L’home banking è un formidabile strumento per l’amministrazione delle risorse finanziarie, ma nasconde un volto oscuro: esso amplia a dismisura l’esposizione al rischio informatico dei cittadini.
Come noto, le frodi realizzate attraverso piattaforme di home banking si caratterizzano per l’elevato grado di insidiosità, in quanto sfruttano la fiducia riposta dall’utente nei canali digitali dell’istituto di credito e la semplicità con cui si può disporre un bonifico bancario (anche istantaneo).
Il fenomeno delle frodi tramite home banking si colloca, inoltre, all’interno di un più ampio scenario di criminalità informatica in cui l’elemento tecnologico rappresenta anche il veicolo attraverso cui viene alterata la percezione del rischio da parte della vittima, inducendola a compiere atti dispositivi pregiudizievoli per il proprio patrimonio.
Il presente articolo si propone di esaminare le modalità attraverso cui vengono realizzate le frodi di home banking e, soprattutto, di illustrare i possibili strumenti di tutela a disposizione del correntista in caso di bonifico non autorizzato o altra operazione dispositiva indebita.
Tenteremo così di fornire al lettore un quadro chiaro dei rimedi esperibili, tanto in sede stragiudiziale quanto in sede giudiziale, evidenziando – fase per fase – le cautele che devono essere tempestivamente adottate per contenere il danno e per incrementare le possibilità di recupero delle somme indebitamente sottratte a seguito di frode informatica.
Le principali tipologie di frodi home banking basate sull’ingegneria sociale
Le frodi perpetrate mediante sistemi di home banking si caratterizzano, nella maggior parte dei casi, per l’impiego di tecniche di ingegneria sociale, finalizzate a indurre la vittima a compiere operazioni dispositive nella falsa convinzione di agire in un contesto sicuro e legittimo. Le condotte in alcuni casi sono rese possibili dalla violazione tecnica delle infrastrutture informatiche dell’istituto di credito mentre, altre volte, incidono sull’alterazione del processo decisionale dell’utente.
Tra le modalità più diffuse si annoverano le comunicazioni ingannevoli veicolate mediante posta elettronica, il phishing, messaggi di testo o contatti telefonici, con cui i soggetti agenti simulano l’intervento di operatori del servizio clienti dell’istituto di credito ovvero di appartenenti a reparti specializzati delle forze dell’ordine (Polizia Postale), prospettando l’esistenza di presunte anomalie o tentativi di accesso sospetti all’home banking.
Attraverso tali artifici, la vittima viene indotta a cliccare su link malevoli che indirizzano a sessioni specifiche del servizio di home banking. Una volta acquisito il controllo delle funzionalità di home banking, il profitto illecito viene normalmente realizzato mediante l’esecuzione di bonifici bancari, frequentemente nella forma del bonifico istantaneo, verso conti correnti riconducibili a prestanome o a soggetti di difficile individuazione patrimoniale.
In alcuni casi, al fine di rendere più complessa la tracciabilità dell’operazione, i truffatori dispongono contestualmente la richiesta di finanziamenti immediati di importo analogo a quello sottratto, così da creare un’apparente giustificazione contabile del movimento di denaro. Si tratta di fattispecie particolarmente insidiose, nelle quali l’apparato repressivo penale incontra spesso significative difficoltà nell’identificazione degli autori materiali, rendendo centrale il tema della tutela civilistica e contrattuale del correntista vittima di frode tramite home banking.
Doveri di diligenza del cliente: il divieto di comunicazione dei codici di accesso
Nelle truffe tramite home banking, assume rilievo centrale il profilo della diligenza del correntista nella custodia e nell’utilizzo delle proprie credenziali di accesso e dei codici dispositivi. I sistemi di home banking sono strutturati su presidi di sicurezza che presuppongono la collaborazione attiva dell’utente, il quale è tenuto a mantenere riservati i propri dati identificativi, le password e i codici temporanei di autorizzazione delle operazioni, evitando di comunicarli a terzi in qualsiasi forma e per qualsiasi ragione.
La comunicazione dei codici di accesso all’home banking a soggetti estranei al rapporto bancario, ancorché indotta mediante artifici o raggiri, può essere valutata, sotto il profilo giuridico, quale condotta connotata da colpa grave, idonea a incidere sull’accertamento delle responsabilità in caso di operazioni non autorizzate.
In particolare, laddove risulti che il correntista abbia fornito volontariamente a terzi le proprie credenziali o abbia autorizzato l’accesso remoto al servizio di home banking, la banca potrà eccepire l’inosservanza delle regole di utilizzo del servizio e l’inadempimento degli obblighi contrattuali di custodia dei dispositivi di sicurezza.
Ne consegue che la valutazione della condotta del cliente riveste un ruolo determinante nella ricostruzione causale dell’evento dannoso. La giurisprudenza e la prassi applicativa tendono, infatti, a distinguere le ipotesi in cui la frode di home banking derivi dall’aggiramento dei sistemi di protezione dell’istituto di credito, da quelle in cui l’evento sia stato reso possibile da un comportamento gravemente imprudente dell’utente.
In tale prospettiva, la circostanza per cui non devono mai essere comunicati per via telefonica o telematica i dati di accesso all’home banking e i codici dispositivi si rivela fondamentale sul versante probatorio, incidendo in modo diretto sulle possibilità di ottenere il rimborso delle somme sottratte in sede stragiudiziale o giudiziale.
Ma nel caso in cui la frode informatica sia andata a segno cosa è possibile fare?
Fase 1: immediata comunicazione alla Banca dell’operazione di pagamento non autorizzata
Nel caso in cui il correntista si avveda dell’esecuzione di un’operazione di pagamento non autorizzata tramite home banking, questi deve darne tempestiva comunicazione all’istituto di credito, nel più breve tempo possibile. Tale comunicazione non deve essere limitata a un contatto informale con il servizio di assistenza telefonica, ma deve essere formulata per iscritto, in modo da consentire la tracciabilità della contestazione e la precisa individuazione dell’operazione disconosciuta.
Attraverso tale atto, il cliente manifesta in modo inequivoco la volontà di disconoscere la disposizione di pagamento. La rilevanza della segnalazione immediata risiede, in primo luogo, nella possibilità che l’operazione disposta tramite home banking non sia ancora giunta a esecuzione definitiva.
In particolare, per bonifici di importo elevato o verso conti esteri, gli istituti di credito possono prevedere tempi tecnici di elaborazione e controlli interni di sicurezza, finalizzati a prevenire transazioni anomale. In tali ipotesi, l’intervento tempestivo del correntista potrebbe consentire il blocco dell’operazione prima che le somme vengano definitivamente accreditate sul conto del beneficiario, riducendo o addirittura evitando il pregiudizio patrimoniale.
Sotto il profilo giuridico, la comunicazione scritta alla banca dell’operazione di home banking non autorizzata assume altresì valore di atto di contestazione formale, e a dimostrare l’assenza di volontà dispositiva da parte del cliente. Essa costituisce, inoltre, un elemento rilevante nella successiva fase di richiesta di rimborso, in quanto consente di documentare la tempestività della reazione del correntista e di escludere che l’inerzia abbia contribuito causalmente alla produzione del danno.
Fase 2: presentazione di una denuncia/querela alla polizia giudiziaria
A seguito della scoperta di un’operazione non autorizzata eseguita mediante home banking, si impone la necessità di presentare senza indugio querela presso un Ufficio di polizia giudiziaria (Polizia di Stato, Carabinieri, Guardia di Finanza), contro ignoti, descrivendo in modo puntuale le circostanze di fatto note al momento della denuncia.
La querela è il presupposto per l’attivazione delle indagini penali volte all’accertamento delle responsabilità degli autori della frode e all’eventuale individuazione dei flussi finanziari illecitamente generati attraverso l’utilizzo fraudolento del servizio di home banking. Essa consente di formalizzare l’accaduto in un atto pubblico, che cristallizza temporalmente la scoperta dell’illecito e le modalità con cui la sottrazione delle somme è stata realizzata.
Sotto il profilo giuridico, la presentazione della querela assolve a una duplice funzione. Da un lato, essa permette l’avvio del procedimento penale per i reati configurabili in relazione alla frode di home banking, quali l’accesso abusivo a sistema informatico, la frode informatica e le ulteriori fattispecie eventualmente integrate dalla condotta degli autori.
Dall’altro lato, la denuncia costituisce un elemento di rilievo nei rapporti con l’istituto di credito, in quanto dimostra la serietà della contestazione e la volontà del correntista di ottenere l’accertamento giudiziario dell’illecito, rafforzando la credibilità della richiesta di rimborso per operazione disconosciuta.
La narrazione dei fatti contenuta nella querela assume, inoltre, un’importanza decisiva nella ricostruzione dell’evento sotto il profilo causale. In essa devono essere indicati, per quanto possibile, i contatti intercorsi con i presunti operatori bancari o con i soggetti che si sono presentati come appartenenti alle forze dell’ordine, le modalità di accesso all’home banking, l’eventuale ricezione di comunicazioni ingannevoli e la tempistica delle operazioni contestate.
Ciò risulta essenziale non solo per le indagini penali, ma anche per le successive iniziative stragiudiziali o giudiziali intraprese nei confronti della Banca.
Fase 3: richiesta di rimborso alla banca per operazione di pagamento non autorizzata
Una volta effettuata la contestazione formale dell’operazione e presentata la querela, il correntista dovrebbe indirizzare all’istituto di credito una specifica richiesta di rimborso per l’operazione di home banking non autorizzata o disconosciuta (solitamente tramite moduli o formulati della stessa banca).
Tale iniziativa si fonda sul principio secondo cui il prestatore di servizi di pagamento è tenuto ad assicurare che le operazioni disposte mediante home banking siano correttamente autorizzate dal titolare del conto e siano eseguite nel rispetto dei presidi di sicurezza previsti dalla normativa di settore e dalle condizioni contrattuali. In presenza di una disposizione di pagamento che il cliente afferma di non aver mai impartito, la banca è tenuta a verificare l’effettiva riconducibilità dell’operazione alla volontà del correntista e a dimostrare l’adozione di sistemi idonei a prevenire accessi abusivi.
Gli istituti di credito sono, inoltre, normalmente coperti da polizze assicurative contro le frodi digitali connesse all’utilizzo dei servizi di home banking, predisposte proprio al fine di fronteggiare il rischio economico derivante da operazioni fraudolente poste in essere da terzi.
In tale contesto, qualora emerga che la sottrazione delle somme sia stata determinata, anche in via concorrente, dall’aggiramento dei meccanismi di sicurezza del sistema di home banking, la richiesta di rimborso del cliente dovrebbe essere evasa in tempi ragionevoli, mediante la restituzione delle somme indebitamente prelevate.
La banca, infatti, non può limitarsi a opporre l’avvenuta autenticazione formale dell’operazione, ma deve dimostrare che essa sia stata correttamente autorizzata dal cliente e che non sussistano anomalie riconducibili a falle organizzative o tecnologiche del servizio.
Qualora l’istituto di credito non fornisca riscontro positivo alla richiesta di rimborso entro un congruo termine, che non dovrebbe eccedere, di regola, il periodo di due mesi dalla presentazione della domanda, si rende opportuno valutare il coinvolgimento di un professionista legale.
L’assistenza di un avvocato consente, infatti, di inquadrare correttamente la vicenda sotto il profilo giuridico, di individuare le responsabilità connesse all’uso del servizio di home banking e di predisporre gli atti necessari per l’attivazione delle ulteriori forme di tutela previste dall’ordinamento, sia in sede stragiudiziale sia in sede giudiziale.
Fase 4: il reclamo e il ricorso all’Arbitro Bancario Finanziario
Nel caso in cui la richiesta di rimborso per operazione di home banking non autorizzata non sia accolta dall’istituto di credito, ovvero non venga evasa nei termini previsti, il correntista dovrebbe attivare gli strumenti di tutela stragiudiziale previsti dall’ordinamento bancario, a partire dalla proposizione di un reclamo formale.
Il reclamo rappresenta un passaggio preliminare necessario per l’eventuale instaurazione del procedimento dinanzi all’Arbitro Bancario Finanziario ed è volto a sollecitare un riesame della vicenda alla luce delle circostanze di fatto e delle ragioni giuridiche poste a fondamento della contestazione dell’operazione di home banking.
Decorso inutilmente il termine di risposta previsto per l’istituto di credito (15 o 60 giorni, a seconda dei casi), ovvero in caso di esito negativo del reclamo, il correntista può proporre ricorso all’Arbitro Bancario Finanziario, organismo di risoluzione alternativa delle controversie istituito presso la Banca d’Italia.
Il procedimento davanti all’ABF si caratterizza per la sua natura essenzialmente documentale e per lo svolgimento di un contraddittorio cartolare tra le parti, nel quale ciascun soggetto è chiamato a depositare memorie e documenti a sostegno delle proprie ragioni. La decisione viene adottata da un collegio composto da membri dotati di specifica competenza tecnica e giuridica in materia bancaria e finanziaria, con tempi di definizione della controversia che, di regola, non superano i sei mesi dalla presentazione del ricorso. Abbiamo dedicato al ricorso all’ABF uno specifico approfondimento.
L’accesso all’ABF presenta significativi vantaggi in termini di contenimento dei costi (il contributo per la proposizione del ricorso è di 20 euro), di semplificazione procedurale e di rapidità della decisione, rispetto al ricorso immediato all’autorità giudiziaria. Sebbene la rappresentanza tecnica dell’avvocato non sia obbligatoria, l’assistenza di un professionista può risultare particolarmente utile nella predisposizione del ricorso e nella strutturazione delle argomentazioni giuridiche.
La decisione dell’Arbitro Bancario Finanziario non ha natura formalmente vincolante, ma nella prassi gli istituti di credito si conformano ordinariamente agli esiti del procedimento, rendendo tale strumento un rimedio di particolare efficacia per la tutela del correntista vittima di frode informatica connessa all’utilizzo dell’home banking.
Fase 5: tutela dinanzi al giudice ordinario
Qualora il ricorso all’Arbitro Bancario Finanziario si concluda con esito sfavorevole per il correntista, ovvero nel caso in cui l’istituto di credito non si conformi alla decisione adottata, resta ferma la possibilità di adire l’autorità giudiziaria ordinaria per la tutela dei propri diritti.
L’instaurazione del giudizio consente di sottoporre la controversia derivante dalla frode mediante home banking alla valutazione di un giudice terzo e imparziale, chiamato ad applicare le norme di legge e i principi elaborati dalla giurisprudenza in materia di responsabilità contrattuale e di servizi di pagamento.
Nel processo civile, ciascuna parte è onerata della prova dei fatti posti a fondamento delle rispettive domande ed eccezioni. Il correntista dovrà dimostrare l’avvenuta sottrazione delle somme mediante operazioni di home banking non autorizzate e l’assenza di una propria volontà dispositiva, mentre l’istituto di credito sarà tenuto a provare di aver adottato misure di sicurezza adeguate e conformi allo stato dell’arte per prevenire accessi abusivi al sistema di home banking.
In tale contesto, il giudizio potrà richiedere l’acquisizione di elementi tecnici relativi al funzionamento delle piattaforme informatiche e ai protocolli di autenticazione utilizzati, con la conseguente possibilità che venga disposta una consulenza tecnica d’ufficio al fine di valutare l’idoneità dei presidi di sicurezza e la riconducibilità dell’operazione al cliente.
Sotto il profilo procedurale, la controversia potrà essere trattata anche mediante il rito semplificato di cognizione, laddove ne ricorrano i presupposti, ferma restando la complessità che spesso caratterizza le frodi di home banking sotto il profilo probatorio e tecnico.
La decisione del giudice si sostanzia in una sentenza che accerta le responsabilità delle parti e stabilisce l’eventuale obbligo di restituzione delle somme indebitamente sottratte, nonché il risarcimento degli ulteriori danni subiti dal correntista. In tal senso, la tutela giudiziale è l’extrema ratio: l’ultima e più incisiva forma di protezione dei diritti patrimoniali lesi a seguito di frode informatica realizzata attraverso il canale bancario.
Frodi digitali: assistenza legale qualificata in sede giudiziale e stragiudiziale
Le frodi realizzate mediante sistemi di home banking rappresentano oggi una delle forme più insidiose di aggressione al patrimonio del correntista, poiché si fondano su tecniche di ingegneria sociale capaci di eludere non solo i presidi tecnologici, ma anche la percezione del rischio da parte dell’utente.
Tali accadimenti impongono una valutazione attenta delle modalità con cui l’evento si è verificato e delle responsabilità che ne derivano, tanto sotto il profilo contrattuale quanto sotto quello della disciplina dei servizi di pagamento.
In tale contesto si inserisce l’attività professionale dello Studio, specializzato in reati informatici, che presta assistenza nei casi di frode informatica connessa all’utilizzo dell’home banking, affiancando il cliente nella fase di contestazione delle operazioni, nella predisposizione delle richieste di rimborso e nell’attivazione degli strumenti di tutela stragiudiziale e giudiziale.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.