GUIDA NORMATIVA

Furto del bancomat e prelievi non autorizzati: responsabilità e normativa

Il furto del bancomat e i prelievi non autorizzati sono temi che riguardano la duplice responsabilità della banca in termini di mancato approntamento di sistemi di sicurezza e mancato rispetto dei principi di integrità e riservatezza dei dati, alla luce del GDPR. Ecco in dettaglio le vulnerabilità dei sistemi di sicurezza

26 Feb 2020
M

Si legge spesso del furto di carte bancomat o di credito successivamente utilizzate dai malviventi per effettuare diversi prelievi non autorizzati nell’arco di pochi minuti dopo il maltolto.

Il tema riguarda la responsabilità duplice della banca in termini di:

  1. mancato approntamento di adeguati sistemi di sicurezza per fronteggiare la sottrazione del PIN (violazione dell’obbligo di diligenza “tecnica” ai sensi dell’art 1176 II comma c.c.);
  2. mancato approntamento di adeguate misure tecniche ed organizzative per evitare la divulgazione del codice e, dunque, il suo illegittimo utilizzo (violazione dell’art 5 lettera f) REG. UE 2016/679 – GDPR – relativamente ai principi di integrità e riservatezza dei dati e correlazione con l’art 32 GDPR).

Di seguito, l’analisi dei due temi.

Furto del bancomat e prelievi non autorizzati: sistemi di sicurezza

Il primo tema da affrontare qualora si verifichino furto del bancomat e prelievi non autorizzati è il mancato approntamento di adeguati sistemi di sicurezza per fronteggiare la sottrazione del PIN (violazione dell’obbligo di diligenza “tecnica” ai sensi dell’art 1176 II comma c.c.).

Una volta denunciato alle competenti autorità il furto ed operato il blocco della carta, i danneggiati possono depositare richiesta formale di rimborso al proprio istituto di credito.

Purtroppo, sempre più spesso, le banche negano la richiesta eccependo la mancata adozione, da parte dell’utente, di cautele per evitare il furto e adducendo, per esempio, che il codice PIN è stato conservato unitamente alle carte.

In realtà, considerate peraltro le più recenti pronunce anche dell’ABF (Arbitro Bancario Finanziario), la prova dell’eventuale negligenza del derubato ricade sull’istituto: in mancanza, si deve concludere per l’incapacità dello stesso di approntare idonee misure tecniche e organizzative (e, dunque, la vulnerabilità dei sistemi di sicurezza) per evitare la perdita anche finanziaria della persona fisica.

In particolare: il comportamento eventualmente negligente del cliente è oggetto di prova da parte della banca, cosa, questa, che nella quasi totalità dei casi non viene offerta, rilevando al contrario un tentativo degli istituti di far ricadere le condotte dei proprietari della carta bancomat o di credito oggetto di furto nell’alveo della colpa grave al solo scopo di sottrarsi all’obbligo di restituzione (ABF del 20/03/2006; Trib. Roma sent. del 17/04/2008; ABF – Collegio di Roma, Decisione n. 506/2010).

Trattasi, infatti, di responsi per così dire “in serie”: sulla base di un calcolo meramente probabilistico, gli istituti rispondono con un mero diniego adducendo – come accennato – scusanti generiche e contando sull’inerzia dell’utente.

Riporto un tipico esempio di lettera in risposta da un noto istituto:

“Le ricordiamo quanto previsto dalle norme che regolano la custodia della carta e del PIN [omissis] vale a dire che il Titolare deve custodire con ogni cura la carta e il PIN; quest’ultimo, in particolare, deve restare segreto e non deve essere riportato sulla carta né conservato insieme ad essa. Fermo restando che, il cliente è responsabile di ogni conseguenza dannosa che possa derivare dalla condotta negligente, dall’abuso o dall’uso illecito della carta e del PIN”.

Un’altra fantasiosa scusante è ricostruita sulla base del lasso di tempo tra il furto e i prelevamenti che, per ovvi motivi, è volutamente contenuto al fine di riuscire a recuperare quanta più liquidità possibile prima del blocco delle carte. Si pensi, infatti, che spesso questi eventi si svolgono nei centri commerciali ove l’utente si reca spesso a fare la spesa e dove poi si trova comodo ad effettuare il prelievo presso lo sportello bancomat ivi situato.

Tuttavia, sempre più spesso tale ovvietà viene ribaltata dagli istituti e riletta a favore della sussistenza – a loro dire – della negligenza dell’utente.

Si legga ancora:

“[omissis] rileviamo che il breve tempo intercorso tra il furto del portafoglio contenente la carta bancomat e l’utilizzazione della carta rende non plausibile l’avvenuta estrazione del codice PIN da parte dell’autore del furto in un lasso di tempo così esiguo, e più ragionevole invece la conclusione che il codice PIN del bancomat fosse conservato unitamente alla carta stessa, all’interno del portafoglio sottratto, e fosse quindi di agevole reperibilità”.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Tale eccezione non ha fondamento non solo perché non provata (“il breve tempo intercorso tra il furto del portafoglio contenente la carta bancomat e l’utilizzazione della carta” si spiega con la notevole vicinanza dello sportello bancomat al luogo del furto, visto che è situato in prossimità dell’ingresso del centro commerciale di cui all’esempio riportato sopra) ma, anche qualora lo fosse, non è sufficiente per giustificare il diniego di rimborso da parte dell’istituto di credito.

Infatti, secondo un consolidato orientamento giurisprudenziale che ha preso le mosse da un’ormai nota pronuncia del Tribunale di Roma e dell’Arbitro Bancario Finanziario [del 20/03/2006; Trib. Roma sent. del 17/04/2008; ABF, Collegio di Roma, Decisione n. 506/2010] – conservare assieme bancomat il pin non comporterebbe di per sé comportamento negligente poiché i giudici hanno in effetti rilevato che è tecnicamente possibile, mediante apposito programma informatico, estrarre le credenziali dalla carta di pagamento, dopo esserne venuti illegittimamente in possesso.

È noto, infatti, anche nelle cronache locali, che la tecnica di decodifica dei malviventi è purtroppo molto avanzata: ci si riferisce, ad esempio, al sistema di clonazione della carta bancomat tramite il dispositivo c.d. “skimmer” installato nelle fessure nelle quali si inseriscono le carte e in grado di reperire il codice.

Di conseguenza, il fatto di conservare il PIN del bancomat insieme alla carta (per esempio, entrambi nel portafogli), in caso furto della borsa, non esonera la banca dal risarcimento del danno subito dal cliente poiché è dimostrato che il solo possesso del bancomat consente il recupero del codice PIN.

Il pensiero ormai costante della giurisprudenza è, dunque, a favore del titolare della carta bancomat o della carta di credito oggetto di furto e ciò sulla base dell’obbligo di diligenza imposta al soggetto qualificato – quale appunto l’istituto di credito – e descritta nell’art. 1176 II comma c.c..

Il Tribunale di Padova sez. II, con sentenza del 22.03.17 ha chiarito che, in assenza di un quadro probatorio che porti a confermare la grave negligenza del derubato, si deve concludere che il comportamento del soggetto sia stato prudente e che, diversamente, la banca non sia stata in grado di apprestare gli adeguati sistemi di sicurezza per fronteggiare la sottrazione del PIN.

La Suprema Corte, come si diceva, si è pronunciata più volte sul caso, rilevando che la diligenza posta a carico dell’istituto bancario ha natura tecnica e deve essere valutata ai sensi dell’art 1176 II comma c.c., tenendo conto “dei rischi tipici della sfera professionale di riferimento, assumendo come parametro la figura dell’accorto banchiere: spetta pertanto all’intermediario bancario provare di aver adottato tutte le misure idonee a garantire la sicurezza del servizio da eventuali manomissioni”. (Cass. Civ. Sez. I, 03.02.2017 n. 2950; Cass. Civ. Sez. I, 19.01.2016 n. 806).

E ancora, si legge che “nel caso di uso illegittimo di una tessera bancomat, la società di servizi che eccepisca la colpa concorrente del titolare per difettosa custodia del codice personale, ha l’onere di provare concretamente tale negligenza, la quale non può ritenersi “in re ipsa” per il solo fatto che una tessera bancomat, dopo il furto, sia stata utilizzata per prelevare facendo uso del pin”.

È del resto possibile ricavare illecitamente il pin necessario per effettuare prelievi dal contro corrente altrui anche mediante appositi strumenti informatici. (Trib. Roma Sez. XIII, Sent. 20.03.2006).

L’indirizzo costante dell’ABF è del medesimo avviso, escludendo la rilevanza delle prove presuntive tutte le volte in cui l’istituto di credito neghi la richiesta di rimborso adducendo che il furto e il successivo prelievo del conto siano sempre la diretta conseguenza dell’incuria del titolare (ABF Collegio Milano – decisione 3046/2016; ABF – Collegio Nord – decisione n. 888/2011; ABF – Collegio Centro – decisione n. 1357/2011; ABF – Collegio Nord – decisione n. 2556/2012; ABF – Collegio Nord – decisione n. 4085/13; Tribunale di Firenze sentenza 91202/2012).

Secondo quanto esposto, dunque, il derubato ha diritto di ottenere il rimborso del maltolto, al netto dell’eventuale franchigia presentando, come detto, reclamo scritto al proprio istituto di credito, spettando, invece, a quest’ultimo la prova dell’eventuale negligenza di custodia del titolare.

In caso di diniego, l’utente ha diritto di rivolgersi all’ABF (Arbitro Bancario Finanziario) o al giudice competente.

Le due scelte non sono cumulabili: qualora la domanda fosse già all’esame dell’Autorità Giudiziaria (oppure in caso di adesione alla Class Action ai sensi dell’art. 140-bis del Codice del Consumo), l’ABF dovrà esimersi dal procedere.

In ogni caso, qualora si ritenga insoddisfacente la decisione dell’ABF, l’interessato potrà rivolgersi al Giudice (del pari, l’intermediario).

Furto del bancomat e prelievi non autorizzati alla luce del GDPR

Il secondo tema da affrontare qualora si verifichino furto del bancomat e prelievi non autorizzati è, come dicevamo all’inizio, il mancato approntamento di adeguate misure tecniche ed organizzative per evitare la divulgazione del codice e, dunque, il suo illegittimo utilizzo (violazione dell’art 5 lettera f) REG. UE 2016/679 – GDPR – relativamente al principio di riservatezza dei dati e correlazione con l’art 32 GDPR).

A sensi dell’art 5 lettera f) GDPR, i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei medesimi, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità o riservatezza”).

In correlazione con detta disposizione, l’24 GDPR stabilisce che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.

L’art 32, infine, delinea, tra le altre, il livello di adeguatezza delle misure allorquando siano in grado di contrastare i rischi di: distruzione, perdita, modifica, divulgazione non autorizzata ed accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Nel caso concreto, gli intermediari – in qualità di titolari dei dati personali dei propri clienti – sono chiamati anzitutto all’approntamento delle “misure tecniche e organizzative adeguate” per garantire la sicurezza dei medesimi e nel rispetto dei principi sanciti dall’art 5 lettera f) GDPR in merito all’integrità e riservatezza dei dati e dunque per garantire i medesimi da “trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

Le misure devono dunque essere in grado di resistere a eventi imprevisti o atti illeciti o dolosi che possano compromettere, tra gli altri, anche l’integrità e la riservatezza dei codici pin.

Il dato deve essere protetto al fine di garantire la protezione della persona fisica che è Il Destinatario del regolamento europeo: la sicurezza del trattamento è funzionale alla sicurezza della persona fisica a cui quello specifico trattamento si riferisce.

Dette violazioni comportano il diritto in capo al derubato di ottenere il risarcimento del danno ai sensi e per gli effetti degli artt. 82 GDPR e 2050 c.c, “sfruttando” il vantaggio dell’inversione dell’onere della prova.

Il titolare del trattamento (o il responsabile) dovrà dimostrare che l’evento dannoso non gli è imputabile, provando di avere adottato tutte le misure idonee ad evitare il danno in seguito ad un’analisi dei rischi sui diritti e le libertà degli individui a cui il trattamento si riferisce.

Nel caso di furto della carta bancomat o di credito e di prelievi non autorizzati, grava sull’istituto la dimostrazione di aver approntato detto adeguamento fin dalla progettazione (c.d. privacy by design).

Consapevoli, dunque, di tali accadimenti, gli intermediari sono obbligati alla progettazione di un sistema molto complesso di adeguamento che debba tener conto, ai sensi dell’art 32 GDPR: “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità di trattamento, come anche del rischio di varia probabilità e gravità per i diritti e libertà delle persone fisiche”.

Nel caso di specie, dunque, l’autorità interpellata dovrà valutare anche l’assiduità della verificazione dell’illecito e le aree nelle quali maggiormente si verifica.

Conclusioni

Il caso che si citava rileva la frequenza dei furti delle carte presso gli sportelli bancomat attraverso tecniche di decodifica ormai note persino alle cronache locali (si citava il sistema di clonazione della carta bancomat tramite il dispositivo c.d. “skimmer” installato nelle fessure nelle quali si inseriscono le carte e in grado di reperire il codice).

Altro fattore ugualmente noto è l’ubicazione e le modalità correlate: spesso questi furti avvengono seguendo le abitudini del soggetto che spesso si reca a prelevare presso lo sportello bancomat del centro commerciale ove si reca per la spesa di casa.

Un’ultima considerazione: quando si parla di misure di sicurezza informatiche che devono essere adottate dal titolare, non ci si limita ad un riferimento meramente tecnico ma si parla inevitabilmente anche di fattore umano.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

L’approntamento dell’ultimo ritrovato della tecnica informatica è infatti inutile se non supportato da un’idonea formazione dei suoi utilizzatori, dei soggetti autorizzati al trattamento, con ciò focalizzando nuovamente l’attenzione sul valore dell’uomo e sulla sua consapevolezza in ambito di sicurezza dei dati che non riguarda unicamente l’interessato ma altresì il titolare ed i suoi soggetti coinvolti nella catena del trattamento.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3