Home » Diritto bancario/finanziario » Il conto corrente online. Il phishing

Il conto corrente online. Il phishing

1. IL CONTO CORRENTE

"Il conto corrente è il contratto col quale le parti si obbligano ad annotare in un conto i crediti derivanti da reciproche rimesse, considerandoli inesigibili e indisponibili fino alla chiusura del conto" (art. 1823, comma 1, c.c.).

Il conto corrente è lo strumento tecnico bancario per mezzo del quale il titolare del conto (correntista)deposita denaro all'interno di un istituto di credito. Tramite questo strumento egli può avvalersi della moneta bancaria, del denaro elettronico e degli altri strumenti finanziari. Il conto corrente è sia il mezzo attraverso il quale il cliente può amministrare i propri risparmi, sia il mezzo attraverso il quale può gestire tanto le proprie entrate quanto le proprie uscite. Il conto corrente bancario è abbreviato con la sigla C/C e per identificarlo è sufficiente possedere un codice denominato IBAN.

L'IBAN, acronimo per International Bank Account Number, è un codice alfanumerico composto da 27 caratteri che identificano, in maniera standard, il paese in cui è tenuto il conto, la banca, lo sportello e il conto corrente di ciascun cliente.

Il conto corrente è uno strumento utilizzato tanto dai soggetti privati quanto dalle aziende. I servizi ad esso correlati sono tendenzialmente: accrediti di emolumenti o pensioni, effettuazione e ricezione di bonifici, utilizzo per i pagamenti di prodotti e servizi nonché per il pagamento di qualsiasi tipo di utenza, l'emissione e la ricezione di assegni, l'utilizzo di tutte le carte di debito, revolving e di credito nonché di investimenti e prelievi. La gestione del conto corrente avviene attraverso la visione dell'estratto conto. Inoltre il possesso di un conto corrente permette, sia a soggetti pubblici che privati, di ricorrere all'accensione di un affidamento bancario. In Italia è possibile distinguere quattro categorie di conto corrente e il cliente è libero di scegliere quella più conveniente in base alle proprie esigenze. Dette tipologie sono utilizzabili tanto per i conti tradizionali che per quelli online, essendo questi ultimi equiparati ai primi.

Il conto ordinario: è un conto a consumo, e questo vuol dire che più operazioni il cliente porrà in essere più saranno elevati i costi a suo carico.

Il conto a pacchetto: come dice il termine stesso, è un tipo di conto che offre servizi accessori a quelli tipici quali cassette di sicurezza, assicurazioni e gestione del risparmio. In questa tipologia di conti le operazioni possono essere compiute gratuitamente, ma si distingue tra conti senza franchigia e conti con franchigia. Nel primo caso le operazioni gratuite sono illimitate mentre nel secondo, una volta superata la soglia massima di operazioni concesse, sarà addebitato un costo per ogni operazione aggiuntiva.

Il conto di base: è consigliato agli utenti con limitate esigenze finanziarie. I servizi offerti, infatti, includono solo alcune operazioni finanziarie ossia l'utilizzo della carta di debito, l'accredito di pensioni o stipendi, il versamento di contanti e assegni, i prelevamenti ed infine l'addebito delle utenze. Questo conto ha un costo fisso annuo e prevede agevolazioni per i soggetti che hanno un ISEE particolarmente basso.

Il conto in convenzione: è solitamente offerto a categorie di lavoratori appartenenti a piccole medie e grandi imprese, tanto pubbliche quanto private. È assimilabile al conto ordinario ma permette, data la grande affluenza di utenti, di avere sconti sulle spese e agevolazioni sugli investimenti.

1.1. Il conto corrente online

Lo sviluppo tecnologico ha fatto sì che, al pari di tutti i settori, si informatizzasse anche e soprattutto quello bancario. Il conto corrente online propriamente detto è quello proposto da una banca che opera esclusivamente sulla rete informatica.

Oggi però tutte le banche, ma anche tutti i soggetti erogatori di conti correnti, offrono servizi che permettono di coadiuvare la fisicità dell'istituto con meccanismi di "home banking". Questi servizi hanno il compito di agevolare la vita del cliente, evitando che egli sia obbligato a recarsi personalmente presso l'istituto bancario potendo, invece, seguire quasi tutte le sue operazioni da casa o dall'ufficio, per mezzo di un collegamento telematico (il ritiro di un carnet di assegni, ad esempio, è effettuabile solo allo sportello).

L'home banking racchiude in sé tanto il servizio di internet banking quanto quello di mobile banking. L'internet banking necessita una connessione con l'istituto bancario per mezzo di reti informatiche e portali web mentre il mobile banking permette l'accesso grazie a GSM, GPRS e UMTS.

L'avvento del sistema di home banking è stato un fenomeno mondiale tale da obbligare tutti gli operatori economici già esistenti a creare canali atti a questo utilizzo e addirittura ha fatto sì che si creassero appostiti istituti bancari totalmente online. In questo caso le operazioni bancarie possono essere effettuate esclusivamente in rete. Per eseguire operazioni bancarie online sarà quindi necessario disporre di un computer, di uno smartphone o di un tablet, di una connessione Internet e di un browser per accedere al Web. La gestione di un conto online non crea particolari problematiche, anzi è piuttosto semplice e molto sicura.

1.2. Il funzionamento

Il cliente che apre un conto corrente online ha una propria area riservata.

L'area riservata è una pagina internet personalizzata che permette di controllare ed accedere al proprio conto monitorando le entrate, le uscite e gestendo le eventuali operazioni. Al fine dell'autentificazione, per poter accedere alla propria area riservata sarà necessario, per l'utente, inserire due codici: il primo denominato codice cliente, non modificabile e fornito dalla propria banca; il secondo è una password.La prima volta che l'utente accede alla propria area riservata dovrà utilizzare la password fornitagli dalla banca, ma poi potrà modificarla. Molte banche, per motivi di sicurezza, fanno utilizzare un apposito tastierino "Pin Pad" per inserire i codici identificativi.

Non appena il cliente avrà effettuato l'accesso nella propria area riservata, sarà necessario inserire degli altri codici. Ogni banca utilizza un proprio sistema per dotare i clienti di suddetti codici.

I sistemi più frequenti sono tre:

- una tessera con delle sequenze di codici numerici che dovranno essere inseriti nelle modalità richieste dal sito internet. Questa tecnica è la più tradizionale, ma oramai in disuso;

- un dispositivo token che genera una "OTP" - One-time password -, ossia una delle più sofisticate barriere contro le frodi informatiche. Questa modalità di accesso richiede al cliente di digitare la speciale password temporanea mostrata dal dispositivo ad ogni operazione. La password generata può essere utilizzata una sola volta, il che impedisce il suo riutilizzo fraudolento;

- la banca invia sullo smartphone del cliente i codici di accesso.

Una volta che il cliente abbia inserito tutti i codici di accesso potrà svolgere ogni attività che avrebbe svolto allo sportello. Terminato il suo lavoro, e uscendo dalla propria area riservata per mezzo di un "log out", il cliente potrà essere sicuro che nessuno accederà automaticamente ad essa. Uno strumento particolarmente utile, al fine di monitorare il proprio conto corrente online, è quello degli sms alert, cioè sms che vengono inviati dalla banca al telefono cellulare del cliente ogni qual volta venga effettuata un'operazione dal suo conto.

1.3. I risvolti pratici

Il fenomeno della banca online ha avuto risvolti tanto positivi quanto negativi. Il fenomeno della telematizzazione permette all'utente di accedere a tutti i propri servizi in qualunque parte del mondo ma d'altro canto nel settore lavorativo questo ha reso superflua l'esistenza di alcune tipologie impiegatizie.

L'eliminazione di certe figure lavorative, fenomeno ovviamente negativo per il mercato del lavoro, ha però a sua volta avuto un risvolto positivo: ha permesso infatti alle banche online un notevole abbattimento dei costi, abbattimento che si è riversato sui conti corrente. I conti online praticano infatti condizioni di interesse molto più vantaggiose rispetto a quelle delle banche tradizionali. I costi che l'utente è tenuto ad affrontare per l'apertura e la conservazione del proprio conto tradizionale si dividono in fissi e variabili.

costi fissi sono costanti e non soggetti a variazioni dovute all'utilizzo e sono: il canone annuo del conto corrente, i canoni legati a eventuali carte di pagamento, le imposte di bollo, le spese per l'invio delle comunicazioni al cliente. Il canone annuo include spesso anche un certo numero di operazioni.

costi variabili dipendono dall'utilizzo del conto da parte del cliente e dalle scelte commerciali della banca.

Il cliente che ha un conto corrente online non è sottoposto a questi costi.

2. LA CASISTICA IN ESAME E LA DECISIONE DELL'ARBITRO: IL CONTO CORRENTE ONLINE E IL PHISHING

L'ABF (Arbitrato Bancario Finanziario), con decisione del 9 giugno 2015 n. 4641 del Collegio di Milano, era stato chiamato a pronunciarsi circa l'attribuzione della responsabilità (del correntista o della banca) per avvenuta sottrazione di denaro da un conto corrente online, per mezzo di un'operazione fraudolenta denominata phishing.

Per chiarire meglio la questione è opportuno analizzare i fatti.

"Il ricorrente, titolare di un conto corrente nonché di un contratto di servizi via internet, cellulare e telefono presso l'odierna convenuta, riferiva che, una sua congiunta, delegata ad operare sul suo conto, aveva aperto una e-mail inviata al proprio indirizzo di posta elettronica in cui gli veniva chiesto di effettuare un controllo urgente del conto on-line inserendo le chiavi di accesso compreso il codice ricevuto via sms, per l'effetto di confermare l'esecuzione a mezzo internet banking di una ricarica di carta prepagata intestata ad una persona a lui sconosciuta. Il giorno successivo il ricorrente si avvedeva, verificando i movimenti sul proprio conto corrente, che gli era stata sottratta in tal modo fraudolentemente la somma corrispondente all'importo della ricarica. Sporgeva, quindi, denuncia all'A.G. e lo stesso giorno provvedeva al disconoscimento di tale operazione presso la dipendenza dell'intermediario. Il cliente esperiva un primo reclamo personalmente e un secondo per mezzo del proprio legale. Insoddisfatto del riscontro ricevuto dall'intermediario, presentava quindi ricorso all'ABF, chiedendo al Collegio di disporre la restituzione integrale della somma indebitamente prelevata dal suo conto.

D'altro canto però, l'intermediario resistente presentava le sue controdeduzioni tramite il Conciliatore Bancario Finanziario, esponendo innanzi tutto di avere fornito alla propria clientela adeguata informativa sulla sicurezza, con particolare riferimento al fenomeno del phishing, raccomandando di prestare attenzione alle e-mail sospette nonché ai link che prevedessero l'inserimento di password. La convenuta sosteneva che il lamentato addebito sarebbe da ricondurre puramente all'imprudente comportamento del cliente, che avrebbe vanificato le cautele poste in essere per contrastare eventuali comportamenti fraudolenti, in presenza oltretutto di un sistema di sicurezza cd. "a più fattori". L'intermediario chiedeva pertanto il rigetto del ricorso non ritenendosi responsabile per quanto accaduto.".

Il Collegio quindi, analizzata la questione, decideva.

In primo luogo il Collegio ha ritenuto opportuno evidenziare che i fatti erano avvenuti dopo l'entrata in vigore del D.Lgs. n. 11/2010 di recepimento della PSD (Direttiva 2007/64/CE) e che quindi, per la decisione del caso, non poteva non far riferimento alla normativa. Suddetta normativa era utilizzata dal Collegio con riferimento ai commi 3 e dell'art. 12, parte in cui si afferma che le perdite derivanti dall'utilizzo fraudolento di strumenti elettronici di pagamento prima della comunicazione di allerta sono sopportate interamente dal cliente nel caso siano provati il dolo o la colpa grave dello stesso. Il Collegio riteneva pacifico che non vi fosse stato alcun accesso fraudolento al conto del ricorrente dato che "tutti gli accessi compiuti sono stati posti in essere utilizzando le credenziali necessarie senza alcun errore", e che quindi si configurasse l'ipotesi di colpa grave in capo al cliente.

L'Arbitro, infatti, sottolineava l'imprudenza del ricorrente nel fornire tutte le credenziali di accesso ad una sua congiunta, ed inoltre sottolineava la più grave imprudenza di entrambi nel seguire le istruzioni di una e-mail contenente una comunicazione poco credibile.

Di conseguenza, non essendovi stata una "captatio" posta in essere con modalità particolarmente sofisticate, l'Arbitro confermava che al cliente fosse imputabile una violazione gravemente colpevole degli obblighi di custodia dei dati identificativi e dispositivi del conto online, sicché la perdita dallo stesso subita non poteva che rimanere interamente a suo carico.

Con questa motivazione L'ABF rigettava il ricorso.

3. LA GIURISPRUDENZA

La decisione arbitrale sancisce che la responsabilità della sottrazione fraudolenta di denaro non possa essere addebitata all'intermediario, anzi essa debba essere riconosciuta totalmente a carico del cliente. L'ABF cita, nel dispositivo, quattro decisioni arbitrali che supportano la sua tesi: quelle del Collegio di Milano, la n. 467/2014 e la n. 3124/2013, e quelle del Collegio di Roma, la n. 1699/2013 e la n. 1820/2013.

Le decisioni arbitrali, però, non sembrano essere in linea con la giurisprudenza, che tende solitamente a configurare la responsabilità in capo all'intermediario.

Una prima sentenza, quella del Tribunale di Palermo n. 2904/11, sancisce: "l'istituto avrebbe dovuto adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute, in base al progresso tecnico, volte a ridurre il rischio di accesso non autorizzato, come quello verificatisi in capo agli attori, non essendo sufficiente la non violazione di norme di legge, posto che la diligenza richiesta deve essere valutata con maggior rigore, atteso che la prestazione inerisce all'esercizio di un'attività professionale".

Il Tribunale di Firenze, con sentenza del 20/5/2014, conferma la tesi del Tribunale di Palermo, non avendo alcun dubbio circa la responsabilità per phishing delle Poste Spa, responsabilità causata dalla carenza di adeguate misure di sicurezza.

In particolare il predetto Organo Giudicante ritiene che "la fattispecie in esame debba essere inquadrata giuridicamente alla luce della normativa generale in materia di obbligazioni. Poste Italiane, come qualsiasi altro operatore bancario, nei rapporti contrattuali con il cliente risponde secondo le regole del mandato (art. 1856 c.c.) e la diligenza cui è tenuta va valutata con particolare rigore".

A sostegno della propria statuizione il Tribunale cita due sentenze della Suprema Corte:

Cass., sez. I civile, 24 settembre 2009, n. 20543, per cui: "la diligenza del buon banchiere deve essere qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell'agente consente e richiede".

Cass., sez. I civile, 12 giugno 2007 n. 13777, per cui: "non può essere omessa (...) la verifica dell'adozione da parte dell'istituto bancario delle misure idonee a garantire la sicurezza del servizio (...); infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell'accorto banchiere".

Prosegue la tendenza della giurisprudenza di merito a valutare con rigore la posizione delle banche convenute dagli utenti del servizio di home banking che si sono visti defraudare delle somme depositate ad opera di hackers che hanno adoperato tecniche di phishing.

Il Tribunale di Milano, sez. VI civile, con sentenza 4/12/2014 afferma: "All'operatore professionale si addebita, a vario titolo, la violazione degli obblighi inerenti alla predisposizione di dispositivi di sicurezza idonei a evitare intrusioni sin troppo agevoli nei sistemi protetti. Anche a fronte dell'adozione di misure di protezione in linea con gli standard del settore, la banca può comunque essere chiamata a rimborsare, a norma della disciplina sui servizi di pagamento, la perdita sofferta dal correntista allorquando i pirati informatici, per impossessarsi delle credenziali, si siano avvalsi di metodi particolarmente sofisticati che, allo stato, non sono riconoscibili e neutralizzabili dal cliente medio.".

La questione relativa al phishing e quindi alle frodi correlate ai servizi bancari online viene poi valutata dalla giurisprudenza anche con riferimento a risvolti di carattere penale, concretizzando quindi ipotesi di reato.

Il Tribunale di Milano, con sentenza 7 ottobre 2011, sancisce: "Siffatta tecnica (phishing) è da tempo ampiamente utilizzata da personaggi senza scrupoli che, ove individuati, rischiano di andare incontro a condanne penali, potendo ravvisarsi nel loro agire gli estremi dei delitti di sostituzione di persona, accesso abusivo a un sistema informatico e truffa.".

Anche la Cassazione (Cass. pen., sez. II, 17 giugno 2011, n. 25960) ribadisce la consacrazione del reato: "È passibile di sanzione anche il cd. financial manager, vale a dire il soggetto che viene reclutato dal phisher onde ricevere sul proprio conto le somme prelevate dai soggetti ingannati, per poi ritrasferirle su conti nella disponibilità del phisher medesimo. Il financial manager può rispondere a titolo di concorso nei predetti reati se ha agito con la consapevolezza della complessiva attività decettiva posta in essere a scapito degli ignari correntisti, mentre in mancanza di tale consapevolezza si configurano a suo carico la ricettazione o il riciclaggio.".

4. NOTE

È importante concentrarsi sull'impatto che il conto corrente online ha avuto sui cittadini italiani. Sicuramente questo strumento ha avuto un ampissimo utilizzo negli ultimi due anni, infatti le statistiche riferiscono un innalzamento della percentuale di italiani che hanno aperto un conto online. Non appare difficile pensare che questa percentuale si riferisca ad una fascia di popolazione giovane, molto più propensa e abituata ad utilizzare servizi online ed informatici rispetto al cliente più anziano, che preferisce invece il rapporto personale con l'operatore allo sportello.

Un altro elemento a favore dell'apertura dei conto online è quello legato ai costi, che sono praticamente azzerati rispetto ai conti tradizionali, tanto che alcune banche non addebitano al cliente neppure il costo dell'imposta di bollo.

Ludovica Fede - Diritto e Contenzioso Bancario