Questioni di responsabilità della banca in caso di phishing: motivazione e impatti della decisione dell’OLG Francoforte sul Meno
Il Tribunale Regionale Superiore (OLG) di Francoforte sul Meno ha recentemente dovuto esaminare un caso che, alla luce dell’aumento degli attacchi digitali ai clienti bancari, potrebbe avere una notevole rilevanza per la prassi in materia di diritto dei servizi di pagamento (sentenza del 19.02.2024, Az. 3 U 323/22). Si trattava della questione se un istituto di credito fosse tenuto a rimborsare a un cliente una somma di denaro trasferita dal suo conto a seguito di un cosiddetto attacco di phishing, dove il cliente era caduto vittima di un malware. Dopo un attento esame giuridico, l’OLG ha deciso che la banca non risponde nel caso in cui al cliente possa essere addebitata una colpa grave per negligenza.
Quadro di partenza e fatti di causa
Al centro del procedimento vi era un bonifico che un cliente bancario aveva autorizzato dopo aver ricevuto un’e-mail apparentemente autentica. Questa lo aveva indirizzato a un sito web contraffatto, tramite il quale ha inserito dati di autenticazione sensibili. Successivamente, una somma di denaro rilevante è stata trasferita su un conto estero senza che vi fosse una reale autorizzazione.
Il titolare del conto ha successivamente sostenuto che la banca aveva prelevato indebitamente la somma dal suo conto senza che vi fosse una valida autorizzazione al pagamento. Ai sensi dei §§ 675u, 675y BGB, ha richiesto il rimborso dell’intero importo trasferito.
Criteri della colpa grave per negligenza
L’OLG Francoforte sul Meno ha innanzitutto verificato l’esistenza di basi contrattuali o legali per un diritto al rimborso. Al centro vi era la questione dell’autorizzazione ai sensi del § 675j BGB. Per i pagamenti chiaramente disposti dal titolare del conto, è determinante, ai fini del rimborso, accertare se vi sia stata colpa grave per negligenza nella custodia dei dati di autenticazione (§ 675v comma 3 n. 2 BGB).
Assenza di diritto al risarcimento in caso di comportamento gravemente negligente
Il Tribunale ha chiarito nella sua sentenza che il cliente bancario deve rispondere personalmente delle perdite subite se il suo comportamento può essere qualificato come gravemente negligente. È sufficiente, a tal fine, la violazione di doveri fondamentali di diligenza nell’uso degli strumenti di autenticazione. Tra questi rientra, tra l’altro, che al soggetto pagante non venga imputato di aver trasmesso dati sensibili di sicurezza.
Nel caso in questione, il ricorrente avrebbe dovuto prestare attenzione agli avvisi personali ricevuti dalla banca contro attacchi di phishing e verificare criticamente link o siti sospetti. L’ignorare tali avvertenze e trasmettere senza riflettere codici TAN e password, nonostante i ripetuti richiami della banca, non costituisce più semplice negligenza, bensì va qualificato come colpa grave.
Assenza di obbligo di indennizzo della banca
Secondo il parere della Corte, non vi è obbligo di indennizzo per il prestatore di servizi di pagamento se il danno deriva dalla violazione di obblighi di protezione e diligenza. L’obbligo della banca di rimborsare trasferimenti errati cessa nel momento in cui il cliente non protegge adeguatamente o addirittura comunica a terzi i propri dati di autenticazione.
Rilevanza per clienti bancari e istituti di credito
Conseguenze pratiche per gli utenti dei servizi di pagamento
Se le istruzioni di sicurezza della banca vengono ignorate e ciò porta a un phishing riuscito, secondo la decisione dell’OLG Francoforte sul Meno, il rischio grava fondamentalmente sul cliente. Il quadro giuridico del § 675v BGB tutela i diritti dei consumatori, ma non opera in caso di comportamento gravemente negligente.
Requisiti di consapevolezza della sicurezza
La decisione evidenzia chiaramente che le banche devono assolvere ai loro obblighi informativi e avvertire regolarmente sui rischi e sulle strategie di inganno. Inoltre, ci si aspetta dai clienti bancari che osservino attentamente le indicazioni di sicurezza e i requisiti tecnici. Chi, nonostante ripetuti avvertimenti, divulga dati di autenticazione, rischia di perdere il diritto al rimborso.
Inquadramento politico-legale e strategico
Rilevanza per l’attività di prevenzione delle banche
Per gli istituti di credito ne deriva un rafforzamento della propria posizione legale, a condizione che siano stati predisposti meccanismi di allerta completi e trasparenti e sia dimostrabile il comportamento gravemente negligente. La sentenza sottolinea il principio secondo cui una corretta informazione al cliente è imprescindibile per prevenire le frodi nei pagamenti.
Evoluzione della giurisprudenza
La sentenza si inserisce in un crescente numero di decisioni in cui i tribunali vanno a precisare ulteriormente i criteri della colpa grave ai sensi del § 675v BGB. Tuttavia, resta fondamentale la valutazione caso per caso, poiché ogni scenario di phishing presenta proprie caratteristiche rilevanti ai fini dell’analisi giuridica.
Obblighi probatori e onere della prova
L’Oberlandesgericht ha sottolineato che, in caso di controversia, la banca è tenuta a dimostrare di aver fornito informazioni circostanziate sulla sicurezza e di aver adottato le misure di prevenzione. In cambio, il cliente deve spiegare in giudizio in che misura ha effettivamente seguito le raccomandazioni della banca.
Conclusione
In sintesi, con questa decisione, l’OLG Francoforte sul Meno ha fornito nuovi impulsi per la ripartizione della responsabilità in caso di attacchi di phishing. I clienti delle banche sono tenuti a proteggere con attenzione i propri dati di autenticazione e a seguire gli avvertimenti forniti dagli istituti di credito. Solo in questo modo può essere considerata una responsabilità della banca in caso di danni. La decisione rafforza la posizione dei prestatori di servizi di pagamento, purché possa essere provato un comportamento gravemente negligente da parte del cliente.
I clienti bancari, le imprese e i prestatori di servizi di pagamento devono tuttora affrontare complessi problemi giuridici legati alle transazioni finanziarie digitali. Proprio nel punto di tensione tra requisiti tecnici di sicurezza e obblighi di prevenzione del danno, molte questioni di dettaglio possono essere risolte solo caso per caso. In caso di questioni finanziarie e bancarie su rischi di responsabilità e servizi di pagamento, gli avvocati presso MTR Legal sono a disposizione come interlocutori.
