Frodi bancarie, giù la maschera

La vittima di un raggiro bancario ha diritto di sapere il nome corrispondente all’iban, fornito dal truffatore, al quale ha mandato un bonifico.

È quanto stabilito dal tribunale di Ferrara con l’ordinanza del 13 marzo 2025 resa nella causa n. 115/2025. Lo stesso diritto a conoscere i dati spetta nel caso di bonifico effettuato al destinatario sbagliato per errore nella digitazione dell’iban (e cioè al di fuori di illeciti penali).

Il caso. Una persona era stata ingannata da un truffatore, al quale aveva mandato soldi a mezzo di bonifico bancario. La malcapitata si era fidata del malvivente e aveva disposto il bonifico utilizzando il numero iban fornito dall’ignoto autore del raggiro.

Una volta accortasi di essere caduta in una trappola, la vittima ha presentato una denuncia-querela e, in parallelo, ha chiesto alla banca il nome del titolare del conto corrente corrispondente all’iban. Lo scopo perseguito dalla vittima era di coltivare le proprie ragioni in sede giudiziaria e cioè esercitare il proprio diritto di difesa.

La banca non ha accolto la richiesta della persona truffata trincerandosi dietro obblighi di riservatezza. A quel punto, alla vittima non è rimasta altra strada che fare causa alla banca per avere le informazioni.

Si applica una procedura di urgenza. Con una procedura di urgenza, la vittima ha chiesto al tribunale di ordinare alla banca di consegnare i dati anagrafici (completi di codice fiscale e partita Iva, sede legale o residenza) del titolare del conto bancario identificato con un determinato codice iban. Avvalendosi di una possibilità prevista dal codice di procedura civile, la vittima del raggiro ha chiesto al giudice di emettere un immediato ordine di consegna dei dati richiesti, in via anticipata rispetto all’udienza di discussione e cioè prima di sentire la versione della banca. Il giudice ha accolto questa richiesta e ha ordinato alla banca di consegnare le informazioni richieste.

Il tribunale ha considerato sussistere forti indizi dell’avvenuta truffa sulla base delle conversazioni whatsapp intercorse tra la vittima e l’autore del raggiro, dei bonifici effettuati e dalla denuncia-querela presentata dalla vittima.

Ricevuto questo provvedimento anticipato del giudice, la banca è immediatamente ritornata sui propri passi, ha dato tutte le notizie richieste e non si è nemmeno costituita in giudizio. La causa, seguendo le regole processuali, è comunque andata avanti e, a conclusione del giudizio, il tribunale ha adottato l’ordinanza in esame.

Nell’ordinanza si affronta la questione del rapporto tra privacy del correntista e diritto di difesa dei terzi.

Il bilanciamento degli interessi. Sul punto, il giudice scrive che, nel caso specifico, il segreto bancario non è idoneo a ostacolare la consegna dei dati identificativi del correntista titolare del conto abbinato a un iban. Questa conclusione è motivata dal fatto che la privacy deve fare un passo indietro rispetto al diritto di difesa.

In effetti, occorre fare un bilanciamento tra due diritti contrapposti e tutte e due costituzionalmente rilevanti: da un lato abbiamo il diritto di difesa e il diritto agire in giudizio, previsto dall’articolo 24 della costituzione; dall’altro lato, abbiamo il diritto alla riservatezza del correntista, rientrante tra i diritti della persona previsti dall’articolo 2 della costituzione. E, in effetti, la banca, titolare del trattamento dei dati personali, è tenuta a rispettare il diritto alla riservatezza dei correntisti e non deve indebitamente consegnare a terzi i dati personali dei propri clienti.

Peraltro, precisa l’ordinanza, tra diritto di difesa e diritto alla riservatezza deve prevalere il primo. Il diritto alla riservatezza non può essere invocato se la richiesta di comunicazione dei dati arriva da chi può vantare un diritto superiore (quale quello a tutelare in giudizio le proprie ragioni).

Il tribunale, a supporto della sua tesi, ha sottolineato che la vittima di un raggiro bancario dall’iban può ricostruire la banca e gli estremi del conto corrente utilizzato dal truffatore, ma non può risalire al nominativo dell’intestatario del conto (che potrebbe essere il truffatore o un complice). Queste notizie vanno chieste alla banca risultante dall’iban e questa è una strada obbligata e necessaria per poter iniziare una causa per farsi restituire i soldi e risarcire i danni. Altrimenti detto, la richiesta alla banca del nominativo corrispondente all’iban è funzionale all’esercizio dell’azione giudiziaria nei confronti del responsabile.

A tutto ciò, l’ordinanza aggiunge che la comunicazione dei dati da parte dell’istituto bancario comporta un minimo sacrificio dell’interessato, posto che il trattamento dei dati personali così effettuato è limitato nella sua estensione ai soli dati anagrafici necessari all’esercizio dell’eventuale azione giudiziaria.

D’altra parte, anche la vittima del raggiro ha limiti da rispettare: i dati ricevuti dalla banca non possono essere utilizzati per finalità diverse dall’esercizio dell’azione giudiziaria.

Prevale il legittimo interesse alla difesa. Se è chiaro il pensiero del giudice sui punti sostanziali della questione, va però aggiunto che l’ordinanza indica a proprio sostegno articoli del regolamento Ue sulla privacy n. 2016/679 (Gdpr), che in realtà non riguardano la materia trattata.

L’ordinanza richiama, infatti, l’articolo 47 del Gdpr, il quale però riguarda le “norme vincolanti di impresa”, utilizzabili per il trasferimento dei dati personali fuori dalla Ue.

Il tribunale avrebbe, invece, dovuto fare riferimento ad altra disposizione del Gdpr e cioè l’articolo 6, paragrafo 1, lett. F), che disciplina il cosiddetto “legittimo interesse”.

In base a quest’ultima disposizione, un titolare del trattamento può trattare i dati, senza il consenso dell’interessato, quando sia necessario per perseguire un legittimo interesse proprio o di terzi, a condizione che non prevalgano gli interessi e i diritti fondamentali della persona cui si riferiscono i dati personali.

Altrimenti detto, una banca (titolare del trattamento) può comunicare i dati del titolare del conto, abbinato a un determinato iban (interessato), alla vittima di un raggiro (terzo) e ciò in considerazione del legittimo interesse di quest’ultima, interesse superiore rispetto a quello alla riservatezza del correntista.

Il precedente della Cassazione. Anche nel regime del Gdpr, pertanto, valgono le regole previste dall’abrogato articolo 24 del codice della privacy, utilizzato dalla corte di cassazione nella sentenza n. 39531 del 13 dicembre 2021.

La Corte di cassazione si è pronunciata a riguardo del caso sollevato dalla vedova di un dirigente iscritto a un fondo di previdenza integrativo, interessata a conoscere i nomi dei beneficiari del fondo designati dal coniuge defunto e ciò con lo scopo di fare causa per lesione della legittima. La vedova, infatti, era venuta a sapere che poco tempo prima del decesso il marito aveva cambiato il beneficiario e aveva sostituito la moglie con un’altra persona.

La Cassazione ha dato ragione alla vedova affermando che l’interesse alla riservatezza dei dati personali deve cedere a fronte della tutela di interessi prevalenti, tra i quali quello all’esercizio del diritto di difesa in giudizio. Ciò a condizione che l’interesse sia autentico e non surrettizio e cioè che il diritto di difesa non sia un pretesto.

La sentenza della Cassazione ha anche sottolineato che per avere i dati non occorre che sia già pendente un procedimento in cui sia parte il soggetto che richiede i dati, potendo la richiesta essere svolta anche in sede stragiudiziale.

Alle stesse conclusioni, in casi diversi dalle richieste degli eredi e cioè nei casi come quelli oggetto della pronuncia di Ferrara, si arriva applicando l’articolo 6, paragrafo 1, lettera f), del Gdpr.

L’orientamento dell’arbitro bancario. Proprio l’articolo 6 Gdpr è stato utilizzato dal collegio di coordinamento dell’arbitro bancario e finanziario (Abf), nella decisione n. 6886 del 3 maggio 2022, relativa a un bonifico effettuato per errore all’iban sbagliato. In quest’ultimo caso, a fronte del diniego della banca a rivelare l’identità del soggetto, che aveva ricevuto i soldi per sbaglio, la questione è stata portata al giudizio dell’Abf. L’arbitro, sulla base del citato articolo 6, ha concluso che il prestatore di servizi di pagamento di chi riceve il bonifico non può invocare la disciplina del trattamento dei dati personali al fine di giustificare il suo rifiuto di comunicare al pagatore i dati anagrafici o societari del proprio correntista

In ogni caso, anche se cita articoli estranei alla materia trattata, l’ordinanza del tribunale di Ferrara, arrivando alla conclusione corretta, ha dichiarato la fondatezza delle richieste della vittima del raggiro e ha anche condannato la banca a rifondergli le spese legali, avendola costretta ad adire le vie giudiziarie per avere le informazioni.

L'articolo Frodi bancarie, giù la maschera proviene da Iusletter.