1. La normativa di riferimento, tra incompletezze e prassi giudiziarie insoddisfacenti



Il fenomeno del phishing bancario [e di sue varianti come lo smishing, il vishing o il man in the browser (MITB)] è sempre più diffuso; la sua regolamentazione normativa è rinvenibile, in attuazione della direttiva 2007/64/CE, nel d. lgs. n. 27 gennaio 2010 n. 11, come modificato dal d. lgs. n. 218 del 15 dicembre 2017.

Emerge d’immediato, dall’analisi del testo normativo, una sua palese incompletezza che nella prassi giudiziaria, stando alle risultanze degli annali di giurisprudenza e alle opinioni a riguardo espresse dal formante dottrinale, altera il quadro di tutela a tutto vantaggio degli intermediari bancari.

Il riferimento è, chiaramente, al disposto dell’art. 11 il quale prevede, in ogni caso di operazione disconosciuta dal cliente l’obbligo in capo all’intermediario di rifondere il valore dell’operazione entro la fine della giornata lavorativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito salvo il caso di motivato sospetto di frode ai sensi del successivo comma 2.

È evidente la volontà di tutelare il correntista; se non che, la mancata previsione di una sanzione per l’inadempimento di tale obbligo da parte dell’intermediario di fatto rende la disposizione totalmente inapplicata a vantaggio di una forma criptica di autotutela dell’intermediario che inverte il disegno del legislatore obbligando il risparmiatore ad agire in giudizio.

Se la Corte di Cassazione, sul punto, nella pronuncia n. 10638 del 2016 ha affermato testualmente che "Il d. lgs. n. 11 del 2010 prevede che, qualora l'utente neghi di aver autorizzato un'operazione di pagamento già effettuata, l'onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. Nel contempo obbliga quest'ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia motivato sospetto di frode e salva naturalmente per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l'operazione di pagamento era stata autorizzata con consequenziale diritto di richiedere e ottenere, in tal caso, dall'utilizzatore, la restituzione dell'importo rimborsato", più esplicita è la dottrina occupatasi del tema la quale ha ribadito che la "portata fortemente innovativa della norma in commento sta proprio nel fatto che esclude la prassi vigente di autotutela del fornitore, il quale, giunto alla conclusione della responsabilità dell'utente, provvede ad addebitargli il conto per l'importo dovuto, ponendolo nella condizione – ove ritenga di aver ragione – di dover effettuare contestazioni e, in caso negativo, iniziative giudiziali, lungo le quali l'addebito permane. Al contrario la presente disciplina inverte il gioco: se l'utente contesta, il fornitore, anche se certo delle proprie ragioni, non può procedere all'addebito del conto e, se lo ha fatto, dovrà tornare sui propri passi […] finché non sia accertato, eventualmente in sede giudiziaria il suo diritto di rivalersi sull'utente[1]".