Home banking: la banca deve adottare tutte le misure idonee ad evitare il furto digitale

Questa domenica torniamo ad affrontare l'argomento furto dei dati personali (phishing), con particolare attenzione ad una delle ipotesi più fastidiose: il furto della password del conto corrente on line.

La giurisprudenza della Corte di Cassazione si è già soffermata altre volte su questo tema, delineando l'eventuale responsabilità dell'istituto di credito per non aver garantito il sistema di sicurezza idoneo per il cliente.

Le operazioni bancarie effettuate via internet (c.d. home banking) sono diffusissime ed in questi casi, la banca ha un particolare dovere di difesa verso il cliente, al fine di tutelare la sua sicurezza e riservatezza.

Con la recente ordinanza n. 9158 del 12 aprile 2018, la Cassazione ha voluto richiamare il generale dovere di diligenza gravante sulla banca ex art.1176 c.c., comma 2 (diligenza dell'accorto banchiere), al fine di ribadire il principio secondo il quale la banca deve adottare tutti gli strumenti volti a tutelare il cliente, a partire dall'uso dei codici di accesso alla piattaforma on line fino alla conclusione dell'operazione.

Ne consegue che nel caso di uso improprio dei codici da parte di terzi, la banca è responsabile per il danno sofferto cliente vittima del furto digitale, allorché non riesca a dimostrare di aver adottato tutti i sistemi di sicurezza idonei ad impedire l'accesso illegale al servizio home banking del cliente, o comunque bloccare/segnalare l'operazione di illecito trasferimento dei fondi.

Ma l'intervento della Cassazione va oltre, nel senso che la banca non può limitarsi a dimostrare di aver adottato idonee misure di sicurezza per non risultare responsabile per il danno sofferto dal cliente nel caso di phishing. 

Merita, sotto tale profilo, di essere segnalato il ragionamento seguito dal giudice di legittimità, secondo il quale l'attività svolta dalla banca, chiamata a controllare ed evitare/limitare tutte le attività illecite di terzi nei confronti dei propri clienti, tant'è che la banca può essere chiamata a rispondere ex art.2050 c.c., una forma di responsabilità oggettiva aggravata.

Quale conseguenza? nel caso di furto digitale nell'home banking, la banca non risponde del danno sofferto dal cliente solo se offre una valida prova di:

(a) aver adottato tutte le misure di sicurezza  idonee ad evitare il danno, conoscibili nel momento storico dell'evento;

(b) l'evento dannoso (il furto del denaro dal conto corrente on line) è stato originato da causa esterna rispetto alla sfera di controllo della banca (ad esempio dovuta a fatto del terzo o dello stesso danneggiato).

La banca dovrà offrire la prova, idonea ad escludere la propria responsabilità, nel rispetto del principio del buon banchiere sopra richiamato e quindi ex art. 1176 c.c. comma 2.

Qui di seguito, il provvedimento della Cassazione. 

Ti hanno iscritto a sofferenza alla Centrale Rischi? Cosa puoi fare per cancellare la segnalazione

Negli ultimi mesi sono aumentati i casi ove la banca ha provveduto a segnalare in modo affrettato, ed errato (o meglio illegittimo), i propri clienti nelle banche dati, trasformando questi ultimi in "indegni del credito bancario", e quasi marchiati a vita di fronte all'intero sistema bancario.

Questa Associazione ha denunciato più volte questo modus operandi, anche tutelando i propri associati da evidenti casi di errata segnalazione alla Banca d'Italia o alle altre banche dati private (scrivi la tua storia a sos@consumatoreinformato.it).

Per tale ragione, questa domenica riteniamo importante proporvi in lettura il recentissimo provvedimento con il quale il Tribunale di Lanciano (ordinanza del 12 febbraio 2018 che potete leggere qui sotto) ha ordinato ad una banca di provvedere all'eliminazione del nominativo di un proprio cliente dalla Centrale Rischi di Banca d'Italia, erroneamente indicato con il rischio "a sofferenza", in quanto l'istituto di credito aveva segnalato il consumatore nella banca dati senza avere né verificato la sua situazione patrimoniale né informato quest'ultimo dell'imminente aggravamento della sua immagine creditizia. 

▢    Il problema: in tempi di crisi, è assai frequente che il privato, in genere una piccola società, si veda "stringere il cordone della borsa" perché inserito dall'intermediario finanziario nella "black list" della Banca d'Italia, in quanto considerato "cattivo pagatore".   

Premesso che l'iscrizione alla CR (Centrale Rischi) è legittima se rispetta le regole, il problema è quello che sovente la banca utilizza la segnalazione in modo rigido e "punitivo": basta un minimo sconfinamento nel fido, un ritardo nei pagamenti (v. qui) e, complici i controlli di routine del funzionario di banca, parte un'illegittima segnalazione alle Banche Dati che vedono tutti gli intermediari finanziari. 

Il cerchio si chiude quando l'ignaro cliente viene a conoscenza della segnalazione dopo che gli intermediari gli hanno chiuso i rubinetti del credito, condannandolo, a stretto giro di vite, a crisi di liquidità e fallimento. 

Specie per le imprese ancora sane, in questi casi è indicata una "corsa contro il tempo" e, prima ancora di parlare di risarcimento del danno (v. errata segnalazione alla Centrale Rischi), occorre portare d'urgenza a casa la cancellazione della segnalazione. 

Ebbene, come si fa ad ottenere questo risultato? Il provvedimento in esame ci aiuta a comprenderlo meglio.  

▢    Il caso di specie: come da copione, una società si è vista sospendere improvvisamente

una delle sue linee di credito. Per gentile comunicazione dell'Istituto apprendeva che era stato "valutato il sopravvenuto indice di criticità consistente in presenza in Centrale Rischi Banca d'Italia di posizione "in sofferenza" (...)".  

Proprio a seguito di questa traumatica comunicazione, la società decideva di rivolgersi al giudice, attraverso un procedimento d'urgenza, per chiedere di veder cancellata la propria iscrizione alla Centrale Rischi, sul presupposto che la segnalazione era illegittima perché "non era stata preceduta dalla comunicazione (prevista dalla regolamentazione della Banca d'Italia) e per la mancanza dei presupposti di fatto necessari per l'iscrizione (...)". 

▢      Cosa dice il Collegio: la cancellazione del passaggio a sofferenza è stata giustificata nei presupposti di urgenza sotto almeno tre importanti profili.  

(1) Devi essere avvisato dalla banca che verrai segnalato alla Centrale Rischi 
      (obbligo informativo dell'intermediario)
Il primo in quanto "l'istituto di credito non ha fornito alcun elemento probatorio (...) idoneo a dimostrare che, prima dell'iscrizione a sofferenza della sua posizione, la società fosse stata posta a conoscenza di tanto". A sostegno di tale assunto, ha richiamato le innumerevoli previsioni di legge e regolamento che indicano come deve fare la banca prima di segnalare il passaggio a sofferenza (v. art. 125 Testo Unico Bancario;  art. 4, co. 7, del Codice in materia di protezione dei dati personali; la Circolare n. 139 del 11.02.1991 della Banca d'Italia).

(2) La banca ti deve segnalare in modo corretto ed attuale
      (obbligo di corretta segnalazione)
Il secondo poiché, in pratica, "non risulta che [la banca] abbia posto in essere un'istruttoria (...) con riferimento a tutti gli indici evidenziati (liquidità del soggetto, la sua capacità produttiva e reddituale, la situazione di mercato in cui opera, l'ammontare complessivo del credito, la sussistenza di procedure esecutive, di protesti o decreto ingiuntivi)". 

(3) La corretta informazione ti consente di accedere al credito
      (obbligo di tutela del consumatore nell'accesso al credito) 
il terzo ed ultimo, in quanto "la segnalazione ha proprio lo scopo di rendere edotte le banche sull'identità dei soggetti inaffidabili i quali, verosimilmente, non potranno più accedere al credito, con conseguente pregiudizio che assume il carattere dell'irreparabilità nel caso in cui la parte abbia bisogno di ricorrere a finanziamenti per lo svolgimento della propria attività imprenditoriale". 

Il mancato rispetto di questi tre presupposti rende
(A) illegittima la segnalazione;
(B) obbliga la banca a cancellarti subito dalla Centrale Rischi di Banca d'Italia;
(C) ti legittima ad ottenere il risarcimento del danno da errata segnalazione.

▢      Cosa puoi fare: Se sei un imprenditore commerciale (ma anche semplice privato) che non può più accedere al credito per via di una illegittima segnalazione, ma non sei ancora in grave ed imminente crisi di liquidità, allora è bene correre ai ripari e compiere queste mosse. 

(a) anzitutto, fare un'istanza di accesso ai documenti della Banca d'Italia, per avere sott'occhio tutte le informazioni relativi alla natura e qualità della segnalazione (ad incaglio, a sofferenza etc.) e a quando risale; 

(b) contestare alla banca la segnalazione, magari affidandoti ad un'associazione dei consumatori o un legale, e chiedere la rimozione del tuo nome dalla CR.

(c) rivolgerti al giudice per ottenere un provvedimento di urgenza che condanni la banca a rettificare immediatamente il flusso di dati trasmesso alla Centrale Rischi della Banca d'Italia, con effetto retroattivo (come se il monitor della Centrale Rischi fosse "vergine") ed eventualmente chiedere il ristoro dei danni; 

(d) azionare l'Arbitro Bancario Finanziario per chiedere la cancellazione o rettifica dei dati inviati a Banca d'Italia: tale strumento è più snello della causa davanti al tribunale e, a differenza delle altre procedure arbitrali, la banca è tenuta ad aderire (ma non sempre esegue i provvedimenti dell'Arbitro). 

Per leggere il provvedimento, vedi sotto. 

Home banking ed internet banking: come difendersi dalle operazioni di phishing e malware

In tema di servizi telematici di pagamento (internet banking o home banking), l’utente medio si trova a dover affrontare il problema della sicurezza ed affidabilità di detti servizi, contro le operazioni effettuate abusivamente da terzi utilizzatori, perlopiù mediante e-mail “esca” e malware sul computer (e non solo).

⬛ Il problema: a differenza di quanto avviene per le frodi su bancomat, dove il terzo riesce a captare il PIN soltanto se il titolare (e lui soltanto) non ha adottato alcun accorgimento per la custodia materiale della carta, per quelle su home banking il cliente si confronta con piattaforme sofisticate, dove si affacciano rischi più difficili da scongiurare. A ciò si aggiunge che, allo stato attuale della tecnica, non esistono sistemi di protezione che garantiscono l’inviolabilità della piattaforma da parte dei terzi abusivi.

Nel complicato contesto dei servizi di home banking, è pertanto decisivo il ruolo di protezione della piattaforma da parte dell’intermediario bancario: in effetti, soltanto questo soggetto riesce a predisporre ed aggiornare con continuità dei sistemi di sicurezza con minor costo e ad evitare che i rischi ricadano in modo generalizzato sui clienti.

⬛ la posizione storica dell' Arbitro: ed infatti l’Arbitro Bancario Finanziario (ABF), investito negli ultimi anni di una mole di casi molto più estesa di quella dei tribunali, ha fatto leva sul principio del “rischio di impresa” e sbilanciato la responsabilità sul lato dell’intermediario. In particolare, ha evidenziato che la banca, nel momento in cui offre servizi online, ha il dovere di adempiere al proprio obbligo di custodia dei patrimoni dei clienti, predisponendo misure di protezione idonee ad evitare l'accesso fraudolento di terzi, o a neutralizzarne gli effetti, salva peraltro l'eventuale responsabilità concorrente del titolare del conto (tra le tante, si segnalano ABF, Collegio di Milano - decisione n. 46 del 15 febbraio 2010 [v.link]; Collegio di coordinamento -  decisione n. 3498 del 2012 [v.link]; Collegio di Milano - decisione n. 467 del 2014 [v. link]).

In tale ottica e con il fine di “mappare” le truffe, il Collegio di coordinamento ABF ha distinto tra le truffe realizzate mediante metodi ormai conosciuti alla clientela (le classiche email di phishing), dalle truffe più insidiose in cui maggiore è la difficoltà di avvedersi della situazione di apparenza generata dal malware (v. le decisioni n. 3498/2012 e n. 1820/2013 [v. link] ).

⬛ il caso: Nel solco di questi orientamenti si inserisce, da ultimo, il Collegio ABF di Bologna con la recente decisione n. 8120 del 6 luglio 2017, la quale si occupa di un caso di phishing tradizionale. In tal caso, l’ABF ha ravvisato la responsabilità del titolare del conto per colpa grave, avendo questi fornito in risposta ad un SMS le credenziali di accesso al conto, nonostante la notorietà di tale pratica e la sua pericolosità.

E quindi il cliente non ha ottenuto il risarcimento, poiché ha contribuito egli stesso, e non la banca, all’accesso al proprio conto.

⬛ Cosa vi consigliamo? In primo luogo, è necessario un maggior grado di diligenza nella fruizione del conto online, evitando soprattutto di accedere a siti e pagine sospette e non utilizzate dalla banca online.

Tuttavia, può essere che i terzi si siano introdotti sul vostro conto tramite sistemi sofisticati, che il cliente non riesce a scongiurare (vedi malware). In tal caso, sottoponete a perizia da parte di un consulente informatico il vostro PC e diffidate la banca a restituirvi i soldi sottratti dal conto online e, in caso di risposta negativa, rivolgetevi all’ABF.

Di seguito, la decisione n. 8120 del 6 luglio 2017.

Commissione parlamentare di inchiesta sul sistema bancario e finanziario - Relazione finale

Commissione di inchiesta banche - Relazione finale by Consumatore Informato on Scribd

Segnalazione Centrale Rischi: la banca non vi può segnalare per il ritardo momentaneo di un pagamento

In questo blog abbiamo trattato con una certa frequenza il ruolo assunto negli anni dalle banche dati ove sono segnalati i clienti delle banche morosi, ossia coloro che non hanno regolarmente adempiuto al proprio obbligo di rimborso di un finanziamento/mutuo in favore dell'istituto di credito (vedi qui).

Uno degli aspetti più delicati di questo sistema, il cui fine è quello di rendere noto al sistema bancario che un cliente è in una posizione di difficoltà ad onorare il proprio debito (evitando che il cattivo pagatore continui ad aumentare la propria esposizione verso gli intermediari del credito), riguarda la segnalazione illegittima.

Vi sono casi, infatti, ove la segnalazione alla Centrale dei Rischi presso la Banca d'Italia, o alle altre banche dati private non corrisponda alla realtà, ovverossia non rappresenti in modo corretto la posizione debitoria, oppure non vi siano i presupposti per l'indicazione del debitore.

La segnalazione è altresì illegittima quando il debitore rimane segnalato pur avendo adempiuto al proprio dovere, non trovando più giustificazione la presenza del proprio nominativo nella banca dati.

La segnalazione non è legittima, inoltre, nel caso in cui il debitore sia in ritardo nel pagamento di una rata del proprio finanziamento/mutuo o altra posizione con la banca, in quanto può derivare da una  vicenda transitoria legata anche a difficoltà temporanee e collegate, ad esempio, allo specifico ambito ove il credito bancario è stato richiesto e concesso.

La sentenza che potete leggere di seguito affronta tale argomento, evidenziando il ruolo che deve assumere l'istituto di credito segnalante, il quale è chiamato a valutare in modo attento la posizione creditizia "entrata in crisi".

La banca, in altri termini, non può limitarsi a prendere atto del mancato pagamento della rata da parte del cliente, ma deve operare una valutazione della posizione comprendendo anche le ragioni dell'inadempimento momentaneo della controparte.

Questa valutazione rientra negli obblighi dell'intermediario verso il cliente e consentono di gestire in modo più corretto il rapporto, consentendo alla banca di segnalare adeguatamente il debitore moroso solo se sussistono i presupposti previsti dalla normativa di settore e laddove sia giustificato tale atto.

E' noto, infatti, che la segnalazione alla Centrale dei Rischi (o ad altra banca dati privata) comporta un marchio verso il segnalato, impedendogli di fatto di accedere al credito.

La mancata valutazione della posizione in modo corretto comporta, secondo quanto affermato dalla Suprema Corte (tesi peraltro già affermata in altre sentenze), una responsabilità contrattuale della banca, chiamata a risarcire il danno sofferto dal cliente nel caso in cui siano violati i doveri di correttezza, diligenza e trasparenza. 

La Corte di Cassazione è, sul punto, estremamente chiara ed evidenzia che: "La normativa emanata al fine di dare attuazione al D.Lgs. 1 settembre 1993, n. 385, art. 51, comma 1, (per una ricostruzione del sistema, v., ad es., Cass. 12 ottobre 2007, n. 21428), infatti, sebbene persegua interessi pubblicistici di contenimento dei rischi bancari, finisce, nel momento in cui delinea i presupposti che giustificano la segnalazione alla cd. Centrale Rischi, anche per integrare il contenuto del rapporto contrattuale con il cliente.

E', infatti, evidente che la puntualizzazione dei limiti che giustificano, in quanto doverosa, una iniziativa suscettibile di incidere sulla reputazione economica e l'operatività bancaria dei clienti è destinata anche a proteggere direttamente questi ultimi interessi, rispetto alla diffusione di dati che le banche conoscono in ragione dello specifico rapporto obbligatorio che le lega al cliente stesso.

Ne discende che la violazione di tale disciplina - laddove si traduca nell'erronea individuazione della ricorrenza di siffatti presupposti genera una responsabilità negoziale della banca, sulla quale grave l'onere, in coerenza con i principi generali desumibili dall'art. 1218 c.c., di dimostrare, ove sorga controversia, l'adempimento dei propri obblighi (ancorchè essi siano frutto, come nella specie, dell'integrazione del contenuto del contratto).

Ulteriore conseguenza delle superiori considerazioni è che le contestazioni del cliente rappresentano mere difese sottratte al regime delle preclusioni.".

Si tratta, quindi, non tanto di un inadempimento dei doveri formali legati alla segnalazione presso la Centrale dei Rischi, ma piuttosto di un inadempimento del generale  dovere di valutare (secondo buona fede) se il cliente doveva essere segnalato, tenuto conto della posizione e del credito concesso.

Il solo inadempimento momentaneo della rata del mutuo, quindi, non può generare la segnalazione se non accompagnato da una valutazione della posizione bancaria.

Qui di seguito la sentenza.

I giudici italiani alla "rincorsa" dei bitcoin: controversie e soluzioni - nullo il contratto di commercializzazione a distanza di bitcoin privo di informativa precontrattuale

Come abbiamo già visto in passato (vedi qui), il bitcoin è una criptovaluta digitale distribuita e generata da una rete decentralizzata «peer to peer» (vale a dire, una rete di server uguali tra loro). Questo significa che non esiste alcuna banca o autorità centrale che stampa moneta e influenza il valore di un bitcoin, il quale è dunque affidato solo alle leggi della domanda e dell'offerta. Non c’è un ente centrale ma database distribuito che traccia le transazioni, e sfrutta la crittografia per gestire gli aspetti funzionali come la generazione di nuova moneta e l'attribuzione di proprietà dei bitcoin.

Il fatto che il bitcoin sia una criptovaluta tra le più controverse, elusive e diffuse nella nascente economia digitale, non significa, però, che i governi e le autorità di vigilanza non si stiano attivando per regolare il fenomeno. D'altronde, l'anonimato (o, ancor meglio, l'assenza di tracciabilità) di cui gode questa valuta digitale pone non pochi problemi sia sotto il versante fiscale che sotto quello dell'antiriciclaggio e del finanziamento del terrorismo internazionale (si veda, a tal riguardo, i pioneristici tentativi avviati sin dal D.Lgs. 231/2007 per porre un freno ai  movimenti virtuali di denaro riciclato). 

In questo quadro molto complesso e foriero di nuovi sviluppi, si muove la prima sentenza di un giudice italiano (v. sentenza n. 195/2017 del Tribunale di Verona) che equipara il bitcoin ad un contratto d'investimento. 

Il caso prende le mosse da una società che ha effettuato il bonifico di un'ingente quantità di valuta reale per ottenere da un intermediario finanziario la "consegna" virtuale di valuta bitcoin, ed acquistare su un portale online le quote di partecipazione di una "start up". Tuttavia, per i medesimi non è stato possibile prelevare i bitcoin dall'account creato e gestito a distanza dall'intermediario, né riconvertirli a breve termine in valuta reale, e ciò fino al fallimento della società a cui faceva capo l'intermediario. Come si può notare, emerge il problema della distanza e " virtualità" delle transazioni e, soprattutto, dell'assenza di precisi oneri di informativa da ricondurre, eventualmente, a siffatta operazione. 

Infatti, la motivazione offerta dal giudice rispetto alla domanda di nullità dell'attore ha preso le mosse, testuali parole, dal "rapporto (necessariamente contrattuale) che si perfezionò tra gli odierni attori e la società convenuta, in forza del quale - al di fuori della benché minima "puntuazione" informativa e di qualsivoglia tracciatura formale (...) ebbe luogo il cambio di valuta reale con "bitcoin"." 

In altre parole, si è trattato, in primo luogo, di dare una qualificazione contrattuale all'operazione in esame e, in secondo luogo, di verificare se questa andava assoggettata alla disciplina consumeristica sugli oneri informativi a favore dell'investitore non professionista. 

Sotto il primo versante, il giudice, rifacendosi a definizioni già offerte dalla Corte di Giustizia, ha così statuito: " L’operazione di cambio di valuta tradizionale contro unità della valuta virtuale bitcoin e viceversa, effettuate a fronte del pagamento di una somma corrispondente al margine costituito dalla differenza tra il prezzo di acquisto delle valute e quello di vendita praticato dall’operatore ai propri clienti è qualificabile - dal lato dell’operatore - come attività professionale di prestazioni di servizi a titolo oneroso, svolta in favore di consumatori."

Infine, il giudice ha optato per ricondurre all'operazione in oggetto gli obblighi informativi precontrattuali previsti, nel dettaglio , dagli artt. 67 - decies e ss. cod. cons. ed, in sintesi, relativi alla tipologia di investimento ed alla loro adeguatezza verso il consumatore. Dall'inosservanza di tali obblighi discende la nullità (c.d. nullità relativa) del contratto e l'obbligo, da parte dell'intermediario, di restituire le somme. 

In conclusione, sebbene non si sia ancora trovato un punto fermo, è di particolare interesse come la giurisprudenza incominci a ricondurre tali fenomeni, così volatili, sotto categorie "forti" e richiedere oneri stringenti di informativa, alla stregua di un prodotto finanziario. 

Di seguito, il testo del provvedimento.

Banco BPM: attenzione alle 313 filiali chiuse

Avviso ai correntisti del Gruppo Banco Popolare - BPM che potrebbero, nelle prossime settimane, rimanere vittime della decisione di chiusura di 313 filiali decisa nelle ultime settimane dalla banca.

Entro fine giugno 2018, la banca ha deciso di tagliare molti sportelli, giustificando la decisione con il fine di eliminare le filiali “meno performanti e più piccole in termini si risorse”. Le filiali oggetto del taglio attuato dal gruppo Banco Bpm ha deciso di chiudere già entro la fine di giugno 2018. 

La scelta attuata dal nuovo gruppo bancario rientra nel piano industriale finalizzato alla completa integrazione tra il Banco Popolare e l’ex- gruppo Bpm.

In alcuni casi, la chiusura delle filiali è volta ad evitare le sovrapposizioni di sportelli, ma in altri casi si nota la semplice eliminazione di istituti di credito collocati in località periferiche, destinate a non avere un istituto bancario sul territorio.

Qui di seguito, l'elenco delle filiali che verranno chiuse a giugno 2018, o comunque nei mesi successivi.