Home banking: la banca deve adottare tutte le misure idonee ad evitare il furto digitale

Questa domenica torniamo ad affrontare l'argomento furto dei dati personali (phishing), con particolare attenzione ad una delle ipotesi più fastidiose: il furto della password del conto corrente on line.

La giurisprudenza della Corte di Cassazione si è già soffermata altre volte su questo tema, delineando l'eventuale responsabilità dell'istituto di credito per non aver garantito il sistema di sicurezza idoneo per il cliente.

Le operazioni bancarie effettuate via internet (c.d. home banking) sono diffusissime ed in questi casi, la banca ha un particolare dovere di difesa verso il cliente, al fine di tutelare la sua sicurezza e riservatezza.

Con la recente ordinanza n. 9158 del 12 aprile 2018, la Cassazione ha voluto richiamare il generale dovere di diligenza gravante sulla banca ex art.1176 c.c., comma 2 (diligenza dell'accorto banchiere), al fine di ribadire il principio secondo il quale la banca deve adottare tutti gli strumenti volti a tutelare il cliente, a partire dall'uso dei codici di accesso alla piattaforma on line fino alla conclusione dell'operazione.

Ne consegue che nel caso di uso improprio dei codici da parte di terzi, la banca è responsabile per il danno sofferto cliente vittima del furto digitale, allorché non riesca a dimostrare di aver adottato tutti i sistemi di sicurezza idonei ad impedire l'accesso illegale al servizio home banking del cliente, o comunque bloccare/segnalare l'operazione di illecito trasferimento dei fondi.

Ma l'intervento della Cassazione va oltre, nel senso che la banca non può limitarsi a dimostrare di aver adottato idonee misure di sicurezza per non risultare responsabile per il danno sofferto dal cliente nel caso di phishing. 

Merita, sotto tale profilo, di essere segnalato il ragionamento seguito dal giudice di legittimità, secondo il quale l'attività svolta dalla banca, chiamata a controllare ed evitare/limitare tutte le attività illecite di terzi nei confronti dei propri clienti, tant'è che la banca può essere chiamata a rispondere ex art.2050 c.c., una forma di responsabilità oggettiva aggravata.

Quale conseguenza? nel caso di furto digitale nell'home banking, la banca non risponde del danno sofferto dal cliente solo se offre una valida prova di:

(a) aver adottato tutte le misure di sicurezza  idonee ad evitare il danno, conoscibili nel momento storico dell'evento;

(b) l'evento dannoso (il furto del denaro dal conto corrente on line) è stato originato da causa esterna rispetto alla sfera di controllo della banca (ad esempio dovuta a fatto del terzo o dello stesso danneggiato).

La banca dovrà offrire la prova, idonea ad escludere la propria responsabilità, nel rispetto del principio del buon banchiere sopra richiamato e quindi ex art. 1176 c.c. comma 2.

Qui di seguito, il provvedimento della Cassazione. 

Ti hanno iscritto a sofferenza alla Centrale Rischi? Cosa puoi fare per cancellare la segnalazione

Negli ultimi mesi sono aumentati i casi ove la banca ha provveduto a segnalare in modo affrettato, ed errato (o meglio illegittimo), i propri clienti nelle banche dati, trasformando questi ultimi in "indegni del credito bancario", e quasi marchiati a vita di fronte all'intero sistema bancario.

Questa Associazione ha denunciato più volte questo modus operandi, anche tutelando i propri associati da evidenti casi di errata segnalazione alla Banca d'Italia o alle altre banche dati private (scrivi la tua storia a sos@consumatoreinformato.it).

Per tale ragione, questa domenica riteniamo importante proporvi in lettura il recentissimo provvedimento con il quale il Tribunale di Lanciano (ordinanza del 12 febbraio 2018 che potete leggere qui sotto) ha ordinato ad una banca di provvedere all'eliminazione del nominativo di un proprio cliente dalla Centrale Rischi di Banca d'Italia, erroneamente indicato con il rischio "a sofferenza", in quanto l'istituto di credito aveva segnalato il consumatore nella banca dati senza avere né verificato la sua situazione patrimoniale né informato quest'ultimo dell'imminente aggravamento della sua immagine creditizia. 

▢    Il problema: in tempi di crisi, è assai frequente che il privato, in genere una piccola società, si veda "stringere il cordone della borsa" perché inserito dall'intermediario finanziario nella "black list" della Banca d'Italia, in quanto considerato "cattivo pagatore".   

Premesso che l'iscrizione alla CR (Centrale Rischi) è legittima se rispetta le regole, il problema è quello che sovente la banca utilizza la segnalazione in modo rigido e "punitivo": basta un minimo sconfinamento nel fido, un ritardo nei pagamenti (v. qui) e, complici i controlli di routine del funzionario di banca, parte un'illegittima segnalazione alle Banche Dati che vedono tutti gli intermediari finanziari. 

Il cerchio si chiude quando l'ignaro cliente viene a conoscenza della segnalazione dopo che gli intermediari gli hanno chiuso i rubinetti del credito, condannandolo, a stretto giro di vite, a crisi di liquidità e fallimento. 

Specie per le imprese ancora sane, in questi casi è indicata una "corsa contro il tempo" e, prima ancora di parlare di risarcimento del danno (v. errata segnalazione alla Centrale Rischi), occorre portare d'urgenza a casa la cancellazione della segnalazione. 

Ebbene, come si fa ad ottenere questo risultato? Il provvedimento in esame ci aiuta a comprenderlo meglio.  

▢    Il caso di specie: come da copione, una società si è vista sospendere improvvisamente

una delle sue linee di credito. Per gentile comunicazione dell'Istituto apprendeva che era stato "valutato il sopravvenuto indice di criticità consistente in presenza in Centrale Rischi Banca d'Italia di posizione "in sofferenza" (...)".  

Proprio a seguito di questa traumatica comunicazione, la società decideva di rivolgersi al giudice, attraverso un procedimento d'urgenza, per chiedere di veder cancellata la propria iscrizione alla Centrale Rischi, sul presupposto che la segnalazione era illegittima perché "non era stata preceduta dalla comunicazione (prevista dalla regolamentazione della Banca d'Italia) e per la mancanza dei presupposti di fatto necessari per l'iscrizione (...)". 

▢      Cosa dice il Collegio: la cancellazione del passaggio a sofferenza è stata giustificata nei presupposti di urgenza sotto almeno tre importanti profili.  

(1) Devi essere avvisato dalla banca che verrai segnalato alla Centrale Rischi 
      (obbligo informativo dell'intermediario)
Il primo in quanto "l'istituto di credito non ha fornito alcun elemento probatorio (...) idoneo a dimostrare che, prima dell'iscrizione a sofferenza della sua posizione, la società fosse stata posta a conoscenza di tanto". A sostegno di tale assunto, ha richiamato le innumerevoli previsioni di legge e regolamento che indicano come deve fare la banca prima di segnalare il passaggio a sofferenza (v. art. 125 Testo Unico Bancario;  art. 4, co. 7, del Codice in materia di protezione dei dati personali; la Circolare n. 139 del 11.02.1991 della Banca d'Italia).

(2) La banca ti deve segnalare in modo corretto ed attuale
      (obbligo di corretta segnalazione)
Il secondo poiché, in pratica, "non risulta che [la banca] abbia posto in essere un'istruttoria (...) con riferimento a tutti gli indici evidenziati (liquidità del soggetto, la sua capacità produttiva e reddituale, la situazione di mercato in cui opera, l'ammontare complessivo del credito, la sussistenza di procedure esecutive, di protesti o decreto ingiuntivi)". 

(3) La corretta informazione ti consente di accedere al credito
      (obbligo di tutela del consumatore nell'accesso al credito) 
il terzo ed ultimo, in quanto "la segnalazione ha proprio lo scopo di rendere edotte le banche sull'identità dei soggetti inaffidabili i quali, verosimilmente, non potranno più accedere al credito, con conseguente pregiudizio che assume il carattere dell'irreparabilità nel caso in cui la parte abbia bisogno di ricorrere a finanziamenti per lo svolgimento della propria attività imprenditoriale". 

Il mancato rispetto di questi tre presupposti rende
(A) illegittima la segnalazione;
(B) obbliga la banca a cancellarti subito dalla Centrale Rischi di Banca d'Italia;
(C) ti legittima ad ottenere il risarcimento del danno da errata segnalazione.

▢      Cosa puoi fare: Se sei un imprenditore commerciale (ma anche semplice privato) che non può più accedere al credito per via di una illegittima segnalazione, ma non sei ancora in grave ed imminente crisi di liquidità, allora è bene correre ai ripari e compiere queste mosse. 

(a) anzitutto, fare un'istanza di accesso ai documenti della Banca d'Italia, per avere sott'occhio tutte le informazioni relativi alla natura e qualità della segnalazione (ad incaglio, a sofferenza etc.) e a quando risale; 

(b) contestare alla banca la segnalazione, magari affidandoti ad un'associazione dei consumatori o un legale, e chiedere la rimozione del tuo nome dalla CR.

(c) rivolgerti al giudice per ottenere un provvedimento di urgenza che condanni la banca a rettificare immediatamente il flusso di dati trasmesso alla Centrale Rischi della Banca d'Italia, con effetto retroattivo (come se il monitor della Centrale Rischi fosse "vergine") ed eventualmente chiedere il ristoro dei danni; 

(d) azionare l'Arbitro Bancario Finanziario per chiedere la cancellazione o rettifica dei dati inviati a Banca d'Italia: tale strumento è più snello della causa davanti al tribunale e, a differenza delle altre procedure arbitrali, la banca è tenuta ad aderire (ma non sempre esegue i provvedimenti dell'Arbitro). 

Per leggere il provvedimento, vedi sotto.