- Sai cos’è il Vishing?
- Ti è mai capitato di vederti richieste le credenziali di accesso a determinati servizi tramite telefonata, mail o messaggio?
- Ti ritieni sufficientemente tutelato e messo in grado di accertare comportamenti illeciti?
Il vishing è una forma di truffa del tutto simile al c.d. phishing, che mira a ottenere dati sensibili e informazioni private dalla vittima, con l’inganno tramite l’utilizzo dei servizi di telefonia. La vittima viene contattata telefonicamente da soggetti che, simulando di essere operatori della banca, le chiedono di fornire i propri dati sensibili (ad esempio le credenziali di accesso al conto corrente) spesso paventando proprio il rischio di attacchi informatici da parte di malintenzionati.
Molti dei tentativi di truffa posti in essere in materia di servizi di pagamento si svolgono secondo uno schema tipico, consistente nell’indurre il titolare dello strumento, a seconda dei casi tramite telefono, e-mail, sms, a comunicare e/o a inserire su dispositivi o piattaforme informatiche le proprie credenziali personalizzate.
La differenza tra phishing, smishing e vishing consiste appunto nella tecnica del contatto: nel phishing tramite un messaggio di posta elettronica, nello smishing tramite sms, nel vishing tramite una chiamata telefonica.
Con sentenza dell’8 marzo 2022 il Tribunale di Torino ha respinto la domanda risarcitoria di un cliente, vittima di vishing, nei confronti dell’intermediario.
Il Giudice:
a) in primo luogo ricorda che ai sensi dell’art. 10, comma 2, D.Lgs. n. 11/2020: “È onere del prestatore di servizi di pagamento … fornire la prova della frode, del dolo o della colpa grave dell’utente”;
b) “anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema (ciò che rappresenta interesse degli stessi operatori), appare del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore di servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici da parte di terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo” (Cass. n. 2950/2017);
c) in applicazione dei suddetti principi le domande attoree devono essere rigettate, essendo stata provata dalla banca la colpa grave dell’utente, che ha “comunicato telefonicamente a terzi le proprie credenziali di home banking” (cfr. Cass. 26 novembre 2020, n. 26916, secondo cui “la responsabilità della banca per operazioni effettuate a mezzo di strumenti elettronici, con particolare riguardo alla verifica della loro riconducibilità alla volontà del cliente mediante il controllo dell’utilizzazione illecita dei relativi codici da parte di terzi, ha natura contrattuale e, quindi, va esclusa solo se ricorre una situazione di colpa grave dell’utente”; v. anche Cass. 5 luglio 2019, n. 18045; Cass. 12 aprile 2018, n. 9158; Cass. 3 febbraio 2017, n. 2950). Per la giurisprudenza di merito, cfr. su questo Quotidiano, Trib. Gela, ordinanza 17 maggio 2021; Trib. Pesaro sentenza 7 settembre 2021; Trib. Prato sentenza n. 669 del 27 settembre 2021. Trib. Verona, ord. 10 gennaio 2022).
Anche l’ABF ha spesso ritenuto sussistenti gli estremi della colpa grave in capo all’utente che comunichi le proprie credenziali e password all’esterno del circuito previsto dall’intermediario (cfr. Coll. Milano n. 4033/2021; Coll. Napoli n. 24098/2021).
Spesso però le tre modalità di truffa sono poi realizzate attraverso il c.d. spoofing, cioè una tecnica per contraffare l’identità di utenti o di dispositivi. Si tratta, in sintesi, di una falsificazione tecnologica utilizzata per far credere alla vittima che l’identità del mittente del contatto o del contenuto ricevuto siano attendibili.
L’ABF, ispirandosi al principio di ragionevole esigibilità della prestazione, ha costantemente affermato – ancora prima dell’entrata in vigore dell’art. 10-bis d.lgs. n. 11/2010, come novellato dal d.lgs. n. 218/2017 – la responsabilità del secondo nel caso di mancata adozione dei più avanzati accorgimenti tecnici di prevenzione (cfr. fra le tante, Coll. Milano, n. 111/2012, n. 113/2012), mentre l’ha esclusa in tutto o in parte ove il cliente, pur debitamente informato della disponibilità di siffatti strumentari di sicurezza, ometta di avvalersene (cfr. Coll. Milano, n. 528/2012).
In questa prospettiva l’ABF ha più volte ritenuto sussistente la responsabilità della banca per non aver adottato misure di sicurezza idonee a impedire ipotesi di spoofing, ad esempio quando il cliente abbia ricevuto i messaggi di truffa nella stessa chat di destinazione delle comunicazioni di servizio dell’intermediario (v. Coll. Milano n. 15621/2021; in quel caso la colpa del cliente è stata esclusa perché il c.d. messaggio “civetta” risultava privo di errori grammaticali che avrebbero potuto indurre in sospetto il ricorrente; cfr. in tal senso anche Coll. Milano, n. 2502/2022; Coll. Milano, n. 21414/2020; Coll. Torino, n. 5647/2020).
Lo stesso ABF ha però ritenuto sussistente la prova della colpa grave del ricorrente, nelle ipotesi in cui nonostante il messaggio civetta fosse inserito nella conversazione genuina con l’intermediario, nel medesimo fosse possibile rinvenire evidenti indici di inattendibilità o di anomalia (ad esempio l’invito a selezionare un link in nessun modo riferibile all’intermediario) che avrebbero dovuto far allertare l’utente avveduto (cfr. Coll. Roma, n. 2695/2022; Coll. Milano, n. 2403/2022).
Dunque il principio generale da seguire per verificare se la responsabilità è dell’utente o dell’intermediario (e/o in che misura) è quello di bilanciare il grado di complessità del cd. spoofing (ossia la difficoltà per l’utente di identificare la richiesta illecita), con la tipologia di comportamenti attivi richiesti al danneggiato e necessari per il verificarsi del pregiudizio, accertando se e con quale grado di probabilità l’utente avrebbe potuto e dovuto riconoscere l’indebita richiesta formulata da chi ha ottenuto in maniera illegittima le credenziali.
Filippo Pasqualetti
