Tribunale di Genova, sentenza 17.07.2024, n.2109
Domanda giudiziale
La società attrice ha chiesto al Tribunale di accertare la responsabilità di due banche con le quali intratteneva rapporti di conto corrente, per l’avvenuta sottrazione di euro 100.000,00 a suo danno, a seguito di due bonifici non autorizzati eseguiti attraverso il sistema “multibanca” tramite la piattaforma di home banking, e di condannarle, in via solidale, a rimborsare la somma sottratta.
Fatto
La società commerciale operava con due conti correnti aziendali, accesi presso due diversi istituti di credito, utilizzando la piattaforma del sistema “multibanca” per la gestione online delle operazioni.
Il 6 luglio 2020 la società, tramite una sua dipendente, dopo aver correttamente inserito le credenziali, disponeva un bonifico di euro 50.000,00 con causale “giroconto” dal proprio conto all’altro proprio conto. Dalla stampa della contabile, tuttavia, la causale risultava modificata in “saldo fattura 362 progetti Elite House”.
Immediatamente la società segnalava l’anomalia alla referente bancaria, chiedendo di bloccare l’operazione, ma senza ottenere un riscontro effettivo.
Il giorno seguente, riscontrato che il primo bonifico non appariva contabilizzato, la società disponeva un secondo bonifico di pari importo, anch’esso successivamente alterato dal sistema e dirottato verso un soggetto estraneo.
Una delle due banche veniva contattata per bloccare ogni operazione, senza però un immediato riscontro concreto.
Disamina
Il Tribunale di Genova ha riconosciuto che la società attrice è stata vittima di una sofisticata frode informatica, denominata “man in the browser”, con un malware introdotto nel computer aziendale tramite PEC contenente una finta fattura.
Il virus, invisibile ai sistemi antivirus dell’epoca, intercettava le operazioni bancarie modificando i dati (IBAN e causali) senza che l’utente potesse accorgersene.
Il Giudice ha richiamato la disciplina del d.lgs. n. 11/2010 in materia di servizi di pagamento, in particolare l’art. 10, che pone a carico del prestatore di servizi di pagamento (la banca) l’onere di provare la frode, il dolo o la colpa grave dell’utente.
La banca, per escludere la propria responsabilità (cd. semi-oggettiva), deve dimostrare che l’operazione disconosciuta sia stata autorizzata dall’utente oppure che questi abbia agito con colpa grave nella custodia delle credenziali.
Nel caso concreto, la società istante aveva:
√ utilizzato correttamente le credenziali di accesso (codice utente, PIN, OTP);
√ adottato un sistema antivirus aggiornato;
√ segnalato immediatamente la prima anomalia alla banca, chiedendo l’annullamento del bonifico.
Il Tribunale ha, quindi, escluso la colpa grave dell’utente, osservando che il comportamento era diligente e che la frode era tecnicamente non rilevabile da un utente medio.
Di contro, le banche non avevano provato di aver adottato adeguati sistemi antifrode, né di aver gestito correttamente le segnalazioni del cliente.
Il giudice ha sottolineato che, secondo la giurisprudenza di legittimità (Cass. 9158/2018; 32075/2021; 16417/2022), la responsabilità per simili eventi rientra nel rischio professionale dell’attività bancaria: la banca deve assicurare la sicurezza dei sistemi e prevenire accessi abusivi, anche mediante protocolli che rilevino transazioni anomale, allarmi su IBAN sospetti, controlli IP e comunicazioni immediate al cliente.
Conclusione
Il Tribunale ha ritenuto entrambe le banche responsabili in solido per non aver adottato le misure necessarie a garantire un adeguato livello di sicurezza del sistema di home banking. Pertanto, ha condannato gli istituti di credito al pagamento, in favore della società attrice, della somma di euro 100.000,00 oltre rivalutazione e interessi, nonché al rimborso delle spese di lite e delle spese di CTU.
È stata, invece, rigettata la domanda di manleva proposta da una banca nei confronti dell’altra, ritenuta generica e priva di fondamento giuridico.
Principio di diritto
In caso di operazioni di pagamento non autorizzate dovute a frodi informatiche (c.d. man in the browser), il prestatore di servizi di pagamento risponde del danno subito dal cliente, salvo che provi la frode, il dolo o la colpa grave dell’utente.
L’utilizzo corretto delle credenziali e la pronta segnalazione dell’anomalia escludono la colpa grave, mentre la banca è tenuta ad adottare sistemi di sicurezza aggiornati e protocolli antifrode idonei a prevenire tali eventi.
Legal Advice
Per non incorrere in responsabilità l’Istituto di credito deve:
- adottare adeguati sistemi antifrode;
- implementare sistemi di autenticazione a più fattori e monitoraggio continuo;
- predisporre procedure di allerta automatica su transazioni anomale (importi, IP, nuovi dispositivi);
- conservare log informatici che dimostrino la corretta esecuzione delle operazioni;
- fornire al cliente riscontro immediato in caso di segnalazione di frode;
- formare il personale bancario in tema di cybersecurity e tutela del cliente;
- provare il dolo o la colpa grave del Cliente (riconducibilità dell’operazione a quest’ultimo).
