Nell’era digitale, le truffe online sono diventate sempre più sofisticate e frequenti. Una delle questioni più dibattute in ambito giuridico riguarda la responsabilità delle banche in caso di frodi online, in particolare quando i clienti rivelano involontariamente informazioni sensibili, come i codici OTP (One Time Password). Il Tribunale di Enna ha recentemente affrontato questa tematica.
Il caso al Tribunale di Enna
Con un’ordinanza datata 11 luglio 2023, il Tribunale di Enna ha esaminato una controversia tra un correntista e la sua banca. Il correntista aveva presentato un ricorso ex art. 10 D. Lgs. 150/2011, accusando la banca di aver trattato in modo illegittimo i dati personali relativi al suo conto corrente.
Il correntista raccontava di aver ricevuto un SMS, apparentemente dalla sua banca, che lo invitava a contattare urgentemente l’ufficio anti-frodi. Durante la telefonata, il cliente aveva fornito all’interlocutore tutti i suoi dati personali, compresi i codici OTP generati dal suo token. Questi codici, secondo l’interlocutore, erano necessari per prevenire tentativi di frode sulla sua carta di credito. In realtà, si trattava di una truffa, e fornendo tali codici, il cliente aveva involontariamente permesso ai truffatori di completare operazioni fraudolente sul suo conto.
La difesa della banca
In risposta al ricorso, la banca ha sostenuto di non avere alcuna responsabilità per il danno subito dal correntista. Secondo l’istituto di credito, la colpa ricadeva interamente sul cliente, che aveva agito con grave negligenza rivelando i suoi codici OTP. La banca ha inoltre sottolineato di aver adottato tutte le misure di sicurezza necessarie per proteggere i pagamenti elettronici dei suoi clienti, tra cui l’uso di token OTP, dispositivi che generano password monouso, uniche e irripetibili, conosciute solo dall’utente.
La normativa in materia e l’interpretazione della Corte
Il Giudicante ha iniziato la sua analisi esaminando la normativa vigente in materia di sicurezza dei pagamenti elettronici. Ha evidenziato come la banca avesse adottato un sistema di autenticazione a due fattori, considerato di difficile forzatura, grazie all’uso dei token OTP. Questi dispositivi generano password monouso che, insieme alla password fissa conosciuta solo dall’utente, offrono un livello elevato di sicurezza.
Tuttavia, il Giudice ha precisato che non può esistere un “automatismo” tra l’adozione di un sistema a due fattori e la presunzione di colpa grave da parte del cliente. È possibile, infatti, che terzi possano ottenere i codici di accesso anche se il cliente si comporta con la dovuta diligenza.
Il riferimento alla Corte di Cassazione
Il Giudice ha poi fatto riferimento a una recente pronuncia della Corte di Cassazione, la quale aveva affrontato un caso simile di phishing. In quella circostanza, la Corte aveva stabilito che inserire i propri codici personali attraverso una e-mail fraudolenta costituiva un comportamento imprudente e negligente da parte del correntista.
Anche se il caso esaminato dal Tribunale di Enna differiva leggermente (il cliente aveva fornito i codici OTP durante una telefonata e non via e-mail), il Giudice ha ritenuto che il principio enunciato dalla Cassazione potesse essere applicato anche al caso in esame. Il cliente, infatti, era caduto vittima di una truffa e aveva fornito i codici OTP, essenziali per completare i bonifici fraudolenti.
La decisione finale
Alla luce di queste considerazioni, il Giudice ha concluso che il cliente aveva agito con grave colpa, utilizzando il token in modo improprio nonostante le chiare avvertenze fornite dalla banca nel contratto. Di conseguenza, la responsabilità della frode non poteva essere attribuita alla banca, che aveva adottato tutte le misure di sicurezza necessarie.
Il ricorso presentato dal correntista è stato quindi rigettato, confermando che la banca non aveva alcuna responsabilità nella truffa subita dal cliente.