COLLEGIO DI ROMA composto dai signori: - Dott. Giuseppe Marziale Presidente - Avv. Bruno De Carolis Membro designato dalla Banca d'italia - Prof. Avv. Giuliana Scognamiglio Membro designato dalla Banca d'italia (Estensore) - Prof. Avv. Saverio Ruperto Membro designato dal Conciliatore Bancario Finanziario per le controversie in cui sia parte un consumatore - Dott.ssa Daniela Primicerio Membro designato dal C.N.C.U. nella seduta del 26 marzo 2010 dopo aver esaminato il ricorso e la documentazione allegata; le controdeduzioni dell intermediario e la relativa documentazione; la relazione istruttoria della Segreteria tecnica FATTO 1. L odierna ricorrente, correntista dal 2005 presso l intermediario ed abilitata alla fruizione dei servizi on-line, lamentava, con reclamo in data 24.06.2009, l addebito sul proprio conto corrente di n. 2 operazioni, che non erano state da lei ordinate e risultavano effettuate rispettivamente in date 04.06.2009 e 08.06.2009, per un importo di 501 (a titolo di addebito per ricarica di carta prepagata) la prima e di 5200,50 (a titolo di giroconto a favore di altro correntista del medesimo intermediario, sconosciuto alla ricorrente) la seconda. Dichiarava, in particolare, di essersi accorta delle transazioni non autorizzate il 15.06.2009, in occasione della richiesta dell estratto conto (che è risultato con saldo pari a zero), e di aver subito provveduto a denunciare l accaduto alla Polizia postale e al call center dell intermediario. Sul presupposto che gli addebiti fossero ascrivibili ad una fraudolenta manovra di terzi operata mediante infiltrazione nei sistemi di sicurezza dell intermediario, affermava la Pag. 2/6
responsabilità dell intermediario per non aver predisposto idoneo supporto informatico tale da impedire l accesso e l operatività, sui c/c dei singoli utenti, a terzi estranei, nonché per gli obblighi generali gravanti sul custode, chiedeva la restituzione della somma illegittimamente prelevata (pari a 5.700, 00 euro), oltre a 250, 00 euro quale rimborso delle spese per l intervento dell avvocato. Avendo l intermediario, nella propria risposta scritta al reclamo, respinto ogni addebito, in base all argomento che si trattava di un caso di frode informatica non riconducibile alla sua responsabilità, la cliente adiva questo Arbitro con ricorso in data 14.12.2009, nel quale ribadiva le contestazioni svolte in sede di reclamo e la richiesta di rimborso dell intero importo prelevato ( 5.700), oltre spese. Nel ricorso la cliente deduceva, in particolare: di non aver mai divulgato né a persone né in rete i suoi dati personali o le coordinate di accesso al suo c/c; di non aver firmato, all apertura del c/c con operatività on-line, nessun contratto scritto che esoneri l intermediario da qualsiasi responsabilità per quanto concerne frodi informatiche; che le somme sottratte dal suo conto sono state prelevate da altro correntista dell intermediario e la carta prepagata cui si riferisce uno degli addebiti contestati è una delle carte emesse dall intermediario. Nelle proprie controdeduzioni, l intermediario ribadiva quanto già dedotto in sede di risposta al reclamo, e cioè che: le transazioni oggetto di contestazione risultavano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare; si trattava di un caso di frode informatica; deve essere cura di chi utilizza strumenti informatici adottare le cautele necessarie per garantire la riservatezza dei propri dati; i servizi on-line forniti alla clientela sono realizzati con sistemi di protezione che rispettano elevati standard di sicurezza per la salvaguardia delle informazioni trasmesse via internet (la connessione protetta si attiva appena vengono inseriti il nome utente e la password; il cliente ha la possibilità di sostituire la password ogni volta che lo desidera; per ogni operazione disposta online, il sistema richiede l inserimento di quattro caratteri sempre diversi del codice dispositivo); aveva provveduto già da tempo a fornire informazioni, tramite il proprio sito web, gli organi di stampa e le associazioni dei consumatori circa il pericolo di frodi con il sistema di phishing e le cautele a cui attenersi per tentare di evitarle. L intermediario controdeducente richiamava altresì, producendone uno stralcio, le Condizioni Particolari e Servizi Aggiuntivi del conto corrente, e, in particolare: l art. 4 punto 1 della Sezione G, ai sensi del quale Il correntista accetta sin d ora gli addebiti conseguenti ad operazioni disposte mediante il servizio [on-line], senza bisogno di alcun preavviso o conferma delle disposizioni impartite ; l art. 1 punto 6 delle Condizioni particolari e Servizi aggiuntivi, ai sensi del quale [La Banca] non è responsabile per la perdita, alterazione o diffusione di informazioni o disposizioni, trasmesse attraverso il servizio, che si siano verificate per cause ad essa non imputabili. Chiedeva pertanto il rigetto del ricorso. Successivamente, la ricorrente formulava alcune osservazioni scritte sulle controdeduzioni dell intermediario: in particolare dichiarava di non aver mai sottoscritto alcun contratto né, dunque, potuto prendere visione delle clausole invocate dalla controparte, giacché, all epoca in cui aveva acceso il conto corrente, per ottenere il servizio on-line era sufficiente farne richiesta tramite il sito internet dell intermediario ed attivare telefonicamente il codice segreto rilasciato dall intermediario; rilevava altresì che, Pag. 3/6
essendo nota l identità di coloro che avevano ordinato le operazioni disconosciute dalla ricorrente, l intermediario avrebbe potuto comunque rintracciarli e rivalersi su tali soggetti (che erano suoi correntisti). DIRITTO Ritiene il Collegio che il ricorso meriti di essere accolto in base alle considerazioni e per le ragioni di seguito illustrate. La vicenda sottoposta all esame di questo Collegio ha riguardo, come già accennato nella narrativa dei fatti, a quel peculiare atteggiarsi della frode informatica noto sotto il nome di phishing. Si suole, con detta espressione di origine inglese, ormai entrata anche da noi nell uso corrente, fare riferimento a comportamenti perpetrati attraverso il c.d. furto di identità telematica, e cioè attraverso l appropriazione fraudolenta di codici e password identificativi di un dato soggetto in ambito internet allo scopo di conseguirne determinate utilità (nel caso di specie, l accesso al conto corrente bancario della ricorrente). In particolare, l obiettivo dei phishing attacks consiste nel carpire dall utente, eventualmente inducendo subdolamente l utente stesso a fornirli, dati o informazioni personali, riguardanti principalmente le credenziali di autenticazione per accedere ad aree informatiche esclusive o a servizi bancari o finanziari on-line, i numeri di carte di credito o di pagamento, gli identificativi per l abilitazione all accesso a siti di vario genere, gli user id e le password di accesso alla gestione on-line dei conti correnti, finanche il numero di conto corrente, il numero o gli estremi della carta d identità o della patente di guida. Lo scopo di tali comportamenti è quello di utilizzare i dati in tal modo ottenuti per conseguire l abilitazione all accesso a determinati servizi on-line, assumendo virtualmente l identità del legittimo titolare o utente, vittima dell attacco. Svolta questa necessaria premessa sulla particolare tipologia di frode informatica che appare essersi verificata nel caso di specie, occorre considerare che la possibilità di operare sui conti correnti attraverso internet, offerta dagli intermediari ai propri clienti, giova a questi ultimi (evitando loro il disagio e la perdita di tempo che di solito comporta l accesso fisico ai locali della banca), ma rende altresì utilissimi servigi alla banca, consentendole notevoli risparmi (in termini di tempo, di unità di personale dedicato alla clientela, eccetera) ed agevolandone la penetrazione capillare nel mercato. Alla luce di tali considerazioni, ritiene il Collegio, in linea con le decisioni già assunte in casi consimili, che il rischio della frode informatica mediante phishing non possa essere posto a carico del cliente, salvo che non sia a lui imputabile un difetto di prudenza o di diligenza nella conservazione e custodia dei propri dati personali (nel qual caso troverebbero applicazione i principi in tema di concorso di colpa). Deve in vero prestarsi adesione all autorevole indirizzo secondo il quale ai fini della valutazione della responsabilità contrattuale della banca ( ) non può essere omessa la verifica dell adozione da parte dell istituto bancario delle misure idonee a garantire la sicurezza del servizio (nella specie si trattava del servizio relativo alla carta bancomat, n.d.r.) da eventuali manomissioni ( ): infatti, la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell accorto Pag. 4/6
banchiere (Cass., sezione I civile 12 giugno 2007, n. 13777; cfr. altresì Cass., sez. I civile, 7 marzo 2003, n. 3389; Cass., sez. III civ., 31 luglio 2002, n. 11382). Il richiamo all obbligo, in capo all imprenditore ed in particolare all imprenditore bancario, di adottare tutte le misure di carattere tecnico ed organizzativo, idonee a conferire il massimo grado di sicurezza ai servizi offerti, appare oggi ulteriormente corroborato su un piano più generale dalla espressa previsione normativa dell obbligo, posto a carico dell organo gestorio, di munire in ogni caso l impresa di assetti organizzativi adeguati e dell obbligo, posto a carico dell organo di controllo, di vigilare sull adeguatezza di tali assetti (cfr. artt. 2381, 2403, c.c., nel testo modificato dalla riforma societaria del 2003). Rilevano inoltre, ai fini della soluzione del caso sottoposto ad esame, il disposto dell art. 1856 c.c., ai sensi del quale la banca risponde secondo le regole del mandato per l esecuzione degli incarichi ricevuti dal correntista; quello dell art. 33, comma 2, lettera b) del codice del consumo (d. lgs. n. 206/2005), si sensi del quale si presumono vessatorie le clausole che hanno per effetto o per oggetto di escludere o limitare le azioni o i diritti del consumatore nei confronti del professionista, in caso di inadempimento totale o parziale o di adempimento inesatto da parte del professionista; quello dell art. 1341, comma 2, c.c., secondo il quale non hanno effetto, in mancanza di specifica approvazione per iscritto, le condizioni contrattuali che stabiliscono limitazioni di responsabilità a favore di colui che le ha predisposte.. Alla stregua delle disposizioni da ultimo ricordate devono valutarsi come illegittime o comunque inopponibili alla cliente le clausole contrattuali (artt. 4.1 e 1.6 delle Condizioni particolari e servizi aggiuntivi ) invocate dall intermediario (cfr., per un precedente nella giurisprudenza di merito, Trib. Roma, 21 gennaio 2000) e mai sottoscritte dalla cliente medesima. D altro canto, la mancata specifica approvazione per iscritto delle clausole onerose di cui all art. 1341 ne comporta, secondo la giurisprudenza anche della Suprema Corte, la nullità: cfr. Cass., sez. III civile, 14 luglio 2009, n. 16394). Le dichiarazioni della ricorrente circa la totale assenza di profili di colpa nel suo comportamento (in quanto operava con un computer munito di adeguati presidi di protezione da virus et similia e non aveva mai divulgato a terzi i propri dati personali e coordinate di accesso al conto corrente on-line) non sono state specificamente contestate dall intermediario; per cui i dati di fatto a cui esse hanno riguardo devono considerarsi pacifici (in applicazione del principio sancito nell art. 115 c.p.c.). Sull altro versante, le dichiarazioni della banca, di aver adottato elevati standards di sicurezza per la salvaguardia delle informazioni trasmesse via internet sono smentite dallo stesso verificarsi dei fatti oggetto della presente controversia; mentre la circostanza che l intermediario abbia eseguito le due operazioni oggetto di controversia senza attribuire alcun peso alla circostanza che almeno una delle due, la seconda, era di ammontare assai elevato in rapporto alla consistenza del conto e comportava anzi l azzeramento del relativo saldo, e perciò senza avvertire di ciò la cliente, segnala un ulteriore profilo di violazione, da parte dell intermediario medesimo, dell obbligo di diligenza specificatamente imposto dal citato art. 1856 c.c. Ritiene pertanto il Collegio che la pretesa della ricorrente al rimborso, da parte dell intermediario, dell importo corrispondente alla somma delle due operazioni indebitamente eseguite sul suo conto corrente sia fondata. Pag. 5/6
P.Q.M. Il Collegio accoglie il ricorso e pertanto dispone la restituzione alla ricorrente della somma richiesta, pari a 5700, oltre interessi dalla data del reclamo. Dispone inoltre, ai sensi della vigente normativa, che l intermediario corrisponda alla Banca d Italia la somma di 200,00 (duecento/00) quale contributo alle spese della procedura e alla ricorrente la somma di 20,00 (venti/00) quale rimborso di quella versata alla presentazione del ricorso. P.IL PRESIDENTE firma 1 Pag. 6/6