domenica 29 luglio 2018

Home banking: la banca deve adottare tutte le misure idonee ad evitare il furto digitale

Questa domenica torniamo ad affrontare l'argomento furto dei dati personali (phishing), con particolare attenzione ad una delle ipotesi più fastidiose: il furto della password del conto corrente on line.

La giurisprudenza della Corte di Cassazione si è già soffermata altre volte su questo tema, delineando l'eventuale responsabilità dell'istituto di credito per non aver garantito il sistema di sicurezza idoneo per il cliente.

Le operazioni bancarie effettuate via internet (c.d. home banking) sono diffusissime ed in questi casi, la banca ha un particolare dovere di difesa verso il cliente, al fine di tutelare la sua sicurezza e riservatezza.

Con la recente ordinanza n. 9158 del 12 aprile 2018, la Cassazione ha voluto richiamare il generale dovere di diligenza gravante sulla banca ex art.1176 c.c., comma 2 (diligenza dell'accorto banchiere), al fine di ribadire il principio secondo il quale la banca deve adottare tutti gli strumenti volti a tutelare il cliente, a partire dall'uso dei codici di accesso alla piattaforma on line fino alla conclusione dell'operazione.

Ne consegue che nel caso di uso improprio dei codici da parte di terzi, la banca è responsabile per il danno sofferto cliente vittima del furto digitale, allorché non riesca a dimostrare di aver adottato tutti i sistemi di sicurezza idonei ad impedire l'accesso illegale al servizio home banking del cliente, o comunque bloccare/segnalare l'operazione di illecito trasferimento dei fondi.

Ma l'intervento della Cassazione va oltre, nel senso che la banca non può limitarsi a dimostrare di aver adottato idonee misure di sicurezza per non risultare responsabile per il danno sofferto dal cliente nel caso di phishing. 

Merita, sotto tale profilo, di essere segnalato il ragionamento seguito dal giudice di legittimità, secondo il quale l'attività svolta dalla banca, chiamata a controllare ed evitare/limitare tutte le attività illecite di terzi nei confronti dei propri clienti, tant'è che la banca può essere chiamata a rispondere ex art.2050 c.c., una forma di responsabilità oggettiva aggravata.

Quale conseguenza? nel caso di furto digitale nell'home banking, la banca non risponde del danno sofferto dal cliente solo se offre una valida prova di:

(a) aver adottato tutte le misure di sicurezza  idonee ad evitare il danno, conoscibili nel momento storico dell'evento;
(b) l'evento dannoso (il furto del denaro dal conto corrente on line) è stato originato da causa esterna rispetto alla sfera di controllo della banca (ad esempio dovuta a fatto del terzo o dello stesso danneggiato).

La banca dovrà offrire la prova, idonea ad escludere la propria responsabilità, nel rispetto del principio del buon banchiere sopra richiamato e quindi ex art. 1176 c.c. comma 2.

Qui di seguito, il provvedimento della Cassazione. 

giovedì 5 luglio 2018

Ti hanno iscritto a sofferenza alla Centrale Rischi? Cosa puoi fare per cancellare la segnalazione

Negli ultimi mesi sono aumentati i casi ove la banca ha provveduto a segnalare in modo affrettato, ed errato (o meglio illegittimo), i propri clienti nelle banche dati, trasformando questi ultimi in "indegni del credito bancario", e quasi marchiati a vita di fronte all'intero sistema bancario.

Questa Associazione ha denunciato più volte questo modus operandi, anche tutelando i propri associati da evidenti casi di errata segnalazione alla Banca d'Italia o alle altre banche dati private (scrivi la tua storia a sos@consumatoreinformato.it).

Per tale ragione, questa domenica riteniamo importante proporvi in lettura il recentissimo provvedimento con il quale il Tribunale di Lanciano (ordinanza del 12 febbraio 2018 che potete leggere qui sotto) ha ordinato ad una banca di provvedere all'eliminazione del nominativo di un proprio cliente dalla Centrale Rischi di Banca d'Italia, erroneamente indicato con il rischio "a sofferenza", in quanto l'istituto di credito aveva segnalato il consumatore nella banca dati senza avere né verificato la sua situazione patrimoniale né informato quest'ultimo dell'imminente aggravamento della sua immagine creditizia

    Il problema: in tempi di crisi, è assai frequente che il privato, in genere una piccola società, si veda "stringere il cordone della borsa" perché inserito dall'intermediario finanziario nella "black list" della Banca d'Italia, in quanto considerato "cattivo pagatore".   

Premesso che l'iscrizione alla CR (Centrale Rischi) è legittima se rispetta le regole, il problema è quello che sovente la banca utilizza la segnalazione in modo rigido e "punitivo": basta un minimo sconfinamento nel fido, un ritardo nei pagamenti (v. qui) e, complici i controlli di routine del funzionario di banca, parte un'illegittima segnalazione alle Banche Dati che vedono tutti gli intermediari finanziari. 

Il cerchio si chiude quando l'ignaro cliente viene a conoscenza della segnalazione dopo che gli intermediari gli hanno chiuso i rubinetti del credito, condannandolo, a stretto giro di vite, a crisi di liquidità e fallimento. 

Specie per le imprese ancora sane, in questi casi è indicata una "corsa contro il tempo" e, prima ancora di parlare di risarcimento del danno (v. errata segnalazione alla Centrale Rischi), occorre portare d'urgenza a casa la cancellazione della segnalazione

Ebbene, come si fa ad ottenere questo risultato? Il provvedimento in esame ci aiuta a comprenderlo meglio.  

▢    Il caso di specie: come da copione, una società si è vista sospendere improvvisamente
una delle sue linee di credito. Per gentile comunicazione dell'Istituto apprendeva che era stato "valutato il sopravvenuto indice di criticità consistente in presenza in Centrale Rischi Banca d'Italia di posizione "in sofferenza" (...)".  

Proprio a seguito di questa traumatica comunicazione, la società decideva di rivolgersi al giudice, attraverso un procedimento d'urgenza, per chiedere di veder cancellata la propria iscrizione alla Centrale Rischi, sul presupposto che la segnalazione era illegittima perché "non era stata preceduta dalla comunicazione (prevista dalla regolamentazione della Banca d'Italia) e per la mancanza dei presupposti di fatto necessari per l'iscrizione (...)". 

▢      Cosa dice il Collegio: la cancellazione del passaggio a sofferenza è stata giustificata nei presupposti di urgenza sotto almeno tre importanti profili.  

(1) Devi essere avvisato dalla banca che verrai segnalato alla Centrale Rischi 
      (obbligo informativo dell'intermediario)
Il primo in quanto "l'istituto di credito non ha fornito alcun elemento probatorio (...) idoneo a dimostrare che, prima dell'iscrizione a sofferenza della sua posizione, la società fosse stata posta a conoscenza di tanto". A sostegno di tale assunto, ha richiamato le innumerevoli previsioni di legge e regolamento che indicano come deve fare la banca prima di segnalare il passaggio a sofferenza (v. art. 125 Testo Unico Bancario;  art. 4, co. 7, del Codice in materia di protezione dei dati personali; la Circolare n. 139 del 11.02.1991 della Banca d'Italia).

(2) La banca ti deve segnalare in modo corretto ed attuale
      (obbligo di corretta segnalazione)
Il secondo poiché, in pratica, "non risulta che [la banca] abbia posto in essere un'istruttoria (...) con riferimento a tutti gli indici evidenziati (liquidità del soggetto, la sua capacità produttiva e reddituale, la situazione di mercato in cui opera, l'ammontare complessivo del credito, la sussistenza di procedure esecutive, di protesti o decreto ingiuntivi)". 

(3) La corretta informazione ti consente di accedere al credito
      (obbligo di tutela del consumatore nell'accesso al credito) 
il terzo ed ultimo, in quanto "la segnalazione ha proprio lo scopo di rendere edotte le banche sull'identità dei soggetti inaffidabili i quali, verosimilmente, non potranno più accedere al credito, con conseguente pregiudizio che assume il carattere dell'irreparabilità nel caso in cui la parte abbia bisogno di ricorrere a finanziamenti per lo svolgimento della propria attività imprenditoriale". 

Il mancato rispetto di questi tre presupposti rende
(A) illegittima la segnalazione;
(B) obbliga la banca a cancellarti subito dalla Centrale Rischi di Banca d'Italia;
(C) ti legittima ad ottenere il risarcimento del danno da errata segnalazione.

▢      Cosa puoi fare: Se sei un imprenditore commerciale (ma anche semplice privato) che non può più accedere al credito per via di una illegittima segnalazione, ma non sei ancora in grave ed imminente crisi di liquidità, allora è bene correre ai ripari e compiere queste mosse. 

(a) anzitutto, fare un'istanza di accesso ai documenti della Banca d'Italia, per avere sott'occhio tutte le informazioni relativi alla natura e qualità della segnalazione (ad incaglio, a sofferenza etc.) e a quando risale; 

(b) contestare alla banca la segnalazione, magari affidandoti ad un'associazione dei consumatori o un legale, e chiedere la rimozione del tuo nome dalla CR.

(c) rivolgerti al giudice per ottenere un provvedimento di urgenza che condanni la banca a rettificare immediatamente il flusso di dati trasmesso alla Centrale Rischi della Banca d'Italia, con effetto retroattivo (come se il monitor della Centrale Rischi fosse "vergine") ed eventualmente chiedere il ristoro dei danni; 

(d) azionare l'Arbitro Bancario Finanziario per chiedere la cancellazione o rettifica dei dati inviati a Banca d'Italia: tale strumento è più snello della causa davanti al tribunale e, a differenza delle altre procedure arbitrali, la banca è tenuta ad aderire (ma non sempre esegue i provvedimenti dell'Arbitro). 

Per leggere il provvedimento, vedi sotto. 

lunedì 25 giugno 2018

Home banking ed internet banking: come difendersi dalle operazioni di phishing e malware

In tema di servizi telematici di pagamento (internet banking o home banking), l’utente medio si trova a dover affrontare il problema della sicurezza ed affidabilità di detti servizi, contro le operazioni effettuate abusivamente da terzi utilizzatori, perlopiù mediante e-mail “esca” e malware sul computer (e non solo).


Il problema: a differenza di quanto avviene per le frodi su bancomat, dove il terzo riesce a captare il PIN soltanto se il titolare (e lui soltanto) non ha adottato alcun accorgimento per la custodia materiale della carta, per quelle su home banking il cliente si confronta con piattaforme sofisticate, dove si affacciano rischi più difficili da scongiurare. A ciò si aggiunge che, allo stato attuale della tecnica, non esistono sistemi di protezione che garantiscono l’inviolabilità della piattaforma da parte dei terzi abusivi.


Nel complicato contesto dei servizi di home banking, è pertanto decisivo il ruolo di protezione della piattaforma da parte dell’intermediario bancario: in effetti, soltanto questo soggetto riesce a predisporre ed aggiornare con continuità dei sistemi di sicurezza con minor costo e ad evitare che i rischi ricadano in modo generalizzato sui clienti.


 la posizione storica dell' Arbitro: ed infatti l’Arbitro Bancario Finanziario (ABF), investito negli ultimi anni di una mole di casi molto più estesa di quella dei tribunali, ha fatto leva sul principio del “rischio di impresa” e sbilanciato la responsabilità sul lato dell’intermediario. In particolare, ha evidenziato che la banca, nel momento in cui offre servizi online, ha il dovere di adempiere al proprio obbligo di custodia dei patrimoni dei clienti, predisponendo misure di protezione idonee ad evitare l'accesso fraudolento di terzi, o a neutralizzarne gli effetti, salva peraltro l'eventuale responsabilità concorrente del titolare del conto (tra le tante, si segnalano ABF, Collegio di Milano - decisione n. 46 del 15 febbraio 2010 [v.link]; Collegio di coordinamento -  decisione n. 3498 del 2012 [v.link]; Collegio di Milano - decisione n. 467 del 2014 [v. link]).

In tale ottica e con il fine di “mappare” le truffe, il Collegio di coordinamento ABF ha distinto tra le truffe realizzate mediante metodi ormai conosciuti alla clientela (le classiche email di phishing), dalle truffe più insidiose in cui maggiore è la difficoltà di avvedersi della situazione di apparenza generata dal malware (v. le decisioni n. 3498/2012 e n. 1820/2013 [v. link] ).


 il caso: Nel solco di questi orientamenti si inserisce, da ultimo, il Collegio ABF di Bologna con la recente decisione n. 8120 del 6 luglio 2017, la quale si occupa di un caso di phishing tradizionale. In tal caso, l’ABF ha ravvisato la responsabilità del titolare del conto per colpa grave, avendo questi fornito in risposta ad un SMS le credenziali di accesso al conto, nonostante la notorietà di tale pratica e la sua pericolosità.


E quindi il cliente non ha ottenuto il risarcimento, poiché ha contribuito egli stesso, e non la banca, all’accesso al proprio conto.


 Cosa vi consigliamo? In primo luogo, è necessario un maggior grado di diligenza nella fruizione del conto online, evitando soprattutto di accedere a siti e pagine sospette e non utilizzate dalla banca online.


Tuttavia, può essere che i terzi si siano introdotti sul vostro conto tramite sistemi sofisticati, che il cliente non riesce a scongiurare (vedi malware). In tal caso, sottoponete a perizia da parte di un consulente informatico il vostro PC e diffidate la banca a restituirvi i soldi sottratti dal conto online e, in caso di risposta negativa, rivolgetevi all’ABF.

Di seguito, la decisione n. 8120 del 6 luglio 2017.

Trasforma questo post