COLLEGIO DI ROMA composto dai signori:
(RM) SIRENA Presidente
(RM) SCIUTO Membro designato dalla Banca d'Italia
(RM) POZZOLO Membro designato dalla Banca d'Italia
(RM) GRANATA Membro di designazione rappresentativa
degli intermediari
(RM) CESARO Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - GRANATA ENRICO
Seduta del 22/03/2021
FATTO
In data 28.9.2020 veniva presentato ricorso, con l’assistenza di un professionista, dalla titolare del conto n. *****248 acceso presso l’intermediario convenuto (di seguito anche Signora R.I.) e dalla di lei figlia (di seguito anche Signora N.P.A.), titolare del conto corrente n. *****261, acceso presso la stessa filiale di detto intermediario.
Secondo quanto esposto nel ricorso, alle ore 11:22 del 16.3.2020 la Signora N.P.A.
riceveva sul proprio cellulare un sms apparentemente inviato dall’intermediario, con cui le veniva segnalato un accesso anomalo al suo conto corrente e veniva invitata, per ragioni di sicurezza, a inserire una serie di dati all’interno del portale raggiungibile tramite il link contenuto nel messaggio.
Dopo aver cliccato sul link, la Signora N.P.A. veniva reindirizzata su una pagina web
“visivamente identica per colori e grafica” alla schermata del servizio di Internet Mobile Banking” dell’intermediario convenuto e, inseriti i dati richiesti, riceveva, intorno alle ore 11:30, una chiamata telefonica con cui un sedicente operatore dell’intermediario la informava del tentativo di inserimento di un’operazione di bonifico, per bloccare il quale sarebbe stato necessario inserire il codice di sei cifre, nel frattempo inviatole via sms sempre dal gruppo di appartenenza dell’intermediario.
La Signora N.P.A. riferiva all’interlocutore detto codice, ricevendo poco dopo un sms contenente conferma dell’avvenuto storno dell’operazione.
Contattata la propria filiale, la Signora N.P.A. apprendeva tuttavia che era stato eseguito un bonifico istantaneo dell’importo di € 8.001,10, effettuato in favore di un soggetto a lei sconosciuto, titolare di un conto corrente presso la stessa filiale dell’intermediario.
Apprendeva altresì che detto bonifico non era stato effettuato a valere sul conto corrente a lei intestato, del quale aveva fornito le credenziali di accesso, ma sul diverso conto corrente intestato alla madre.
Sporgeva quindi denuncia all’A.G. il 16.3.2020.
In data 21.3.2020 parte ricorrente presentava reclamo e successivamente formale modulo di disconoscimento dell’operazione, ove precisava che l’operazione disconosciuta non era stata autorizzata. Il reclamo veniva rigettato dall’intermediario convenuto con addebito, in via definitiva, dell’importo in contestazione.
Con comunicazione del 5.8.2020, l’intermediario precisava che la Signora N.P.A. risultava titolare di formale delega ad operare sul conto della madre ribadendo che nulla era dovuto.
Parte ricorrente afferma invece che la Signora N.P.A. non era titolare di alcuna delega ad operare sul conto della madre, tantomeno secondo modalità online, non avendo mai sottoscritto un modulo di conferimento di delega, come provato dal documento che allega, privo della sottoscrizione del delegato.
Quanto all’operazione in contestazione, parte ricorrente sottolinea l’apparente genuinità dei canali di comunicazione impiegati dai truffatori per comunicare con la Signora N.P.A. il cui cellulare, peraltro, non era abilitato a ricevere le password autorizzative e dispositive del conto corrente della madre.
Ribadisce che la Signora N.P.A. è stata indotta fraudolentemente ad inserire le proprie credenziali sul sito “fotocopia “ della propria home banking, risultando vittima del raggiro di terzi, particolarmente sofisticato per le modalità con cui è stato attuato. Tali credenziali sono state poi utilizzate per sottrarre un’ingente somma di denaro non sul conto del soggetto che conferiva le proprie credenziali di accesso, quello cioè della Signora N.P.A., ma sul conto corrente della madre della stessa sul quale la Signora N.P.A. non aveva alcun poter di operare.
Contesta all’intermediario di non aver adeguatamente tutelato i suoi dati personali e di non aver posto in essere gli accorgimenti necessari al fine di impedire l’operazione fraudolenta, lasciando la cliente esposta alle conseguenze negative del malfunzionamento delle procedure necessarie per l’esecuzione delle operazioni dispositive nonché delle carenze dei sistemi di vigilanza e di controllo adottate.
Evidenzia che ai sensi dell’art. 10, comma 1, del D.Lgs 11/2010, così come modificato dal d.lgs. 218/2017, è onere del prestatore di servizi di pagamento provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
Sottolinea l’assenza di qualsiasi responsabilità a suo carico.
Chiede al Collegio di condannare l’intermediario convenuto, a titolo di responsabilità contrattuale o extracontrattuale, a corrisponderle la somma di € 8.001,01, oltre alle spese di assistenza professionale, non quantificate.
Chiede inoltre che l’intermediario esibisca la documentazione interna che ha portato dapprima ad accogliere la richiesta di rifusione dell’importo sottratto e poi a stornarlo e in particolare il documento con cui è stato inizialmente disposto l’accredito della predetta somma sul conto corrente intrattenuto dalla Signora R.I..
Con le controdeduzioni l’intermediario resistente premette che l’importo dell’operazione disconosciuta è stato accreditato salvo buon fine e quindi stornato, all’esito dell’istruttoria sulla vicenda, come espressamente previsto nel modulo di disconoscimento.
Eccepisce quindi che la Signora N.P.A. era delegata ad operare sul conto della madre.
Afferma che tale circostanza era nota a parte ricorrente oltre che confermata dal tenore della denuncia sporta dalla Signora N.P.A. all’A.G., in cui la stessa dichiara di aver accesso al conto corrente della madre, tramite firma, nonché dal contenuto della delega.
Precisa che, in forza della suddetta delega, la figlia della ricorrente era abilitata ad operare sul conto della madre anche attraverso il canale home banking, come confermato dalla
“Guida servizi” che allega.
Evidenzia che, nel caso di specie, la Signora N.P.A. è rimasta vittima di un episodio di phishing/smishing, nel corso del quale ha comunicato a terzi, con grave negligenza, le credenziali necessarie per effettuare l’operazione contestata, la quale è stata posta in essere all’interno di un sistema di autenticazione multifattoriale.
Afferma al riguardo che: i) le tracciature informatiche evidenziano che, alle ore 11:36:29 del 16.3.2020, l’utenza della cliente ha avviato un’operazione di login tramite browser da un indirizzo IP non utilizzato prima; ii) il sistema di sicurezza ha inviato una PUSH informativa al dispositivo della cliente con cui la stessa veniva informata che era stato effettuato un accesso al sito di esso intermediario e invitata a contattare la filiale online qualora non ne fosse l’autrice; iii) la ricezione di questa comunicazione non ha insospettito la Signora N.P.A. e l’operazione è terminata correttamente; iv) alle ore 11:39:35 è stata inserita la richiesta di bonifico istantaneo di importo pari a € 8.000,00 a favore di XXX, come risulta dal Foglio “Tracciatura” che allega; iv) per autorizzare l’operazione il sistema ha inviato una OTP tramite PUSH, come risulta dal Foglio “Push”; v) il sistema di sicurezza ha inviato anche una OTS tramite SMS a numero riferibile al cellulare della cliente, con il seguente contenuto “Codice di Sicurezza - per completare il bonifico istantaneo BI3935 di EUR 8001.1 a favore di XXX usa ******), come risulta dal Foglio “SMS”, che allega.
Sottolinea la sicurezza del sistema di autenticazione a più fattori, che prevede l’impiego di OTP.
Precisa che l’invio dell’OTS consente al cliente di venire a conoscenza dell’esistenza di una disposizione di bonifico impartita tramite il proprio internet banking, dell’importo e del nominativo del beneficiario, allo scopo di bloccarla qualora non sia stata disposta dal cliente stesso.
Evidenzia che l’operazione è stata convalidata con OTP e OTS che la Signora N.P.A. ha comunicato ai frodatori e che il bonifico è stato quindi eseguito, come risulta dal Foglio
“Tracciatura”, che allega.
Chiede in via principale che il ricorso sia rigettato; in via subordinata, ove siano ravvisati profili di responsabilità a proprio carico, che il Collegio definisca la ripartizione in misura proporzionale all’effettiva responsabilità delle parti.
Con repliche alle controdeduzioni la parte ricorrente ribadisce che l’intermediario ha tenuto una condotta contraria ai principi di buona fede e correttezza e, in ogni caso, contraria ai doveri di diligenza professionale sullo stesso gravanti.
Ribadisce inoltre che la Signora N.P.A. non era in possesso di alcuna delega ad operare sul conto della madre, come confermato dal fatto che il modulo di conferimento delega prodotto dall’intermediario è privo della sottoscrizione del delegato.
Afferma pertanto, con riguardo alla presunta delega alla figlia, che l’intermediario resistente, contravvenendo ai canoni di diligenza, non ha proceduto ad effettuare l’identificazione del delegato e la verifica delle sue generalità, nonché a richiedere il deposito, contestuale e in presenza di un funzionario di banca, dello specimen della Signora N.P.A., la quale pertanto non ha alcun valido potere per operare sul conto corrente della madre.
Quanto al richiamo di controparte ai contenuti del verbale di denuncia all’A.G., precisa che l’inciso richiamato dall’intermediario, a riprova del conferimento della delega in
contestazione, non è altro che quanto riferito via filo alla Signora N.P.A. da un funzionario dell’intermediario, che riteneva erroneamente che la stessa potesse operare sul conto della madre.
Ribadisce inoltre che l’accesso al conto corrente della madre non era consentito tramite home banking della Signora N.P.A., la quale non ha mai effettuato in passato alcuna operazione dal proprio dispositivo su detto conto corrente.
Aggiunge che la modulistica contrattuale versata in atti da parte resistente è inconferente, essendo relativa a due distinti contratti “my key” intestati rispettivamente a ciascuna delle due ricorrenti.
Evidenzia che la truffa è stata perpetrata sull’utenza telefonica della Signora N.P.A., che ha inserito le proprie credenziali di conto my-key internet banking, mentre la somma di cui è chiesto il rimborso è stata sottratta sul conto della Signora R.I.
Sottolinea l’inadeguatezza dei sistemi di protezione dell’intermediario, il quale non sarebbe in grado impedire eventi fraudolenti del tipo di quello verificatosi.
Afferma che il bonifico in contestazione è stato peraltro effettuato in favore di soggetto già deceduto alla data dei fatti.
Insiste per l’accoglimento del ricorso.
Con ulteriori repliche l’intermediario resistente afferma che la Signora N.P.A. è abilitata ad operare sul conto della madre tramite il proprio home banking (il cui contratto è stato stipulato in data 24.4.2019), al quale il rapporto è stato collegato successivamente al conferimento della delega in questione.
Precisa, quanto al sistema di autenticazione, che per accedere al portale di home banking è necessario inserire codice titolare e codice PIN oltre a un codice OTP, mentre per effettuare operazioni dispositive è necessario inserire il codice OTP generato via APP per i clienti titolari che hanno attivato O-key smart (o tramite sms per i clienti che hanno attivato O-key sms). Aggiunge che, con l’utilizzo dell’O-Key Smart, i codici O-Key dinamici per accedere ai servizi di banca online e per autorizzare le operazioni sono generati mediante selezione della notifica ricevuta sullo smartphone o tablet su cui è stato attivato O-Key Smart ovvero con digitazione sullo smartphone o sul tablet del PIN o con apposizione dell’impronta digitale o del riconoscimento facciale, se abilitati.
Ribadisce che, nel caso di specie, l’operazione disconosciuta è stata autorizzata tramite OTP e ulteriore codice OTS, senza che fosse registrata alcuna anomalia operativa.
DIRITTO
La responsabilità di un prestatore di servizi di pagamento è disciplinata dall’art. 12 del D.Lgs. 27 gennaio 2010, n. 11, il quale ha attuato nell’ordinamento giuridico italiano la direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno europeo, così come modificato dal D.Lgs 15.12.2017, n. 218, che ha recepito la direttiva (UE) 2015/2366.
L’art. 12 del D.Lgs. n.11 del 2010, così come successivamente modificato dal D.Lgs.
218/2017 ( “Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento”), prevede che: “1. Salvo il caso in cui abbia agito in modo fraudolento, l’utente non sopporta alcuna perdita derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente intervenuto dopo la comunicazione eseguita ai sensi dell’articolo 7, comma 1, lettera b). 2. Salvo il caso in cui abbia agito in modo fraudolento, l’utente non è responsabile delle perdite derivanti dall’utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all’obbligo di cui all’articolo 8, comma 1, lettera c). 2-bis.
Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna
perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente. 2-ter. Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l’appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, salvo il caso in cui abbia agito in modo fraudolento, o se la perdita è stata causata da atti o omissioni di dipendenti, agenti o succursali del prestatore di servizi di pagamento o dell’ente cui sono state esternalizzate le attività. 3. Negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita.
4. Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all’articolo 7, con dolo o colpa grave, l’utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”.
La nuova normativa stabilisce pertanto, come previsto dal succitato comma 2-bis, la responsabilità dell’intermediario ove quest’ultimo non abbia predisposto un sistema di autenticazione forte. Tale tipologia di autenticazione viene declinata nell’art. 1, lettere q) e q bis), del D.Lgs (“Definizioni”) ove si definisce per “autenticazione: la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore (lettera q); per
“autenticazione forte del cliente”: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione (lettera q-bis)”.
Sull’ambito e modalità di applicazione dell’autenticazione forte è intervenuto l’art. 10-bis del D.Lgs. n.11 del 2010, così come modificato dal D.Lgs. 218/2017, il quale ha previsto che “1. Conformemente all'articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando l'utente: a) accede al suo conto di pagamento on-line; b) dispone un'operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi. 2. Nel caso dell'avvio di un'operazione di pagamento elettronico di cui al paragrafo 1, lettera b), per le operazioni di pagamento elettronico a distanza, l'autenticazione forte del cliente applicata dai prestatori di servizi di pagamento comprende elementi che colleghino in maniera dinamica l'operazione a uno specifico importo e a un beneficiario specifico 3. Conformemente all'articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento predispongono misure di sicurezza adeguate per tutelare la riservatezza e l'integrità delle credenziali di sicurezza personalizzate degli utenti di servizi di pagamento. (omissis)”.
L’art. 5, comma 6, del D. Lgs. 218/2017 prevede che le misure di sicurezza, di cui all’art.
10-bis, così come declinate dalle norme tecniche di regolamentazione, di autenticazione e comunicazione, di cui all’articolo 98 della PSD 2, si applicano decorsi diciotto mesi dalla data di entrata in vigore di tali norme.
Tali norme sono contenute nel Regolamento delegato (UE) n. 2018/389, emanato dalla Commissione europea il 27.11.2017, che “integra la PSD 2 per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri”, le cui disposizioni si applicano a decorrere dal 14 settembre 2019 (art. 38, paragrafo 2) e cioè diciotto mesi dopo l’entrata in vigore del Regolamento.
Il 21 giugno 2019 l’Autorità Bancaria Europea (EBA) ha emanato la “Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2”, con cui ha precisato, ai fini dell’implementazione del suddetto Regolamento, quali elementi costituiscano o meno, allo stato attuale della tecnologia, fattori di autenticazione forte all’interno delle categorie della conoscenza, del possesso e dell’inerenza.
Quanto al disposto del comma 3 dell’art. 12, nel testo ora vigente, si rileva che già alla luce della previgente formulazione dell’art. 12 si era ritenuto che, trattandosi di un fatto impeditivo dell’esercizio del diritto risarcitorio da parte della parte ricorrente, l’onere di provare la colpa grave (o addirittura il dolo) di quest’ultima gravasse sull’intermediario resistente, ai sensi dell’art. 2697, 2° comma, c.c. Tale soluzione è stata espressamente affermata dal Collegio di Coordinamento di questo Arbitro nella decisione n. 5304 del 17 ottobre 2013. Secondo la giurisprudenza di legittimità, la colpa grave è costituita da una
«straordinaria e inescusabile» imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all’art.
1176, 1° comma, c.c., ma anche «quel grado minimo ed elementare di diligenza generalmente osservato da tutti» (Cass., 3 maggio 2011, n. 913; Cass., 19 novembre 2001, n. 14456). Questo Arbitro si è costantemente richiamato a tale orientamento giurisprudenziale, com’è stato ribadito dalla già richiamata decisione del Collegio di Coordinamento n. 5304/2013 nonché dalla decisione n. 6168 del 2013.
Il fatto che l’onere di provare la colpa grave (o addirittura il dolo) della parte ricorrente gravi sull’intermediario resistente è ora esplicitamente affermato dal disposto dell’art. 10, 2°
comma, del D.lgs. n. 11 del 2010, così come modificato dal D.Lgs. 218/2017, il quale statuisce che «quando l’’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzazione di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art. 7. E’ onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente».
Il Collegio di Coordinamento, con la decisione n. 8553 del 28 marzo 2019, nell’esaminare la specifica questione della portata del comma 2-ter dell’art 12, introdotto dal D. Lgs.
218/2017, ha affermato più in generale che “Il d.lgs. 15 dicembre 2017, n. 218 non modifica il regime della responsabilità né quello probatorio precedentemente applicati”
osservando che: “ … resta invariato il principio secondo cui la responsabilità dell’utente non sussiste, salvo che nelle ipotesi in cui si accerti che egli abbia <agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’art. 7, con dolo o colpa grave> (art. 12, comma 3)…”.
Venendo al caso di specie, la ricorrente disconosce un bonifico on line, per l’importo di € 8.001,10, effettuato alle ore 11:40 del 16.3.2020.
Come affermato dall’intermediario resistente sulla base della sequenza degli eventi descritti nella denunzia all’A.G. e come emerge dalla documentazione in atti, la parte
ricorrente, e più precisamente la Signora N.P.A., risulta essere stata vittima di episodio di phishing, come peraltro pacifico fra le parti.
La materia delle frodi informatiche è stata specificatamente trattata dal Collegio di Coordinamento nella decisione n. 3498 del 2012, in cui il Collegio ha operato una distinzione tra modalità di intrusione che denotano una condotta gravemente negligente dell’utilizzatore e modalità non caratterizzate da un contegno gravemente colpevole del cliente, traendone la conclusione che solo in quest’ultimo caso e non invece nel primo il cliente ha diritto a vedersi rimborsato dall’intermediario. Il Collegio di Coordinamento ha chiarito che mentre non può ravvisarsi un comportamento colposo del cliente qualora egli, a causa di un virus (malware, trojan, man in the browser), si veda sottrarre le proprie credenziali di accesso, è invece senz’altro connotato dall’elemento soggettivo della colpa grave il comportamento di chi “abbocchi” ad una tradizionale mail di phishing. Nello specifico il Collegio di coordinamento, con la decisione n. 3498/2012, ha identificato il phishing c.d. tradizionale nella situazione in cui “ … il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento”
possono dirsi ormai note al pur non espertissimo navigatore di internet.” Questo Collegio, sulla scorta di quanto indicato dal Collegio di coordinamento, in una pluralità di decisioni su casi di phishing tradizionale ha ravvisato una condotta gravemente colposa dell’utilizzatore del servizio (cfr., ex multis, decisioni n. 3076/2015, 5875/2015, 4991/2016, 8487/2016, 8841/2016, 5102/2017, 13448/2017).
L’operazione di phishing in questione è stata articolata nell’utilizzo combinato di messaggi telefonici (smishing) e di interlocuzioni telefoniche con un sedicente operatore di detto intermediario (vishing). In sintesi l’operazione frodatoria appare articolata nei seguenti passaggi: i) ricezione da parte della Signora N.P.A., sul proprio cellulare, di un sms
“civetta”, che si inseriva nella chat in cui pervenivano comunicazioni genuine dell’intermediario, che le segnalava un accesso anomalo sul suo conto e la invitava a cliccare sul link indicato; ii) accesso, tramite detto link, a sito web apparentemente simile a quello dell’intermediario resistente, e inserimento dei dati relativi al proprio rapporto di conto corrente e portale di home banking); iii) ricezione, sempre da parte della Signora N.P.A., di una chiamata da sedicente operatore dell’intermediario, cui comunicava il codice a sei cifre, ricevuto via sms, che l’interlocutore riferiva essere necessario per bloccare un’operazione di bonifico in atto; iv) ricezione di un sms che comunicava l’avvenuto storno del bonifico; v) avvenuta esecuzione del bonifico per l’importo di € 8.001,01 a valere sul conto corrente intestato alla madre.
Tramite la tecnica frodatoria utilizzata il malfattore è riuscito a carpire, progressivamente, i dati necessari per poter mettersi in condizione di effettuare la transazione contestata e ad effettuarla.
E’ indubbio che per pervenire a tale risultato il malfattore si è avvalso della collaborazione di parte ricorrente, elemento necessario per attuare il disegno fraudolento in un quadro in cui l’utilizzo perverso degli strumenti tecnologici è integrato dal “fattore umano”, sia dal lato frodatore, attraverso indicazioni forvianti fornite via filo, sia dal lato vittima della frode, attraverso l’adesione alle richieste pervenute. Peraltro, considerata la tecnica sofisticata adottata nel caso di specie, l’operazione fraudolenta non può allo stato collocarsi nel novero di forme di phishing tradizionale. Pertanto nel comportamento tenuto dal ricorrente nel caso di specie, seppur incauto, non si ravvisano profili di colpa grave, intesa, come sopra rammentato, come una «straordinaria e inescusabile» imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del
buon padre di famiglia di cui all’art. 1176, 1° comma, c.c., ma anche «quel grado minimo ed elementare di diligenza generalmente osservato da tutti».
L’intermediario resistente non ha quindi assolto all’onere che incombe sul prestatore di servizi di pagamento, ai sensi dell’art. 10, comma 2, del D.lgs. n. 11 del 2010, così come modificato dal D.Lgs. 218/2017, di “fornire la prova della frode, del dolo o della colpa grave dell’utente”.
Quanto infine alla sussistenza di una delega che autorizzava la Signora N.P.A. ad operare sul conto della madre, si rileva che l’intermediario resistente nonché la parte ricorrente producono un modulo di delega alla Signora N.P.A. ad operare sul conto corrente intestato alla madre, che risulta sottoscritto in data 17.10.2019 dalla delegante, ma è priva della firma in calce della delegata.
Peraltro in sede di denuncia all’A.G. la Signora N.P.A. dichiara che dopo aver chiamato la filiale di riferimento per chiedere delucidazioni in merito all’accaduto, le veniva confermato che la somma di € 8.001,00 era stata sottratta dal conto della madre “a cui aveva accesso tramite firma”.
Sembra poco verosimile che tale attestazione, nella misura in cui conferma l’esistenza di poteri di firma in capo alla Signora N.P.A. con riferimento al conto di cui è titolare la madre, sia da leggere come una dichiarazione da imputare esclusivamente al funzionario dell’intermediario.
Dalla circostanza quindi che la figlia era autorizzata ad operare sul conto della madre, discende che, come previsto dalla documentazione contrattuale in atti, la delegata era autorizzata ad operare su tale conto anche in modalità online, trattandosi di “rapporto intestato ad altra persona fisica su cui il Cliente è delegato ad operare”.
In conclusione non può quindi imputarsi a parte ricorrente alcuna responsabilità per l’operazione contestata.
L’intermediario resistente deve pertanto provvedere al rimborso della somma di € 7.951,10, già al netto della franchigia di legge.
Non può essere accolta la domanda di rifusione delle spese di assistenza legale non essendo la stessa contenuta nel reclamo e non essendo stata prodotta la fattura dimostrativa del pregiudizio che parte ricorrente assume aver sopportato.
Ai sensi delle Disposizioni sui sistemi di risoluzione stragiudiziale delle controversie in materia di operazioni e servizi bancari e finanziari gli importi indicati nel dispositivo della presente decisione sono arrotondati all’unità di euro (per eccesso se la prima cifra dopo la virgola è uguale o superiore a 5; per difetto, se la prima cifra dopo la virgola è inferiore a 5).
PER QUESTI MOTIVI
Il Collegio dispone che l’intermediario corrisponda alla parte ricorrente la somma di euro 7.951,00. Respinge nel resto.
Dispone, inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di Euro 200,00 (duecento/00) quale contributo alle spese della procedura e alla parte ricorrente quella di Euro 20,00 (venti/00) quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
