Nessun diritto al risarcimento contro le banche in caso di danni da phishing per grave negligenza – Chiarimenti decisivi da parte del Tribunale di Monaco
Il Tribunale di Monaco, con sentenza di marzo 2024 (numero di protocollo: 222 C 15098/24), ha ulteriormente precisato principi fondamentali per la ripartizione della responsabilità nell’ambito degli attacchi di phishing nel diritto dei servizi di pagamento. Al centro della decisione vi era la questione delle condizioni in cui i clienti delle banche possono avanzare pretese risarcitorie nei confronti della propria banca quando si verificano, a seguito di phishing, operazioni di pagamento non autorizzate dal loro conto.
Contesto della controversia legale
Nel caso di specie, un cliente della sua banca ha ricevuto un’e-mail apparentemente autentica, che sembrava provenire dalla sua banca. Nel messaggio gli veniva richiesto di fornire i propri dati di accesso personali e un TAN, cosa che il cliente ha fatto nella convinzione di effettuare un vero controllo di sicurezza. Successivamente sono stati effettuati diversi addebiti dal suo conto, senza che lui li avesse autorizzati. Il cliente interessato ha quindi chiesto alla propria banca di rimborsare gli importi non autorizzati, motivando la richiesta con la sua presunta esigenza di protezione come cliente bancario.
Valutazione giuridica: criterio della grave negligenza
Il tribunale ha sottolineato che, secondo le disposizioni della legge quadro sui contratti di servizi di pagamento (§§ 675c ss. BGB), la banca è generalmente tenuta a revocare le operazioni di pagamento non autorizzate. Tuttavia, vi è un’eccezione qualora il cliente della banca violi in modo significativo gli obblighi di diligenza a suo carico, in particolare mediante quella che viene definita grave negligenza.
Che cos’è la grave negligenza nell’online banking?
L’obbligo dei clienti di proteggere i dati di accesso e le caratteristiche di sicurezza personalizzate – come PIN o TAN – da accessi non autorizzati e di non fornirli mai a terzi rappresenta un elemento essenziale del rapporto contrattuale tra cliente e banca. Secondo la giurisprudenza, la grave negligenza sussiste di regola quando un cliente, nonostante chiare avvertenze da parte della sua banca, comunica informazioni sensibili a terzi sconosciuti, in particolare quando ciò avviene in relazione a richieste insolite e anomale per la divulgazione di tali dati.
Il Tribunale di Monaco ha rilevato che il comportamento del cliente attore doveva qualificarsi come gravemente negligente, poiché la struttura dell’e-mail avrebbe potuto indurre in dubbio un utente mediamente attento e le banche comunicano pubblicamente e ripetutamente che nessun dato riservato viene richiesto tramite e-mail.
Conseguenze per la ripartizione del rischio nei servizi di pagamento
Escluso il ricorso contro la banca
Nel caso concreto il tribunale ha escluso la responsabilità della banca, poiché il comportamento gravemente negligente del cliente comporta che, anche in presenza di operazioni oggettivamente non autorizzate, il cliente non abbia diritto al rimborso nei confronti della banca. La corte ha raggiunto questa conclusione facendo esplicito riferimento al § 675v comma 3 BGB, che esclude la responsabilità in caso di violazione gravemente negligente degli obblighi da parte del pagatore.
Rilevanza per ulteriori procedimenti
Oltre al rilievo per il singolo rapporto contrattuale, la decisione stabilisce un importante criterio giuridico per casi simili e aumenta la sensibilità rispetto al tema della sicurezza dei dati nei pagamenti digitali. La tendenza della giurisprudenza a limitare la tutela dei clienti bancari laddove vengano trascurate misure di cautela fondamentali viene così confermata.
Riserva e giurisprudenza in corso
Si precisa che il caso in questione è oggetto di una sentenza di primo grado. Avverso tale decisione sono in linea di principio ammissibili ulteriori rimedi legali; pertanto, il procedimento non può ancora essere considerato definitivo. Al momento della redazione della presente informazione non è stata pubblicata alcuna sentenza definitiva e passata in giudicato. La presentazione giornalistica si basa esclusivamente sulla sentenza pubblicata e sulle motivazioni accessibili al pubblico (fonte: urteile.news).
Rilevanza per clienti bancari e istituti
La decisione mette in evidenza l’importanza di un’attenta gestione dei dati bancari sensibili nei pagamenti digitali. Sottolinea inoltre la responsabilità dei clienti nel prevenire casi di danni da phishing e altre forme di frode nell’online banking. Le banche, a loro volta, sono obbligate a mantenere standard di sicurezza e informazione chiari e comprensibili e a informare regolarmente i propri clienti sui rischi e sulle necessarie misure di precauzione.
Considerata la complessità e la portata di queste questioni fondamentali, si consiglia in caso di dubbio o incertezze di consultare un avvocato, al fine di valutare nel singolo caso i propri margini di azione e i propri diritti. Per ulteriori domande o valutazioni giuridiche riguardanti servizi di pagamento, sicurezza nell’online banking e potenziali questioni di responsabilità, gli avvocati di MTR Legal sono volentieri a vostra disposizione come interlocutori competenti.
Fonti: Amtsgericht München, sentenza del 27.03.2024, Az.: 222 C 15098/24; www.urteile.news.
