Diligenza del cliente e doveri di vigilanza in capo alla banca nella gestione del conto corrente online (su servizi di pagamento, d lgs. 11 del 2010 e frodi informatiche)

Assai interessante (perchè analitica) Trib. Milano 28.02.2023 n. 1596/2023, RG 5377/2022, giud. Francesco Ferrari, sull’oggetto.

Caso classico di uso fraudolento di credenziali altrui per storno di somme, tramite -pare- cambio illecito di cellulare agganciato al profilo del cliente.

Riporto solo su quest’ultimo punto:

<<Da parte sua la convenuta ha prodotto l’estratto dei log relativi alle operazioni compiute, nonché agli avvisi via mail e tramite smartphone abilitato, attestando in tal modo come il device originariamente abilitato dal Manfrida a operare attraverso l’App della banca fosse stato sostituito con uno smartphone differente, evidenziando come le parti nel contratto avessero pattuito come, in caso di contestazioni in ordine a operazioni, avrebbero fatto fede i log estratti dal server della banca.
La difesa attorea non ha contestato la provenienza e quanto attestato in detti tabulati (la cui estrazione dai server della banca è stata confermata testimonialmente dall’operatore che aveva curato detta operazione), ma, viceversa, li ha a sua volta invocati quale conferma, a suo dire, della responsabilità della convenuta, la quale non si sarebbe avveduta che le operazioni abusive compiute dai truffatori fossero state disposte utilizzando uno smartphone con sistema operativo Android, quando, invece, lo smartphone in uso all’attore e da questi abilitato operasse con sistema operativo Iphone.
Tale rilievo non può trovare condivisione, in quanto dalla stessa operatività documentata attraverso i log e i tabulati degli alert emerge inequivocabilmente come la sostituzione dello smartphone abilitato sia avvenuta in seguito all’attuazione da parte dell’attore o, quanto meno, sfruttando l’ingenua cooperazione di quest’ultimo, dell’apposita procedura di sostituzione del device abilitato.
In particolare emerge come, una volta avviata la procedura, la banca abbia inviato in due differenti occasioni password temporanee (il cui inserimento era indispensabile per procedere) sulla vecchia utenza telefonica, ossia quella del Manfrida, e sull’indirizzo mail dell’attore e che tali password sono state effettivamente utilizzate per portare a termine l’operazione di sostituzione dello smartphone.
Le cautele utilizzate per effettuare tale sostituzione, ossia l’invio di due password temporanee al cliente, consente di non ritenere sospetta l’operazione in quanto tale, la quale di norma viene effettuata da tutti i clienti, nel momento in cui cambiano il telefono cellulare o una utenza; se, infatti, per poter procedere è necessario utilizzare codici temporanei inviati sull’utenza del cliente, è chiaro che solo quest’ultimo ne possa disporre e, quindi, possa essere abilitato a dare corso alla sostituzione dello smartphone.
Il semplice cambio di device, pertanto, non può essere considerato motivo di allarme o di sospetto, come vorrebbe sostenere la difesa attorea.
Al contrario, l’utilizzo delle password temporanee costituisce un indice inequivoco che porta a presumere come la sostituzione dello smartphone abilitato sia avvenuta con la negligente cooperazione dell’attore, il quale deve avere messo a disposizione i codici di volta in volta solo a lui inviati, al fine di consentire il completamento della procedura.
Una volta completata la sostituzione dello smartphone abilitato, i truffatori, in possesso dell’id e del pin dell’attore (in quanto deve presumersi da questi comunicati in occasione della operazione di cui sopra), hanno potuto utilizzare il token installato sul loro smartphone per poter liberamente operare sul conto corrente del Manfrida.
Le circostanze di fatto in cui si è svolta la vicenda, così come sopra ricostruita, conducono, quindi, a ritenere provata l’esclusiva responsabilità, per colpa grave, dell’attore>>.

Significativa poi è la successiva parte motivatoria sul dovere di monitoraggio e sorveglianza attiva della banca, che non riporto qui.