E’ un richiamo a fare maggiore attenzione e ad un maggior senso di responsabilità quello che arriva dalla decisione n. 90 del 3 gennaio 2019 dell’Arbitro bancario e finanzairio (ABF).
Il ricorrente, intestatario di una carta prepagata, aveva rappresentato di aver ricevuto una email apparentemente proveniente dall’intermediario bancario, che lo invitava ad aggiornare i dati relativi alla propria carta, “pena la sospensione del conto”. Il cliente aveva poi dedotto di aver confidato nell’autenticità di tale richiesta, in quanto, nei giorni precedenti, aveva ricevuto dall’intermediario una email di analogo tenore. Aveva quindi rilevato di aver effettuato l’accesso al link indicato e di aver ricevuto, dopo circa dieci minuti, un sms che lo invitava ad accedere ad un ulteriore link. Dopo aver eseguito quanto richiesto, si era accorto di un ammanco di € 350,00 dal proprio conto e per questo ha chiesto che l’ABF gli riconoscesse il diritto al rimborso da parte dell’intermediario.
L’ABF ha respinto il ricorso appellandosi al concetto di “colpevole credulità” già utilizzato in materia di phishing ed in forza del quale il cliente è ritenuto colpevole «in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet» (cfr. Collegio di Coordinamento, decisione n. 3498 del 2012).
In linea col suddetto orientamento ed esaminata la documentazione in atti, il Collegio ha rilevato che il ricorrente avesse risposto, con “colpevole credulità”, alla email civetta apparentemente proveniente dall’intermediario. Pertanto, conformemente all’orientamento del Collegio di Coordinamento, il Collegio ha ritenuto di poter ragionevolmente ravvisare una colpa grave del ricorrente in relazione alla “comunicazione delle proprie credenziali o comunque di altri dati sensibili inerenti l’uso dello strumento di pagamento in esito ad un fenomeno di phishing, noto ormai da diversi anni e che, nondimeno, l’ordinaria diligenza consente agevolmente di schivare” (cfr. Collegio di Bari, decisione n. 14195/2017).
La materia del phishing è disciplinata dalla direttiva sui servizi di pagamento e dal d.lgs. attuativo n. 11 del 2010, che, in particolare, prevedono apposita regolamentazione in merito alla responsabilità per i danni prodotti da operazioni fraudolente non autorizzate dall’utilizzatore del servizio di pagamento, stabilendo che questa incomba sul prestatore dei servizi di pagamento, a meno che l’utilizzatore non abbia agito in modo fraudolento o non abbia adempiuto, con dolo o colpa grave, ad uno o più degli obblighi di cui all’art. 7 del d.lgs. n. 11 del 2010, tra cui rientra appunto l’utilizzo dello strumento di pagamento in conformità con quanto stabilito alla legge e dal contratto. Quindi, più in generale, mentre l’intermediario che offre servizi di pagamento ha il dovere di adempiere all’obbligo di custodia del patrimonio dei propri clienti con la diligenza professionale richiesta dall’art. 1176, co. 2, cod. civ., predisponendo misure di protezione idonee ad evitare l’accesso fraudolento di terzi ai depositi o a neutralizzarne gli effetti, i clienti sono gravati dall’obbligo di custodire diligentemente i dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, quali lettori, codici di accesso e password, nonché di osservare le disposizioni contrattuali pattuite con l’intermediario.