Con la decisione in oggetto, il Collegio ABF di Roma si è espresso su una particolare tipologia di truffa informatica denominata “spoofing” e sulla responsabilità della banca.
Nel caso di specie, il ricorrente segnalava di aver ricevuto un SMS apparentemente proveniente dalla banca, che si inseriva in una preesistente conversazione contenente messaggi legittimi (spoofing).
Affermava di avere seguito il link, ingannato dalla presenza del prefisso “https://” e della denominazione della banca sul link.
Di lì a poco riceveva una telefonata da un numero di cellulare, da parte di un soggetto che si qualificava come funzionario della banca e gli chiedeva di “controllare l’accesso al portale dato che si stava aggiornando la nuova piattaforma di internet banking”.
Il ricorrente effettuava le operazioni richieste e chiudeva la telefonata, senza nutrire sospetti.
Alcuni giorni dopo, l’8 settembre 2021, veniva contattato telefonicamente dalla banca che lo informava dell’esecuzione di una operazione di bonifico di € 7.950,00, da lui non autorizzata.
Il ricorrente afferma di avere provveduto a bloccare il conto in data 08 Settembre 2021, subito dopo essere stato informato dell’operazione disconosciuta.
L’operazione contestata consisteva in un bonifico online di € 7.950,00 disposto in data 08.09.2021 alle ore 17:12.
L’intermediario produceva i log relativi all’operazione, precisando quanto segue:
- alle ore 14:54 del 02.09.2021 veniva eseguito l’enrollment di un nuovo dispositivo, autorizzato con inserimento delle credenziali statiche di accesso al conto e di due codici OTS tramessi via SMS sul numero di cellulare del ricorrente;
- alle ore 17:03 dell’8.09.2021 veniva effettuato l’accesso all’home banking dal nuovo dispositivo, mediante inserimento delle credenziali statiche di accesso al conto e dell’OTP generato da app a seguito di tap su notifica push;
- alle 17:12 veniva disposto il bonifico disconosciuto, autorizzato mediante OTP generato da app a seguito di tap su notifica push.
Secondo la più recente posizione condivisa da tutti i Collegi territoriali, nelle fattispecie di spoofing non è generalmente ravvisabile la colpa grave del ricorrente, “a meno che non si rinvengano […] indici di inattendibilità o anomalia del messaggio; in tale caso, potrà essere ravvisato un concorso di colpa tra le parti in relazione, da un lato, alla negligenza grave dell’utente che agevola il compimento della truffa, similmente a quanto avviene negli episodi di phishing e, dall’altro lato, alle criticità organizzative del servizio di pagamento offerto dall’intermediario”.
Nel caso in esame, la parte ricorrente produceva copia del messaggio truffaldino, dalla quale si poteva evincere che:
- il linguaggio sembra caratterizzato da un tono formale e non contiene errori grammaticali;
- il link contenuto si riferisce all’intermediario e si inserisce una schermata che reca il riferimento all’acronimo del gruppo bancario di cui è parte l’intermediario;
- il messaggio risulta essersi inserito nello storico delle conversazioni genuine precedentemente intercorse con l’intermediario.
Pertanto, alla luce delle risultanze istruttorie, il Collegio ha ritenuto l’insussistenza di profili di colpa grave del cliente.
Infatti, evidenzia l’ABF, il truffatore ha adottato un sistema tecnicamente sofisticato, tale da concretare un’ipotesi di malfunzionamento del servizio di pagamento o altro inconveniente connesso al servizio di disposizione di ordine di pagamento, pur inteso in senso ampio, destinato a ricadere nella sfera del rischio di impresa dell’intermediario.
Cos’è lo spoofing?
Lo spoofing è una modalità di truffa informatica realizzata per far credere alla vittima che la fonte di determinate informazioni sia attendibile, quando invece non lo è. Gli hacker, ad esempio, possono utilizzare questa tecnica per inviare mail ed sms che paiono provenire dal proprio istituto di credito.