Cerca
Cerca
+

Phishing, ecco cosa fare se ti svuotano il conto in banca

Giovanni Gregorio
Giovanni Gregorio

Avvocato civilista, patrocinante in Cassazione, sono nato, cresciuto e laureato a Milano, dove esercito in proprio la professione occupandomi principalmente di contratti commerciali, risarcimento danni da responsabilità civile,  diritto immobiliare e recupero crediti. Collaboro con il servizio di tutela legale di una primaria compagnia assicurativa, sono professionista delegato alle vendite giudiziarie immobiliari presso il Tribunale di Milano e tengo corsi di formazione aziendale in materia contrattuale.

Vai al blog
Esplora:
  • a
  • a
  • a

Con lo sviluppo delle nuove tecnologie si sono purtroppo diffusi anche i reati informatici; tra questi, uno dei più diffusi è la truffa nota come “phishing”. Molte persone, infatti, ricevono e-mail o sms che sembrano provenire da banche, compagnie telefoniche o altre società.

Cos’è il phishing
Il “phishing” consiste nell’invio massivo di messaggi fraudolenti via sms e via e-mail, simili nell’aspetto e nel contenuto a quelli di società che offrono servizi di pagamento, telefonici o di altro tipo. Questi messaggi hanno lo scopo di rubare i dati riservati dei destinatari; li inducono a cliccare su un link a un'area riservata sul falso sito web della società e a inserirvi username e password.

Queste truffe possono essere particolarmente dannose quando il messaggio fraudolento è simile a quello della banca, di cui la vittima è effettivamente cliente. Quest’ultima, infatti, confidando nell’autenticità del messaggio ricevuto, clicca sul link in esso contenuto nella convinzione di collegarsi al sito della propria banca. La vittima, invece, si collega a un diverso sito web creato dai truffatori, del tutto simile a quello del proprio istituto di credito. Qui inserisce i propri dati personali, che vengono così carpiti dai malintenzionati, i quali li usano per accedere al conto corrente della vittima medesima.

Il voice phishing o vishing
In questi ultimi mesi, soprattutto durante il lockdown, si è purtroppo diffuso un nuovo tipo di “phishing”, definito “voice phishing” o “vishing”.
Quest’ultimo tipo di truffa informatica è molto più pericoloso rispetto a quella sopra descritta.

Di solito, infatti, gli autori del “phishing” tradizionale non sanno se i destinatari del messaggio ingannevole siano o meno effettivamente clienti della banca che appare come mittente del medesimo. Essi, quindi, per aumentare le probabilità di successo, si rivolgono a un numero molto ampio di potenziali vittime; in tal modo, contando sulla possibilità che qualcuna di queste sia effettivamente cliente della banca in questione e cada nell’inganno.

Nel “voice phishing” o “vishing”, invece, i truffatori conoscono già alcuni dati della vittima (come, ad esempio, il nome e il numero di telefono) e sanno in anticipo che quest’ultima è cliente di una determinata banca. Grazie alla conoscenza di questi dati, essi sono in grado di effettuate una o più telefonate mirate alla vittima. La telefonata può essere preceduta da un sms inviato a quest’ultima, apparentemente proveniente dal servizio clienti della banca; con questo messaggio i truffatori comunicano che vi sono problemi con il conto corrente e preannunciano l’arrivo della telefonata che aiuterà il correntista a trovare una soluzione.

Successivamente, nel corso della conversazione, il finto operatore sfrutta la conoscenza dei dati in proprio possesso per rendersi più credibile di fronte alla vittima; con la scusa di risolvere il problema, la induce così a collegarsi al falso sito web. La vittima, convinta di parlare con il servizio clienti della propria banca, segue le istruzioni del finto operatore e inserisce i propri dati riservati nel falso sito web.
I possibili rimedi per i danni subiti dalle vittime di “phishing”

Cosa può fare il correntista, vittima di “phishing”, al quale siano stati sottratti con l’inganno i propri risparmi? Innanzitutto, egli deve recarsi immediatamente presso la propria banca e disconoscere tutti i movimenti in uscita dal proprio conto corrente (bonifici, pagamenti, ecc…) che non siano stati da lui effettuati. Egli dovrà cioè contestare in forma scritta e in modo specifico, utilizzando l’apposito modulo che la banca deve fornirgli, tutti i movimenti in uscita effettuati dai truffatori.

In secondo luogo, la vittima deve presentare una denuncia - querela alla polizia postale. Se nel corso delle indagini le forze dell’ordine individuano gli autori della truffa informatica, egli può costituirsi parte civile nel relativo processo penale a loro carico, per chiedere il risarcimento dei danni. In alternativa, la vittima, una volta individuati gli autori della truffa, può promuovere separata una causa civile nei loro confronti. Queste azioni nei confronti dei truffatori potrebbero tuttavia non produrre i risultati sperati. La vittima potrebbe cioè non riuscire a recuperare in tutto o in parte le somme che gli sono state sottratte. Ciò può accedere se, ad esempio, i truffatori risultano nullatenenti e hanno speso tutte le somme sottratte.
 

L'azione nei confronti della banca
La vittima di “phishing”, per avere maggiori possibilità di recuperare effettivamente le somme sottrattele, potrebbe quindi chiedere il risarcimento dei danni anche alla propria banca. In tal caso, dovrà inviare una richiesta scritta al proprio istituto di credito a mezzo pec o a mezzo raccomandata, raccontando l’accaduto e allegando la documentazione in proprio possesso.

La banca avrà poi 30 giorni di tempo per rispondere. Se la risposta sarà negativa, il correntista potrà agire in giudizio nei suoi confronti. Prima di farlo, però, egli è obbligato per legge a promuovere un tentativo di mediazione. Questo può essere effettuato o davanti a un qualsiasi organismo di mediazione oppure davanti all’Arbitro Bancario Finanziario. Quest’ultimo, a differenza di un generico organismo di mediazione, è specializzato in materia bancaria; inoltre, mentre il procedimento di mediazione civile, in caso di mancato accordo tra la banca e il cliente, si chiude con un semplice verbale negativo senza che l’organismo di mediazione possa entrare nel merito della controversia, il procedimento davanti all’Arbitro Bancario Finanziario si chiude comunque con una decisione di merito. Quest’ultima, pur non essendo vincolante, conterrà comunque delle indicazioni utili sulla specifica controversia. In ogni caso, il correntista potrà successivamente citare in giudizio la banca.

La responsabilità della banca
A questo proposito, si segnala che la Corte di Cassazione, in materia di truffa informatica, ha riconosciuto la responsabilità della banca, affermando che quest’ultima deve risarcire i danni salvo che dimostri il dolo o la colpa grave del correntista (Corte di Cassazione, Ordinanza n. 9158 del 12/04/2018).

I Tribunali di Napoli, Siracusa e Parma hanno inoltre recentemente affermato quanto segue: “nel caso di operazioni effettuate con strumenti elettronici (home banking), spetta all’istituto di credito verificare la riconducibilità delle stesse alla volontà del cliente, impiegando la diligenza dell’accorto banchiere. L’eventuale uso dei codici di accesso al sistema da parte dei terzi rientra nel rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure tecniche, volte a verificare la riferibilità delle operazioni suddette alla volontà del correntista. La banca non risponde del danno patito dal cliente, solo qualora dimostri che il fatto sia attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo. Di conseguenza, qualora si verifichi un accesso non autorizzato o l’impiego dei dati raccolti per finalità non conformi alla legge, il gestore risponde ex art. 2050 c.c..” (Tribunale di Napoli, Sentenza n. 5895/2019 del 07/06/2019; Tribunale di Siracusa, Sentenza n. 200 del 4/2/2019; Tribunale di Parma, Sentenza n. 1268 del 6/9/2018).

In conclusione, secondo quanto affermato dalla più recente giurisprudenza, le vittime di “phishing” che non si siano comportate in modo particolarmente incauto, avrebbero la possibilità di ottenere dal proprio istituto di credito il risarcimento dei danni subiti..

di Giovanni Gregorio
[email protected]

Dai blog