Cybercrimes

Marchi d'impresa

Domain Names

Rassegna Stampa

Contributi Multimediali

Note Esplicative e Suggerimenti per la Ricerca

Arbitrato Bancario Finanziario - Decisione n. 544 del 17 giugno 2010

(tratto da http://www.arbitrobancariofinanziario.it/) Phishing - Richiesta di rimborso al prestatore di servizi di pagamento - Assenza di responsabilità dell'Istituto bancario ex art. 1176, comma II, c.c. - Incidenza del fatto colposo del cliente a norma dell'art. 1227 c.c.


IUS&WEB | Portale di informazione giuridicagiovedì 17 giugno 2010

Massimazione e nota a cura dell'Avv. Dario Galliani

Il provvedimento reso dall'Arbitrato Bancario Finanziario prende le mosse da un caso di c.d. ^phishing^, ossia l'appropriazione di somme da parte di terzi mediante l'apprensione fraudolenta delle credenziali d'accesso del titolare di un servizio ^home banking^.

Orbene, nel caso di specie, una ONLUS, riscontrato l'addebito sul proprio conto corrente di somme portate da due distinti bonifici non autorizzati, ne denunciava dapprima il fatto alle competenti autorità di pubblica sicurezza e successivamente al proprio Istituto di credito, il quale, una volta attivatosi, riusciva a bloccare solo uno due due predetti bonifici.

Il correntista proponeva pertanto reclamo alla banca per ottenere l'integrale rimborso dell'ulteriore somma ad esso addebitata, evidenziando una pacifica lacuna nel suo sistema di sicurezza (rappresentato dall'inserimento di una ^username^ e di una ^password^, senza ulteriori presidi), atteso che entrambe le operazioni non autorizzate erano avvenute da postazioni diverse dal computer aziendale.

Per contro, il prestatore di servizi di pagamento contestava ogni responsabilità sul punto, evidenziando la correttezza del proprio operato, nonché la circostanza di aver offerto al correntista, già prima dell'accaduto, un rafforzamento delle misure di sicurezza (nella fattispecie il sistema di protezione TOKEN e il servizio ALERT) e, comunque di avere attivato d'ufficio i detti presidi dopo la segnalazione del doppio abuso.

Il Collegio, interessato dal ricorso del correntista, una volta preso atto della ricostruzione delle parti, riteneva, da un lato, escludersi qualsivoglia responsabilità in capo all'Istituto di credito sotto il profilo della colpa grave ex art. 1176, comma II, c.c., dall'altro, sussistere un concorso del fatto colposo del correntista, ai sensi dell'art. 1227 c.c., senza peraltro supportare tale conclusione su eventuali elementi probatori offerti dalla banca, gravata dell'onere probatorio di dimostrare l'eventuale mancato obbligo di corretta custodia delle credenziali di accesso da parte del correntista.

Di talché rigettava il ricorso, evidenziando peraltro che "che pur non potendosi affermare una responsabilità della banca per le ragioni sopra esposte, questo Collegio rileva comunque che, allorché non si abbia a che fare un privato (c.d. internet banking o home banking) ma con un soggetto che movimenta più frequentemente il c/c con operazioni a distanza, è sempre consigliabile, quantomeno per le operazioni dispositive suscettibili di ingenerare danni economici, l'adozione di tutte quelle protezioni più raffinate che la tecnologia offre (ad es., le serie numeriche casuali e random generate da dispositivi automatici quali chiavette o token, digipass, et similia), senza lasciare al singolo cliente la scelta in ordine al godere o no della protezione più elevata in quel momento disponibile. Come, del resto, nella specie la stessa banca ha fatto, seppure dopo la denunzia degli abusi".

Sul punto il Collegio si limitava a ^rimbrottare^ il prestatore di servizi di pagamento, deliberando " di rivolgere all'intermediario, nei sensi di cui in motivazione, indicazioni utili a migliorare le relazioni con la clientela."

Ad avviso dello scrivente, il provvedimento reso dal Collegio di Roma presta il fianco a numerose critiche, per diversi ordini di motivi.

Anzitutto la valutazione del corretto adempimento delle obbligazioni in capo all'Istituto bancario in materia di sicurezza, non tiene conto dell'entrata in vigore del Decreto Legislativo del 27 gennaio 2010 n. 11 (entrato in vigore il 28 febbraio 2010), il cui articolo 8 cosi recita: "Il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l'obbligo di: a) assicurare che i dispositivi personalizzati che consentono l'utilizzo di uno strumento di pagamento non siano accessibili a soggeti diversi dall'utilizzatore legittimato ad usare lo strumento medesimo, fatti salvi gli obblighi posti in capo a queest'ultimo ai sensi dell'articolo 7" .

Ed ancora, giusto il disposto dell'articolo 10 del citato Decreto legislativo: "Quando l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sè necessariamente sufficiente a dimostrare che l'operazione sia stata autorizata dall'utilizzatore medesimo, nè che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più obblighi di cui all'articolo 7.".

Orbene, nel caso di specie risulterebbe, da un parte, un corretto adempimento del correntista alle proprie obbligazioni di custodia delle credenziali di accesso (visto che le operazioni non autorizzate erano avvenute da postazioni diverse dal computer aziendale) e di comunicazione del pagamento non autorizzato all'erogatore dei servizi di pagamento avvenuto pochi giorni dopo l'accaduto (ampiamente nel termine di 13 mesi dalla data di addebito prevista dall'art. 9 del D. Lgs. 11/10), dall'altra, il mancato approntamento da parte del prestatore di servizi di pagamento di quei presidi di sicurezza (servizio TOKEN e ALERT), peraltro già esistenti all'epoca dei fatti, il cui utilizzo, come evidenziato dal Collegio, non poteva essere lasciato all'apprezzamento del correntista, privo in genere degli strumenti tecnici per operare un scelta consapevole.








FAMIGLIE: Cybercrimes, Giurisprudenza Italiana, 2000-2050

Condividi su Facebook
Arbitrato Bancario Finanziario - Decisione n. 544 del 17 giugno 2010
ARTICOLI CORRELATI
IUS&WEB | Portale di informazione giuridicaAffaritaliani.it - quotidiano on-line 11 ottobre 2010
^Cassazione/ Il direttore di un giornale online non è punibile per omesso controllo come quelli delle testate cartacee. L'avvocato che ha ottenuto la sentenza:
IUS&WEB | Portale di informazione giuridicaCassazione penale, sez. V, 30 settembre 2008, n. 1727
Accesso abusivo a sistema informatico - frode informatica - dipendenti infedeli Agenzia delle Entrate - inserimento sgravi fiscali in relazione a tributi iscritti a ruolo - titolarità della password di accesso - sussistenza reato ex art. 615 -ter comma II n.1)
IUS&WEB | Portale di informazione giuridicaArbitrato Bancario Finanziario - Decisione n. 33 del 10 febbraio 2010
(tratto da http://www.arbitrobancariofinanziario.it/) Homebanking - Prelievi di somme da parte di terzi - c.d. ^phishing attack^ - Richiesta di rimborso al prestatore di servizi di pagamento - Vulnerabilità dei servizi informatici del Gruppo bancario - Applicazione dell'art. 1176, comma II, c.c. nella valutazione della responsabilità dell'Istituto di credito - Art. 1227 c.c. ^concorso del fatto colposo del creditore^
Inserisci il tuo indirizzo email per
ricevere la Newsletter di Ius&Web
CATEGORIE
IUS&WEB | Portale di informazione giuridica

Anno di Pubblicazione

IUS&WEB | Portale di informazione giuridica

Contributi multimediali

ARTICOLI RECENTI
Homepage|Cybercrimes|Marchi d'Impresa|Domain Names|Rassegna Stampa|Contributi Multimediali|Chi Siamo|Note Esplicative|Note Legali
Valid HTML 4.01 Strict Valid CSS
In property of: Avv. Dario Galliani | All Rights Reserved by IUS&WEB
Sito segnalato all'Ordine degli Avvocati di Como così come previsto dal Codice Deontologico Forense
879