Vittima del phishing? Diritto al risarcimento solo in un caso

Contenuto tratta da www.bluerating.com

Domanda. Un cliente è incappato in una frode telematica: dando credito a un sms che lo sollecitava per l’attivazione di una procedura di sicurezza, ha inserito le proprie credenziali, associate alla carta di credito, su un sito internet assai simile al vero sito internet della società di gestione della carta stessa. Ha possibilità di risarcimento?
P.B., Torino

Risposta. Ne vediamo assai poche e spieghiamo il perché. La questione è regolata dal decreto legislativo 27/1/2010 n. 11 che impone agli intermediari, nella loro qualità di prestatori di servizi di pagamento, specifici obblighi di precauzione, primo tra tutti l’obbligo di garantire l’inaccessibilità dei dispositivi di pagamentoSportello Advisory a soggetti non autorizzati. Inoltre istituisce un regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori: la responsabilità dell’utilizzatore resta dunque circoscritta ai casi di comportamento fraudolento del medesimo ovvero al suo doloso o gravemente colposo inadempimento agli obblighi che l’articolo 7 del decreto pone a suo carico riguardo la custodia delle credenziali. Il cliente del lettore è incappato in un tipico caso di phishing (o “smishing”, in ragione dell’utilizzo di un messaggio “sms”), ossia di acquisizione fraudolenta di dati rilevanti per il mezzo di comunicazioni apparentemente veritiere, che sollecitano l’inserimento delle credenziali da utilizzare poi per l’indebito uso del rapporto (conto corrente, carta di credito o debito, ecc.) cui esse sono associate. Truffe del genere sono da tempo suddivise dall’Arbitro Bancario Finanziario, vedi Collegio di Coordinamento n. 3498/2012, in due tipologie.

La prima prevede l’invio di un semplice messaggio telefonico o e-mail con il quale si invita il cliente a digitare le proprie credenziali di accesso al conto.

La seconda consiste invece in un “subdolo meccanismo di aggressione che ha luogo attraverso un sofisticato metodo di intrusione caratterizzato da un effetto sorpresa capace di spiazzare l’utilizzatore, grazie alla perfetta inserzione nell’ambiente informatico originale e nella correlata simulazione di un messaggio che a chiunque non potrebbe apparire che genuino”. La differenza è tale da indurre a ritenere che solo nel secondo caso, consistente in una sofisticata intrusione nell’autentico sito della società nel momento in cui l’utente ci accede per compiere un’operazione, deve escludersi una colpa grave del cliente.

Nel primo caso, che è quello che interessa il lettore, l’intrusione non autorizzata nel sistema è invece ascrivibile a colpa grave del ricorrente, che ha reso possibile l’operazione abusiva contestata dando credito a una comunicazione anomala e inusuale: con ciò integrando in definitiva una violazione gravemente colpevole degli obblighi di custodia dei dati identificativi e dispositivi del proprio conto a lui imputabile. Anche perché si tratta ormai di fenomeno diffusamente noto che qualunque utente dotato di normale avvedutezza e prudenza deve essere in grado di individuare, non facendosi trarre in inganno e dispiegando un minimo di diligenza, anche per l’accresciuta campagna di informazione che i media e gli intermediari hanno da tempo attuato.

Vuoi ricevere le notizie di Bluerating direttamente nella tua Inbox? Iscriviti alla nostra newsletter!