• Non ci sono risultati.

COLLEGIO DI BARI. Membro designato dalla Banca d'italia. Membro di designazione rappresentativa degli intermediari.

N/A
N/A
Protected

Academic year: 2022

Condividi "COLLEGIO DI BARI. Membro designato dalla Banca d'italia. Membro di designazione rappresentativa degli intermediari."

Copied!
6
0
0

Testo completo

(1)

COLLEGIO DI BARI

composto dai signori:

(BA) DE CAROLIS Presidente

(BA) TUCCI Membro designato dalla Banca d'Italia

(BA) CAMILLERI Membro designato dalla Banca d'Italia

(BA) DI RIENZO Membro di designazione rappresentativa

degli intermediari

(BA) COSTANTINO Membro di designazione rappresentativa

dei clienti

Relatore ESTERNI - MASSIMIANA COSTANTINO

Seduta del 06/09/2018

FATTO

Dopo aver esperito infruttuosamente il reclamo in data 13/10/2017, parte ricorrente, in data 31/01/2018, ha proposto ricorso, rappresentando di aver effettuato, nella qualità di titolare di un c/c con servizio di home banking presso la banca resistente, in data 17.07.17, un bonifico on-line di €27.042,49 in favore di un fornitore per il pagamento di una fattura.

Di tale bonifico provvedeva a stampare il documento di presa in carico da parte della banca. Dopo circa 15 giorni, il fornitore contattava il legale rappresentante della società lamentando il mancato pagamento della predetta fattura e comunicando la conseguente impossibilità di procedere con la consegna della merce. Sicché, vista la necessità di ricevere la fornitura in tempi brevi, la società effettuava nuovamente il bonifico per il medesimo importo. Mediante un controllo sul precedente bonifico si avvedeva del fatto che, nonostante i dati da lui indicati (beneficiario e IBAN) fossero corretti, la cifra era stata accreditata su IBAN differente, intestato ad altro soggetto persona fisica. Si accorgeva, in tale circostanza, che anche altro bonifico effettuato, in data 8.8.2017, dalla società in favore di una propria dipendente per l’importo di €1.097,57 era stato accreditato su un conto avente IBAN e intestatario diversi dalla beneficiaria, correttamente indicata nella disposizione di bonifico. Pertanto, il rappresentante legale, in data 3.8.17, contattava gli operatori di filiale che, informati dell’accaduto, attribuivano i fatti ad una presunta truffa on- line. In data 12.8.17 veniva sporta formale denuncia ai CC. La banca, ricevuto il reclamo, sosteneva di non avere nessuna responsabilità nella vicenda de qua, in quanto il cliente era stato vittima di truffa realizzata mediante sottrazione dei codici di accesso all’home

(2)

banking. La società ricorrente ritiene che la banca sia responsabile per non aver correttamente eseguito gli ordini di pagamento per conto del cliente e per non aver impedito a terzi di introdursi illecitamente nel sistema di internet banking. I bonifici, infatti, erano stati ordinati con esatta indicazione dei dati dei beneficiari (nominativi e IBAN), salvo poi, dopo la presa in carico da parte della banca, essere accreditati su conti correnti differenti. La possibile sottrazione dei codici del correntista attraverso tecniche fraudolente, rientrando nel rischio d’impresa, doveva essere fronteggiata dalla banca mediante l’adozione di misure idonee a verificare la riconducibilità delle operazioni alla volontà del cliente (richiama, ex multis, Cass. N. 2950/2017). Precisa, infine, che, considerate le modalità della truffa, non avrebbe avuto alcuna utilità, nel caso di specie, l’attivazione del servizio di sms-alert, che comunque non è mai stato proposto al cliente prima della nota di riscontro al reclamo. In conclusione, chiede di ordinare alla banca il riaccredito dell’importo dei bonifici, per complessivi €28.140,06, oltre alle spese di assistenza professionale, quantificate equitativamente in € 1.000,00. L’intermediario si è costituito, facendo pervenire le proprie controdeduzioniin data 07/06/2018, nelle quali evidenzia anzitutto che la società ricorrente non ha fornito elementi utili alla ricostruzione dell’accaduto, né circostanze da cui desumere un’aggressione informatica a danno della società attraverso

“un malware particolarmente sofisticato e tale da escludere ogni loro colpa” (richiama, a sostegno, le decisioni nn. 3897/18 e 11173/18). Ritiene, pertanto, che non ci sia stata alcuna violazione informatica dei suoi sistemi. Deduce che, dall’analisi della prima operazione disconosciuta, si evince che il giorno 17.07.17, alle ore 16:11:10, veniva avviata la sessione di lavoro con inserimento delle credenziali di accesso corrette (codice titolare e codice pin), confermata con l’inserimento del codice OTP (che compare sulla chiavetta O-KEY in possesso del cliente). Alle ore 16:18:15 l’utenza del cliente inseriva una richiesta di bonifico europeo, sicché il sistema antifrode della banca, ritenendo sospetta la disposizione, inviava un sms sul cellulare del legale rappresentante della società con il seguente contenuto “Per completare il bonifico europeo BU1815 di euro 27.042,49 a favore di […] inserire Codice SMS…”. Il rappresentante legale, non prestando attenzione al contenuto di tale messaggio, inseriva il codice trasmessogli, autorizzando il bonifico in favore del beneficiario indicato nel messaggio, nei cui confronti la banca effettuava l’accredito. Precisa che sono stati vani i tentativi di recupero delle somme, tanto più che erano trascorsi ben 20 giorni dall’esecuzione del bonifico e che il beneficiario aveva prelevato le somme immediatamente dopo l’accredito. In merito alla seconda operazione, deduce che la sessione di lavoro risulta avviata alle ore 9:46:11 del giorno 8.8.17 e che alle ore 9:47:31 veniva inserita la richiesta di bonifico, confermata con OTP alle ore 9:47:54 e quindi correttamente eseguita. Anche per tale operazione i tentativi di recupero delle somme non sono andati a buon fine. L’intermediario rileva che, una volta inserita la disposizione di bonifico, viene inviato il documento di “presa in carico”, in cui sono riportati i dati del bonifico che verrà eseguito. Ritiene che se la società avesse consultato nella home banking la “presa in carico” dei due bonifici, si sarebbe accorta che i beneficiari non corrispondevano a quelli inseriti ed avrebbe avuto il tempo per revocare le operazioni, evitando gli addebiti. Precisa che i documenti allegati al ricorso sono soltanto stampe della videata del computer subito dopo l’inserimento del bonifico, in cui i dati coincidono con quelli inseriti; non si tratta, quindi, dei documenti di “presa in carico” dei bonifici. Tutto ciò premesso, la banca ritiene che la responsabilità dell’accaduto sia da attribuire al legale rappresentante della società, “che ha fornito i codici identificativi” a terzi, addirittura inserendo, per il bonifico di maggiore importo, il codice inviato tramite SMS, vanificando così tutte le cautele poste in essere dalla banca. L’intermediario riepiloga i sistemi di sicurezza adottati per minimizzare il verificarsi di comportamenti fraudolenti ai danni dei clienti o dell’istituto stesso: 1) - il canale di comunicazione del servizio è cifrato

(3)

(protocollo https), protetto da certificato emesso da apposita Certification Authority; - l’infrastruttura è protetta da un cluster di firewall che consentono la comunicazione dei soli protocolli http e https; - l’infrastruttura è regolarmente assoggettata a verifiche di sicurezza (Network Vulnerability Assessment e/o Web Application Penetration Test); - il sistema di gestione per la sicurezza delle informazioni è certificato ISO/IEC 27001, standard che costituisce il riferimento internazionale per la sicurezza delle informazioni; - al cliente viene consegnato il dispositivo elettronico O-Key, associato univocamente al codice di accesso consegnato al cliente, che genera password dinamiche di 6 cifre aventi le seguenti caratteristiche: algoritmo standard di sicurezza (3DES o AES) con chiave/seme conosciuto solo dai server del gruppo bancario; durata limitata; visualizzazione sullo schermo per soli 16 secondi; annullamento immediato dopo il suo utilizzo; riconoscimento e validazione del codice da parte del server. Conclude, pertanto, per la non rimborsabilità delle operazioni, sussistendo la colpa grave del cliente, e per la non rimborsabilità delle spese legali, sia per la semplicità della materia, sia per la mancata prova dell’effettivo esborso delle somme in favore del difensore. Con repliche depositate il 22/06/2018, il ricorrente afferma che: - le controdeduzioni sono state inoltrate dall’intermediario “ben oltre i termini previsti dalla procedura”, e pertanto chiede che il Collegio non ne tenga conto “ai fini del decisum”; - l’intermediario era stato vittima di un attacco informatico particolarmente sofisticato e che questi non era stato in grado di debellarlo “approntando le necessarie misure di sicurezza”; - dall’esame dei documenti di presa in carico, emerge che “la schermata di cattura apparsa …… è una perfetta simulazione dell’ambiente informatico originale”; - l’intrusione era avvenuta nella pagina home banking del sito dell’intermediario, dopo che il ricorrente aveva effettuato regolarmente l’accesso; - ritenendo di interloquire direttamente con l’intermediario, confermava la disposizione di pagamento, i cui dati riteneva essere stati inseriti correttamente; - che tale anomalia è riconosciuta dallo stesso intermediario, quando precisa di riconoscere “come normali gli accessi effettuati”; - il servizio di SMS Alert rappresenta una tutela ex post, la quale non esonera comunque l’intermediario dall’obbligo di predisporre “presidi di protezione avanzati atti a prevenire il compimento dell’operazione fraudolenta”; - è ravvisabile pertanto una responsabilità dell’intermediario per non aver adottato “tutte le misure necessarie a garantire la sicurezza del servizio di conto corrente”, dovendo altresì dimostrare la “riconducibilità dell’operazione al cliente”.

DIRITTO

Come desumibile dalla narrativa, parte ricorrente chiede di ordinare alla banca il riaccredito dell’importo dei bonifici, per complessivi €28.140,06, oltre alle spese di assistenza professionale, quantificate equitativamente in € 1.000,00. L’intermediario chiede, in via principale, il rigetto del ricorso. In subordine, chiede la ripartizione fra le parti del danno in misura proporzionale alle rispettive effettive responsabilità. La questione sottoposta al Collegio ha verosimilmente ad oggetto un caso di truffa on-line particolarmente sofisticata, perpetrata mediante un attacco informatico che opera solitamente tramite reindirizzamento delle comunicazioni (c.d. man-in-the-middle) ovvero manipolazione delle pagine web (c.d. man-in-the-browser). Nella specie, infatti, la società ricorrente non disconosce di aver effettuato due bonifici, ma lamenta che gli stessi siano stati “dirottati” e accreditati su c/c aventi IBAN ed intestatari differenti rispetto a quelli correttamente immessi nell’ordine di pagamento. Preliminarmente, osserva il Collegio che le operazioni contestate sono state poste in essere il 17/07/2017, con data contabile e valuta 17/07/2017e l’8/08/2017. Pertanto, sono sottoposte alla disciplina del d.lgs. 27

(4)

gennaio 2010, n. 11 (artt. 7-12) di attuazione della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno (c.d. PSD) e del provvedimento di attuazione della Banca d’Italia del 5 luglio 2011. Inoltre, giova rammentare che un "monitoraggio" da parte degli intermediari, anche ai fini di una corretta "autenticazione" (c.d. "forte"), è previsto negli Orientamenti enunciati dall'EBA, in attuazione di direttive europee, resi obbligatori per gli intermediari stessi dalle disposizioni di vigilanza della Banca d'Italia, con Circolare n. 285/2013, la quale alla Sezione VI (I PRINCIPI ORGANIZZATIVI RELATIVI A SPECIFICHE ATTIVITÀ O PROFILI DI RISCHIO), art. 1 (Sicurezza dei pagamenti via internet) così dispone: “Le banche che prestano alla propria clientela servizi di pagamento tramite canale internet si attengono agli “Orientamenti finali sulla sicurezza dei pagamenti via internet” emanati dall’ABE”. Più in particolare, detti Orientamenti, al par. 10 (Monitoraggio delle operazioni), stabiliscono quanto segue: “10. I meccanismi per il monitoraggio delle operazioni volti a prevenire, rilevare e bloccare il traffico dei pagamenti fraudolenti dovrebbero essere attivati prima dell’autorizzazione finale del prestatore di servizi di pagamento; le operazioni sospette o ad alto rischio dovrebbero essere oggetto di una specifica analisi e procedura di valutazione. Meccanismi di monitoraggio della sicurezza e di autorizzazione equivalenti dovrebbero essere disponibili per l’emissione dei mandati elettronici. 10.1 I prestatori di servizi di pagamento dovrebbero utilizzare sistemi di rilevamento e prevenzione delle frodi per individuare operazioni sospette prima che il prestatore di servizi di pagamento autorizzi da ultimo le operazioni o i mandati elettronici.

Tali sistemi dovrebbero essere basati, per esempio, su regole parametrizzate (come le

“Black-list” dei dati relativi alle carte compromesse o rubate) e monitorare i modelli di comportamento anomalo del cliente o del dispositivo di accesso del cliente (per esempio, un cambiamento dell’indirizzo Internet Protocol (IP)16 o dell’intervallo IP durante la sessione dei servizi di pagamento via Internet, a volte identificati mediante controlli di geolocalizzazione IP17, categorie di operatori commerciali online atipici per un cliente specifico o transazioni con dati anomali, ecc.). Tali sistemi dovrebbero anche essere in grado di rilevare i segnali di infezione da malware nella sessione (per esempio tramite script a fronte di convalida umana) e scenari di frode noti. L’entità, la complessità e l’adattabilità delle soluzioni di monitoraggio, nel rispetto della normativa in materia di protezione dei dati, dovrebbero essere commisurate al risultato della valutazione dei rischi”. Fatta questa opportuna premessa e ricordati quali sono i principi vigenti in subiecta materia, nel caso di specie, al fine di determinare le rispettive responsabilità delle parti, occorre esaminare da un lato la possibile configurabilità della colpa grave dell’utente e dall’altro verificare se è stata raggiunta la prova dell’effettiva riconducibilità delle operazioni all’utente stesso, atteso che, in mancanza di tale dimostrazione, l’intermediario dovrà risarcire il cliente vittima di una frode telematica (in tal senso, cfr. Cass. Civ. 9158/2018).

Tanto precisato, tuttavia, non può trascurarsi che, nel caso di specie, risulta chiaramente che il prestatore dei servizi di pagamento, una volta ricevuto l’ordine di pagamento, ha provveduto ad inviare un sms alla cliente dove si chiedeva conferma dell’operazione, indicando l’importo e il nome del beneficiario, lo stesso che risulta dal documento di presa in carico prodotto dall’intermediario resistente. Invero, dalle evidenze presenti in atti, o meglio da una comparazione tra il documento di presa in carico del bonifico, come apparso al ricorrente sullo schermo del sito di home banking dopo aver immesso l’ordine

(5)

con la corretta indicazione del beneficiario, e il documento di “presa in carico” prodotto dalla banca, risulta che, fermi tutti gli altri dati (quali importo, TRN e numero d’ordine del bonifico), invece IBAN e nominativo del beneficiario risultano differenti rispetto a quelli immessi dalla ricorrente. Inoltre, dal foglio Excel, prodotto dall’intermediario ai fini della prova dell’autenticazione, corretta registrazione e contabilizzazione dell’operazione posta in essere dal ricorrente, emerge che l’operazione è stata autorizzata mediante inserimento del codice inviato via SMS al numero telefonico del rappresentante legale. Nel medesimo foglio Excel viene riportato il testo di tale SMS, da cui risulta il nominativo del presunto truffatore (cui, poi, è stato accreditato il bonifico). Le circostanze che caratterizzano inserimento ed esecuzione del secondo bonifico (€ 1.097,00) sono le medesime già rappresentate (ossia “presa in carico” prodotta dalla ricorrente recante tutti i dati corretti e

“presa in carico” prodotta dall’intermediario, avente IBAN e beneficiario diversi). Anche per questa operazione la banca ha prodotto il dettaglio (sul medesimo file excel) dei passaggi effettuati per immettere l’ordine di bonifico, ove pure risulta un riferimento all’OTS (one time sms). Ricostruita in questi termini la vicenda sottoposta all’esame dell’odierno Collegio, nel contempo non si può far a meno di evidenziare quanto statuito dall’inciso dell’art.10 del decreto n.11/2010 sopra richiamato, secondo cui la prova a carico dell’intermediario si estende al fatto che l’operazione non abbia “subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Nella fattispecie la banca dichiara nelle sue controdeduzioni che, ritenendo sospetta la disposizione tramite bonifico, il suo sistema antifrode inviava un sms sul cellulare del legale rappresentante della società con il seguente contenuto “Per completare il bonifico europeo BU1815 di euro 27.042,49 a favore di […] inserire Codice SMS…”. Sul punto si può osservare quanto segue: a) il fatto che la banca abbia dichiaratamente riscontrato elementi di sospetto sembra incompatibile con l’assolvimento dell’obbligo di comprovare, ai sensi dell’art. 10 d.lgs., che l’operazione non ha “subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. b) il sospetto riscontrato dalla banca si presume che consista nella riscontrata diversità fra l’IBAN inserito dal cliente e quello finale. A fonte di questa riscontrata diversità appare difficile considerare provata la “riconducibilità” all’utente dell’operazione contestata. D’altronde, così come sopra esposto, appare incontestato che nel caso di specie l’utente sia stato vittima di una truffa; c) il messaggio sms inviato al ricorrente non appare di per sé sufficiente ad esimere la banca da responsabilità, nella qualità di intermediario che gestisce il sistema, con l’obbligo di garantirne la sicurezza, atteso che la banca non ha segnalato al cliente che sussisteva il sospetto di un’anomalia né ha provveduto, come sembrerebbe consono all’adozione di misure di protezione dell’utente, a bloccare l’operazione sospetta, limitandosi ad inviare un messaggio criptico, in cui non risultano evidenziati “inconvenienti”, salvo il diverso nominativo del beneficiario;

che peraltro nelle operazioni di bonifico non è significativo, essendo, come noto, determinante a tal fine esclusivamente il codice IBAN. Pertanto, può ritenersi sussistente una responsabilità dell’intermediario per non aver adottato tutte le misure necessarie a garantire la sicurezza del servizio di conto corrente ed in particolare a verificare la riconducibilità delle operazioni alla volontà del cliente. Il che si aggiunge al principio del cd

“rischio di impresa” ribadito anche dalla S.C. in alcune recenti decisioni (fra cui la n.

(6)

9158/2018). In sostanza, con il suo comportamento, la banca potrebbe aver fornito involontariamente un contributo al buon esito della truffa, in quanto, attraverso l’invio dell’OTS sopra richiamato, ha sostanzialmente chiesto al cliente se fosse d’accordo ad eseguire l’operazione a favore di un soggetto cui corrispondeva un IBAN diverso da quello da lui immesso nel sistema, senza, tuttavia, segnalare tale diversità e senza bloccare l’operazione stessa. D’altro canto, però, non si può far a meno di rilevare che l’utente, per quanto vittima di una truffa informatica particolarmente sofisticata, non può considerarsi del tutto esente da colpa, atteso che avrebbe potuto accorgersi, usando l’ordinaria diligenza, tanto più richiesta in ragione della sua particolare qualifica di imprenditore, della diversità dei beneficiari ovvero successivamente controllare sull’home banking l’errata esecuzione dei bonifici in tempo utile per revocarli. Alla luce di quanto sopra esposto, il Collegio ritiene che la responsabilità per il danno patrimoniale verificatosi debba essere equamente ripartita fra pagatore e prestatore di servizi di pagamento, per cui la domanda restitutoria formulata da parte ricorrente appare meritevole di accoglimento nella misura della metà. Quanto poi alla richiesta di rimborso delle spese legali dallo stesso sostenute, si ritiene che la stessa non possa essere accolta in ragione della parziale soccombenza con riguardo alla domanda principale.

P.Q.M.

Il Collegio, in parziale accoglimento del ricorso, dispone che l’intermediario corrisponda al ricorrente l’importo di € 14.070,00.

Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma versata alla presentazione del ricorso.

IL PRESIDENTE

firma 1

Riferimenti

Documenti correlati

Per tali ragioni, relativamente al buono fruttifero postale, serie “Q/P”, emesso in data successiva al 30.06.1986, la liquidazione degli interessi deve essere riconosciuta per il

In tale missiva, inviata al gestore telefonico e inoltrata all’intermediario resistente, il ricorrente, tra le altre cose, revocava l’autorizzazione alla domiciliazione delle

dell’immobile da acquistare; Venivano, quindi, messi in contatto con un collaboratore indipendente dell’intermediario, il quale dichiarava che questi potevano accedere all’acquisto

Il resistente ha evidenziato, quindi, che la società ricorrente non ha sollevato obiezioni sul fatto che due persone volessero fare acquisti con le carte di un terzo soggetto,

Sebbene, dalla documentazione versata in atti dalla ricorrente non è possibile ricostruire in modo rigoroso l’articolazione della vicenda contrattuale e dell’affare, che è

nella mattinata del giorno successivo (14.12.2016), riceveva dal detto funzionario della banca terza “una mail (allegata in copia sub n. 17) con cui mi inoltrava la comunicazione

Si rileva altresì che dalla suddetta evidenza emerge che il numero di telefono abbinata alla carta è stato variato in data 29.04.2017 mentre le operazioni disconosciute sono state

In effetti, se a tale rilievo si assomma l’ulteriore eccezione sulla natura consulenziale della domanda (cfr. Collegio di Bologna, decisione n. 3484 del 2020), in quanto volta ad