Con una recente pronuncia il Tribunale di Ascoli Piceno è intervenuto circa la possibilità per l’Istituto di credito che preveda la modalità di identificazione nell’ambito del digital banking c.d. “a due fattori”, di essere valutato quale indenne da responsabilità per eventuali frodi informatiche poste in essere a danno di un proprio cliente risultato incauto nelle operazioni digitali bancarie.

Orbene, la vicenda prende le mosse dal caso di un cliente di un istituto bancario con il quale lo stesso aveva instaurato un rapporto di conto corrente comprensivo anche della possibilità di effettuare pagamenti online e gestione del conto digitale sull’apposita piattaforma. Nella fattispecie il cliente veniva coinvolto in una frode informatica e, pertanto, adiva il Tribunale di Ascoli Piceno al fine di veder condannato l’istituto bancario al risarcimento dei danni dal medesimo subiti a motivo del grave inadempimento contrattuale della banca la quale, a detta dell’attore, non avrebbe predisposto sistemi di sicurezza idonei a garantire la clientela da eventualità simili a quella occorsa, poiché non all’avanguardia. 

Ebbene, si costituiva in giudizio la banca contestando ed impugnando tutto quanto dedotto dal proprio cliente nell’ambito dell’atto introduttivo ed evidenziando, segnatamente, la inaccortezza del cliente nell’effettuazione dell’operazione poi rivelatasi oggetto di frode informatica e, inoltre, deduceva di aver fornito al cliente il sistema di autentificazione c.d. “a due fattori”, ossia il sistema informatico vigente al tempo dei fatti occorsi (anno 2019), ritenendo – in tale maniera – di aver adempiuto a quanto previsto dall’art. 8, comma 1, lett. a), D.Lgs. n. 11/2010.

Come è evidente, pertanto, la causa attiene alla tematica dell’esecuzione di operazioni di pagamento, nello specifico bonifici a distanza, ossia tramite internet banking, attraverso un insieme di procedure concordate tra l’utente di servizi di pagamento e il relativo prestatore, utilizzate per disporre un ordine di pagamento ed una procedura di autenticazione che consente al prestatore di verificare l’identità del cliente e la validità dell’uso di uno specifico strumento di pagamento, compreso l’uso delle credenziali di sicurezza personalizzate dell’utente.

Attualmente, il sistema più evoluto, previsto anche a  livello comunitario, è quello che prevede l’autenticazione del cliente non solo tramite le cosiddette credenziali statiche (Userid e Pi.) consegnate al cliente al momento dell’apertura del rapporto e solo da lui conosciute, ma anche attraverso l’utilizzo di un codice dinamico, detto OTP (one time password), ovvero un codice cifrato monouso generato contestualmente all’accesso al servizio/esecuzione dell’operazione e con durata limitata nel tempo. Tali misure tutelano la riservatezza e l’integrità delle credenziali di sicurezza personalizzate e comprendono di norma sistemi di cifratura basati su dispositivi personali del pagatore, tra cui lettori di carte o telefoni cellulari. A tal fine è stato imposto l’obbligo ai prestatori di servizi di pagamento di applicare, sia in fase di accesso al conto online, sia in fase di pagamento elettronico, l’autenticazione forte del cliente che comprenda elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a uno specifico beneficiario, nel rispetto delle norme tecniche demandate all’Autorità Bancaria Europea.

Orbene, all’esito del presente giudizio è emerso come la banca abbia assolto al proprio onere probatorio, dal momento che ha posto a disposizione del cliente le password one time generate dai dispositivi O1P o “token”, quali congegni capaci di generare password monouso da aggiungersi alla password fissa nota solo all’utente, cosi formando il predetto sistema di autenticazione “a due fattori”, quale sistema vigente- si ribadisce -all’epoca degli occorsi di specie (2019). 

Ebbene, il Tribunale di Ascoli Piceno nell’ambito della richiamata sentenza, ha ritenuto che “…detta autenticazione a due fattori, ossia in due passaggi costituisce già un’importante misura di sicurezza che offre un ulteriore livello di protezione rispetto alla password, poiché, grazie all’aggiunta di questo secondo livello di sicurezza, per gli hacker sarà molto più difficile violare gli account. Ciò posto, nella specie, è lo stesso attore a riconoscere la paternità delle operazioni di pagamento online per cui è causa, apparendo superfluo ogni relativo accertamento sulla identità dell’ordinante i pagamenti in oggetto.”. 

Ne consegue che il Giudice di merito ha ritenuto non meritevole di tutela il diritto al risarcimento del danno azionato in giudizio da parte del cliente, risultando i sistemi di autenticazione a due fattori idonei a determinare un’esclusione di responsabilità dell’istituto di credito. 

Avv. Cecilia Di Guardo