Non è certo una novità che i correntisti rappresentino una categoria privilegiata, per quanto riguarda le “attenzioni” dei malviventi informatici. Le ragioni sono diverse.

Innanzitutto, queste tipologie di frodi avvengono online e si basano su meccanismi digitali. In secondo luogo, alcune falle nei sistemi di controllo e di sorveglianza permettono ai malintenzionati di sfruttare le debolezze insite nella mancata adozione di adeguate misure di sicurezza informatica nelle transazioni online.

Il caso: da un bonifico errato al vaso di Pandora

Tra le varie forme di frode che purtroppo affliggono ormai quotidianamente privati e aziende, è frequente il cosiddetto attacco Man-in-the-middle (o Man-in-the-mail).

In poche parole, in questo tipo di attacco il truffatore si “nasconde” in una comunicazione, osservando la sequenza di email tra due soggetti, molto spesso due aziende.

Dopo aver carpito informazioni importanti (quali ad esempio la notizia della conclusione di una compravendita e l’importo della stessa), il malvivente si inserisce attivamente nella conversazione, fingendo di essere il venditore e inviando una falsa fattura di cortesia all’acquirente, del tutto simile all’originale, con l’indicazione di un IBAN apparentemente lecito, persino con l’intestatario del conto corrente indicato in maniera corretta.

È solo dopo alcuni giorni dal pagamento a quelle coordinate che l’acquirente scopre che il reale venditore non ha mai ricevuto il bonifico.

Dopo le dovute indagini bancarie, l’amara verità: l’intestatario del conto riferibile all’IBAN indicato, al quale si è versato l’importo, non è il venditore ma un terzo soggetto, spesso del tutto ignaro dell’accaduto.

Quest’ultimo, infatti, a sua volta, è stato vittima di furto di identità e con le sue credenziali i malviventi hanno aperto il conto corrente ove sono confluiti i fondi, poi trasferiti in breve tempo altrove, molto spesso in paradisi fiscali.

Il pagatore truffato è quindi doppiamente beffato: da un lato, infatti, ha visto sparire le somme versate sul conto corrente falsamente intestato; dall’altro, resta ancora obbligato al pagamento nei confronti di chi ha con lui concluso validamente il contratto.

Cosa fare in questo caso e in casi simili? Ebbene, non tutto è perduto.

Il contesto normativo italiano ed europeo

La normativa italiana, in linea con le direttive europee in tema di due diligence sulla clientela, impone alle banche di adottare misure di verifica piuttosto stringenti.

In particolare, è il Decreto legislativo n 231/2007, poi modificato dal D.lgs. n. 90/2017, ad aver recepito la c.d. quarta Direttiva Antiriciclaggio (Direttiva UE n 2015/849), stabilendo obblighi precisi per le banche e le istituzioni finanziarie.

In particolare, per quanto ci riguarda, è importante sottolineare che si è prevista espressamente l’identificazione del cliente e la verifica della sua identità su basi documentali, dati o informazioni ottenuti da fonti affidabili e indipendenti.

Se da un lato, infatti, da ormai diverso tempo, ovvero sin dal 2014, l’unico indicatore per la validità di un trasferimento di fondi per gli intermediari è dato dalla correttezza dell’indirizzo IBAN (In altre parole, un’eventuale discrepanza tra quest’ultimo e l’intestazione del bonifico non fa insorgere una responsabilità da parte della banca), dall’altro gli istituti di credito sono strettamente tenuti a verificare, con attenzione e dietro l’applicazione di precisi standard di sicurezza, l’identità del soggetto intestatario di un conto corrente e non solo.

La diligenza del buon banchiere

A generale delimitazione degli oneri che incombono sugli istituti di credito si staglia infatti anche l’articolo 1176 del Codice civile, che definisce la cosiddetta “diligenza del buon banchiere”, dovuta dagli istituti di credito nei rapporti con la clientela e che a tutela di quest’ultima abbraccia diversi ambiti.

Innanzitutto, la responsabilità della banca in questi contesti è di natura contrattuale: ciò significa che gli istituti bancari sono tenuti a rispettare innanzitutto gli obblighi contrattuali verso i propri clienti, inclusa la corretta identificazione delle persone che presentano assegni o altri titoli per l’incasso, compresi quindi i versamenti effettuati o ricevuti elettronicamente [Cass. Civ., Sez. 1, N. 38110 del 29-12-2022][Cass. Civ., Sez. 1, N. 12861 del 11-05-2023][Cass. Civ., Sez. 1, N. 32408 del 11-12-2019][Cass. Civ., Sez. 1, N. 9525 del 04-04-2019][Cass. Civ., Sez. 1, N. 3649 del 12-02-2021].

Inoltre, le banche sono tenute a identificare i propri clienti con metodi adeguati allo stato dell’arte della tecnica, anche informatica, e della normativa vigente, inclusa quella sui dati personali e sul c.d. antiriciclaggio, con particolare attenzione alle aperture di conto che avvengono da remoto.

Proprio in caso di contestazioni relative a operazioni fraudolente, giova evidenziare che spetta alla banca il dimostrare di aver agito con la dovuta diligenza nell’identificazione del cliente, con ciò intendendosi un verio e proprio onere probatorio a suo carico [Cass. Civ., Sez. 6, N. 32075 del 05-11-2021][Cass. Civ., Sez. 1, N. 3649 del 12-02-2021].

Ancora più nello specifico, poi, è proprio nei casi di furto di identità che la responsabilità della banca emerge con tutta evidenza, soprattutto se sono emersi atteggiamenti di mancata attenzione a segnali evidenti di potenziale frode, come ad esempio l’accredito di un’ingente somma su di un conto corrente appena aperto o intestato a nuovo cliente e il successivo trasferimento, a breve termine, di altrettanto ingenti somme verso altro conto [Cass. Civ., Sez. 1, N. 12861 del 11-05-2023][Cass. Civ., Sez. 3, N. 29233 del 20-10-2023][Cass. Civ., Sez. 1, N. 32408 del 11-12-2019].

Il diritto alla manleva e al riaccredito

In conclusione, la responsabilità delle banche in caso di furto di identità e di negoziazione fraudolenta di assegni o altri strumenti finanziari dipende sostanzialmente dalla capacità dell’istituto di dimostrare di aver agito con la dovuta diligenza nell’identificazione del cliente e nella gestione delle operazioni.

Non si tratta, tuttavia, come intuibile di un compito agevole per l’istituto coinvolto.

Dall’altro lato, infatti, e al contrario, saranno il correntista truffato e il soggetto che si è visto vittima di furto di identità ad allegare ogni fonte di prova volta a dimostrare proprio quelle falle che hanno permesso il verificarsi della frode e, con esse, a veder dichiarato il loro diritto alla manleva da parte della banca in favore della vittima di furto di identità e, parallelamente, il diritto alla restituzione in favore pagatore.

Chiaro è che si tratta certamente di fattispecie complesse che necessitano di un’assistenza legale e tecnica specializzata ma, al di là dello sconcerto iniziale, vale sottolineare che spesso non tutto è perduto: sia la normativa che la giurisprudenza permettono, infatti, nella gran parte dei casi, il buon fine della vicenda.