Per la polizia postale vi è un vertiginoso aumento di denunce da parte dei cittadini per addebiti causati da pishing, vishing e smishing. Bisogna diffidare da e-mail, sms o telefonate che concederebbero vincite di presunti concorsi, offerte di lavoro e regali, e ancora di più di chi contatta per chiedere conto di problemi verificatisi con il proprio conto corrente o di effettuare l’aggiornamento delle password di accesso in scadenza. Dietro queste richieste di invito si può anche richiedere di discollegarsi al mobile banking per sbloccare il conto o regolarizzare la propria situazione bancaria. Ma se ciò accade e il truffatore travestito da operatore del gestore economico sembra affidabile, ci si ritrova il conto azzerato. Di chi è la responsabilità?
Per la cassazione: l’eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento. Ecco la diligenza bancaria richiesta. Tale diligenza deve prevedere ed evitare con propri strumenti il collegamento di operazioni illecite di terzo alla volontà di utilizzo del correntista.
Quale è il limite alla diligenza bancaria del cosiddetto bancario accorto?
La banca non risponde del danno patito dal cliente solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo (Corte di cassazione con l’ordinanza 12 aprile 2018, n. 9158.). Ciò vuol dire che se il cliente abbia fornito i propri codici di accesso senza aver fatto alcuna verifica sulla competenza e identità del richiedente i codici stessi, il cliente sarebbe unico responsabile di tale leggerezza. Sostanzialmente la diligenza bancaria e la sua responsabilità si frena laddove l’utente non abbia utilizzato la cosiddetta diligenza del buon padre di famiglia. Concetto giuridico generico che tuttavia va messo a confronto con le nuove sofisticate tecniche dei cyber truffatori finanziari. Se questi da un lato affinano sempre più le tecniche persuasive e illustrative della loro credibilità di essere diretta espressione di istituti finanziari su cui il cittadino ha il proprio denaro, non sempre si può dire per gli istituti finanziari stessi. Pertanto, laddove l’istituto finanziario non abbia in dotazione per il cliente un home banking online garantito dall’autenticazione forte detta “SCA strong costumer autentication” la banca dovrà sempre risarcire il cliente.
Non basta più la semplice autenticazione ma la doppia. Solo l’uso dell’OTP (one time password) non è una forma di sicurezza che toglie alla banca le sue responsabilità di garante. Ad oggi è necessaria la doppia autenticazione forte prevista a livello europeo. Il primo requisito è spesso il nome utente e password dell’home banking o della app, mentre il secondo dovrebbe coincidere con i dati biometrici, come ad esempio l’impronta digitale per far partire il pagamento. La sola OTP – considerato il grado di persuasione raggiunto dai truffatori non è un secondo passaggio di sicurezza dirimente. Di questo avviso anche l’ABF – Arbitrato Bancario Finanziario che in tali casi è davvero dalla parte del cittadino. Per cui può ben dirsi che in assenza di una doppia autenticazione, anche se comunichiamo i dati del nostro home banking al truffatore la banca dovrà sempre risarcire. Ogni truffa subita – valutata caso per caso può essere fonte di legittimo risarcimento da parte dell’istituto bancario, ma resta certo l’amarezza che i primi responsabili possano godersi il frutto dei loro raggiri. Anche in tal senso le investigazioni finanziarie e gli strumenti di intercettazione dei flussi finanziari provenienti dalle truffe online dovranno velocemente migliorare, al pari della grande crescita del mondo economico digitale.