I nuovi orientamenti giurisprudenziali sul reato di phishing: “La banca è responsabile se non prova che il cliente ha disposto il pagamento”
1. Profili civilistici e evoluzione normativa. – 2. Il fatto. – 3. Inquadramento della fattispecie alla luce della recente sentenza della Cassazione: la posizione giuridica delle parti nell’ambito dei servizi di home banking… – 4. … e gli orientamenti espressi dall’Arbitro Bancario e Finanziario in materia.
Il diffondersi di servizi di home banking ha inevitabilmente determinato un progressivo innalzamento dei rischi cui gli utenti bancari sono esposti richiedendo pertanto un rafforzamento dei presidi a protezione di quest’ultimi. La sentenza emessa dalla Suprema Corte nell’aprile 2018, qui epigrafata, nel soffermarsi sulle criticità delle pratiche insidiose di phishing, risulta particolarmente interessante, ai fini dell’indagine condotta, soprattutto per quanto attiene alla valutazione dell’adempimento degli obblighi gravanti sia sul prestatore che sull’utilizzatore dei servizi elettronici di pagamento, con lo scopo di ripartire correttamente il carico probatorio in sede di contenzioso bancario. L’orientamento della Corte, infatti, pur riconducendo nell’alveo del ‘rischio professionale’ del prestatore le ipotesi di illegittimo utilizzo di strumenti di pagamento e addossando sullo stesso un gravoso onere probatorio, non esime il cliente-utilizzatore dal rispetto degli obblighi di diligenza nella custodia dello strumento elettronico e dei codici segreti allo stesso associati. Tanto premesso, l’iter argomentativo seguito nella sentenza resa dalla Suprema Corte di Cassazione getta una luce nuova sulla responsabilità della banca facendo propri non solo i nuovi principi comunitari in materia di Strong Customer Authentication (sanciti dalla recente direttiva PSD2) ma aderendo ad un certo indirizzo reiteratamente espresso dall’Arbitro Bancario Finanziario secondo cui l’intermediario è tenuto a dar prova di aver predisposto misure idonee ad accertare l’attribuibilità delle operazioni alla propria clientela e a garantire la sicurezza dei propri clienti nell’utilizzo dei sistemi di operatività da remoto.
The spread of home banking services has predictably led to a gradual increase in the risks which bank users are exposed to, thus requiring stronger safeguard measures. Dwelling on the gravity of insidious phishing practices, a brief judgement handed down recently by the Supreme Court, April 2018, is particularly interesting, above all regarding assessment of the execution of obligations imposed on both the provider and user of electronic payment services, with the aim of correctly distributing the evidential burden in banking controversies. The orientation of the Court, indeed, while bringing the hypotheses of unlawful use of payment instruments back to the sphere of ‘professional risk’ of the lender and placing a heavy evidential burden on the lender, is not to exempt the customer-user from duly complying with proper safekeeping of the electronic tool and secret codes. Given the above, the argumentative iter followed in the judgment delivered by the Supreme Court of Cassation sheds new light on the bank's responsibility by not only implementing the new EU principles regarding Strong Customer Authentication (established by the recent PSD2 directive), but also adhering to a certain line repeatedly expressed by the Financial Banking Arbitrator (FBA), according to which the intermediary is required to provide evidence of having prepared suitable measures to ascertain the attributability of operations to its customers and to guarantee their safety when accessing remotely.