rinvio all'art. 2050 cod. civ. contenuto nell'art. 15 del codice della privacy, e considerato che il modello di responsabilità è coerente con quello delineato finanche a livello comunitario dall'art. 23 e dal considerando numero 55 della direttiva comunitaria numero 95/46-CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali. In tal guisa l'attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell'aver adottato tutte le misure idonee a evitare il danno cfr. Sez. 6 -3 numero 18812-14 . Quindi il mero disconoscimento delle operazioni bancarie determina un'inversione dell'onere della prova ponendo a carico della Banca il compito di provare l'adeguatezza del suo sistema informatico. 5.Tale prova non è avvenuta. Anzi vi sono numerosi elementi che segnalano un malfunzionamento del sistema. Innanzitutto non era previsto un secondo sistema di autenticazione. Quindi non era previsto l'invio di email o SMS allert in concomitanza con le singole operazioni effettuate. Sul punto la deduce che, poiché la scheda sim dell'attore era stata sostituita dagli ignoti truffatori, tale accorgimento non avrebbe avuto alcun esito. A ben vedere tale argomentazione rappresenta un' ulteriore falla nel sistema in quanto problemi alla SIM dell' utente dovrebbero essere rilevati in automatico dal sistema con sospensione cautelativa dei movimenti in difetto di un assenso del titolare del conto. Parimenti il sistema avrebbe dovuto rilevare le anomalie dei movimenti di danaro rispetto alla pregressa normale operatività del cliente che doveva essere avvertito. 6.La appare pertanto inadempiente al mandato ricevuto e sarà pertanto tenuta a risarcire i danni subiti dall'attore. 7.Per quanto concerne la posizione della deve osservarsi che ignoti aprivano il conto corrente numero ~ apparentemente intestato all'attore utilizzando una carta d'identità poi rivelatasi falsa. Essa presenta delle irregolarità macroscopiche in quanto riporta una data di scadenza il 12 luglio 2022 che non corrisponde alle previsioni del decreto legge, numero 5 del 9 febbraio 2012 entrato in vigore il 10 febbraio 2012 in base al quale i documenti di riconoscimento sono rilasciati o rinnovati con validità fino alla data corrispondente al giorno e al mese di nascita del titolare . Poiché l'attore è nato in data 3 marzo 1974 la data di scadenza avrebbe dovuto essere il 3 marzo 2023. Si tratta di una disposizione particolarmente nota avendone dato i mezzi di informazione ampio risalto. L'esame dei documenti avrebbe dovuto essere poi particolarmente attenta stante la particolarità costituita dal fatto che un soggetto residente a Roma aprisse, senza alcuna apparente giustificazione, un conto eleggendo domicilio a Siderno RC . Detto conto non pare inoltre avere, come avviene normalmente, altri scopi es. domiciliazione di stipendi, pensioni, utenze . L'identificazione poi è avvenuta solo con la carta d'identità documento soggetto a facile contraffazione e con il codice fiscale documento privo di fotografia . 8.Deve pertanto affermarsi anche la responsabilità extracontrattuale della ex artt. 2043 e 2049 c.c., in relazione ai danni causati all'attore. 9.Deve in proposito rilevarsi che agli Istituti bancari, da considerarsi debitori qualificati ex articolo art. 1176, co. 2, c.c., si richiede un elevatissimo livello di diligenza c.d. diligenza del buon banchiere che nella fattispecie in esame è mancata. 10.Sul comportamento tenuto dagli Istituti convenuti deve richiamarsi la citata sentenza numero 10638/2016 con cui la Cassazione ha precisato che in punto di ripartizione delle responsabilità derivanti dall'utilizzazione del servizio, il citato d.lgs., artt. 10 e 11, prevede che, qualora l'utente neghi di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. E nel contempo obbliga quest'ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l'operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall'utilizzatore, la restituzione dell'importo rimborsato. . 11.In applicazione di tali principi gli Istituti convenuti debbono innanzitutto essere condannati, in solido tra loro, a pagare a la somma di € 110.320,00. L'attore ha altresì subito un ulteriore danno patrimoniale costituito dal tempo impiegato per effettuare i solleciti, comunicazioni, ecc. nonché i costi di prestiti. Tale ulteriore danno può liquidarsi equitativamente in complessivi € 20.000,00. 12.Spetteranno inoltre al creditore gli interessi, nella misura legale, dal giorno della domanda giudiziale sino all'effettivo soddisfo. 13.Devono invece rigettarsi le ulteriori domande non essendo stato provato adeguatamente il danno biologico mentre quello esistenziale non appare risarcibile alla luce delle note sentenze gemelle delle Sezioni Unite del novembre 2008. 14.Le spese seguono la soccombenza e sono liquidate in dispositivo sulla base della legge 27/2012 e artt. 1 - 11 D.M. 55/2014 Valore della causa da € 52.001 a € 260.000 e precisamente per la fase di studio della controversia € 1.215,00, per la fase introduttiva del giudizio € 775,00, per la fase istruttoria e/o di trattazione € 3.780,00, per la fase decisionale € 2.025,00 oltre alle spese generali 15% sul compenso totale € 1.169,25 ed alle spese pari ad € 388,00 per complessivi € 9.352,25.Esse vanno distratte in favore dei Procuratori che se sono dichiarati antistatari. P.Q.M. Il Tribunale ordinario di Roma - X Sezione civile, in composizione monocratica, pronunciando nella causa tra le parti in epigrafe meglio indicate così provvede 1. in accoglimento parziale delle domande dell' attore condanna le society e in solido tra loro, a pagare a al somma di € 130.320,00 oltre agli interessi legali dalla data della domanda sino all'effettivo soddisfo 2. respinge le ulteriori domande dell'attore 3. condanna le società e in solido tra loro, a rifondere ai Procuratori antistatari Avvocati F.D.R. ed E.V. le spese di lite che si liquidano in euro 388,00 per spese ed euro € 7.795,00 per compensi oltre alle spese generali pari ad € 1.169,25 per complessivi € 9.3 oltre iva e cpa.