COLLEGIO DI BOLOGNA
composto dai signori:
(BO) MARINARI Presidente
(BO) MARTINO Membro designato dalla Banca d'Italia
(BO) MUCCIARONE Membro designato dalla Banca d'Italia
(BO) MERUZZI Membro di designazione rappresentativa
degli intermediari
(BO) PETRAZZINI Membro di designazione rappresentativa
dei clienti
Relatore MARCO MARTINO
Seduta del 26/04/2022
FATTO
Parte ricorrente ha adito l’ABF rappresentando che il giorno 10/09/21 alle 19.00 riceveva un SMS dall’intermediario, che lo informava di aver effettuato una spesa di 251,78 euro, con l’avvertenza, se non fosse stato lui ad averla fatta, di cliccare sul link riportato nel messaggio; subito dopo veniva contattato da un operatore, qualificatosi come addetto dell’intermediario, il quale lo informava che erano stati fatti vari addebiti sospetti sul suo conto, per bloccare i quali avrebbe dovuto comunicargli dei codici che gli avrebbe di lì a poco inviato tramite sms.
Procedeva quindi a comunicare all’interlocutore i codici ricevuti, senza leggere il contenuto dei messaggi che li accompagnavano. Subito dopo, avvedutosi di essere stato vittima di una truffa, chiamava il numero verde per effettuare il blocco della carta di credito, apprendendo però che il servizio di blocco era sospeso per alcuni giorni, mentre un altro servizio analogo era attivo soltanto dal lunedì al venerdì dalle 8 alle 20; sono state effettuate operazioni di modifica della password e del PIN per gli acquisti on line.
L’intermediario, costituitosi ha così ricostruito la vicenda.
relativo ad un’operazione effettuata mediante utilizzo della carta prepagata, preceduta da un’operazione di ricarica della medesima carta per € 2.500,00 effettuata previo accesso al Digital Banking del cliente e addebito sul c/c n.
cointestato ai ricorrenti;
- per sua stessa amissione, il ricorrente è stato vittima di una truffa realizzata attraverso phishing, notoriamente consistente nell’invio di e-mail o SMS fraudolenti (nel qual caso si parla di smishing) che sembrano provenire dalla propria banca e mirano a carpire dati riservati per poter effettuare operazioni dispositive;
- a partire da questi primi messaggi il Cliente non ha posto alcun dubbio sulla autenticità e sulla provenienza degli stessi, essendo peraltro notorio che la Banca non indica mai nelle proprie comunicazioni, link a nume
- il messaggio è stato inviato sul cellulare della cointestataria, non associato al digital banking, infatti dalle stesse evidenze fornite da controparte si nota come l’SMS in questione non si sia inserito in alcuna chat riconducibile alla Banca;
- il Cliente ha invece fornito in una successiva telefonata, per sua stessa ammissione, al sedicente operatore della Banca, sia le informazioni necessarie per accedere al proprio servizio di Digital Banking, sia i codici autorizzativi delle operazioni ricevuti via SMS, pervenuti, giustamente, nella Chat riconducibile al numero telefonico abilitato all’uso del Digital Banking, dunque diversa da quella cui è pervenuto il messaggio civetta;
- le verifiche effettuate, che hanno portato al rifiuto della richiesta di rimborso, hanno evidenziato che sia l’accesso al Digital Banking (ovvero ai vari form proposti dal sito fake verso il quale è stato dirottato il cliente) sia l’utilizzo della carta, siano state rese possibili dall’aver digitato o comunicato al sedicente operatore della Banca tutti i codici di conferma ricevuti sulla propria utenza telefonica;
- dai log dell’accesso al Digital Banking si evince che l’accesso è avvenuto mediante la corretta autenticazione prevista dalla Banca in ottemperanza agli attuali protocolli di sicurezza e basata sui principi dell’autentificazione c.d. “forte”, risultando che in più occasioni sono state inviate notifiche al cellulare dell’utente, che ha rilasciato le autorizzazioni richieste;
- è dunque dimostrato, da parte della Banca, che nell’esecuzione delle operazioni contestate sono stati rispettati i parametri ed i requisiti della c.d. “autenticazione forte”, mediante la richiesta di codici di sicurezza a più fattori (statici e dinamici) nonché l’invio di specifici messaggi autorizzativi con codici OTP;
- il comportamento del ricorrente appare censurabile per aver fornito incautamente tutti i dati a seguito del ricevimento della telefonata, da parte del sedicente operatore della Banca;
- pertanto, oltre ad aver fornito la prova della corretta autenticazione, registrazione e contabilizzazione dell’operazione, sono stati evidenziati “gli elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”, come precisato dal Collegio di Coordinamento, decisione n.22745/19; e cioè un comportamento di inescusabile imprudenza o negligenza, con violazione non solo della diligenza media del buon padre di famiglia, ma anche del “quel grado minimo di diligenza generalmente osservato da tutti.
Il Ricorrente chiede dunque
L’intermediario chiede il rigetto della domanda.
DIRITTO
L’operazione contestata è stata posta in essere sotto il vigore del d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n.
1093/2010, e abroga la direttiva 2007/64/CE, e di adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
Essa consta di un acquisto on line mediante carta prepagata (€ 3.150,00), ed è preceduta da un’operazione di ricarica della carta stessa (€ 2.500,00) dal c/c in titolarità del ricorrente.
Da quanto riferito in denuncia (allegata al ricorso) e nel ricorso, dunque, risulta che la moglie del ricorrente abbia ricevuto un messaggio dall’intermediario, che, col pretesto di bloccare una spesa non autorizzata, la invitava a cliccare su un link; da qui la stessa veniva reindirizzata su un sito simile a quello del proprio home banking.
Non è specificata l’attività eventualmente compiuta dalla cointestataria su tale sito contraffatto (ad es. eventuale digitazione di credenziali riservate), posto che l’utente riferisce di essersi contemporaneamente collegato al proprio home banking da altro dispositivo.
Poco dopo, la moglie veniva contattata da un sedicente addetto dell’ufficio antifrode dell’intermediario, che, al dichiarato fine di bloccare la truffa in corso, la invitava a comunicargli i codici da lui ricevuti via sms; il richiedente chiedeva quindi di essere contattato sul proprio telefono, e, richiesto in tal senso, comunicava i codici pervenuti all’interlocutore senza prestare attenzione al contenuto dei messaggi. Solo una volta
Parte ricorrente fornisce evidenza del messaggio “esca” e dei messaggi recanti le otp:
L’SMS non è inserito in una precedente “chat” con l’intermediario e sulla quale erano pervenuti messaggi sicuramente genuini, non essendo preceduto né seguito da altri messaggi.
Dal punto di vista del contenuto, il messaggio esca presenta alcune sgrammaticature.
L’intermediario rappresenta che il cellulare della donna, su cui è pervenuto il messaggio esca, non è collegato al digital banking, come si può desumere dal fatto che non è preceduto da comunicazioni genuine realmente provenienti dalla banca (come spesso avviene negli episodi di spoofing); associato al digital banking sarebbe invece il cellulare del marito, su cui sono infatti pervenute le otp.
Si rileva, inoltre, che l’invio delle otp necessarie per autorizzare le operazioni dispositive (preventiva ricarica e acquisto on line) è preceduto dall’invio di altri messaggi, tra cui quello necessario per modificare il codice PIN.
Il ricorrente lamenta di non aver potuto procedere immediatamente al blocco della carta, a causa del non funzionamento del servizio; si rileva però che lo stesso riferisce di essersi attivato quando le operazioni erano già avvenute, e non risulta ve ne siano state altre che un blocco tempestivo avrebbe potuto scongiurare.
Ciò premesso, è onere dell’intermediario provare che l’operazione sia stata autenticata, correttamente registrata e contabilizzata (art. 10, dlgs. 11/2010). In mancanza della suddetta prova l’intermediario sopporta - in ogni caso - integralmente le conseguenze delle operazioni disconosciute (no franchigia).
L’intermediario con le controdeduzioni ha prodotto i log delle transazioni (doc. 5), da cui si evince la modalità di autenticazione utilizzata; in particolare, con riguardo alle preventive operazioni di accesso al digital banking, modifica del pin e ricarica della carta prepagata, dalla documentazione prodotta si registrano due accessi all’area riservata del cliente andati a buon fine (rispettivamente, alle ore 19.20 e 19.37) che, in base a quanto descritto dalla resistente e risultante dal file allegato, risultano autenticati mediante inserimento di password e di codice OTP inviato tramite sms.
In seguito, risultano eseguite la modifica del codice pin associato alla carta e la ricarica della stessa, anch’essa validate, per quanto risulta dal documento, tramite OTP.
L’intermediario evidenzia la coincidenza dell’orario dell’invio delle otp risultante dal file con l’orario di ricezione risultante dallo screenshot dei messaggi (cfr. sopra).
Quanto, invece, all’operazione di acquisto, la resistente deposita una schermata (doc. 5) da cui si desume che essa sia stata autenticata conformemente ai dettami della SCA.
Sono infatti stati utilizzati il codice pin (che il malfattore ha avuto cura di modificare prima di procedere all’operazione) e il codice OTP (ricevuto dal cliente alle ore 19.48 - cfr.
sopra).
L’Opinion EBA del 21.06.2019 (di cui l’Arbitro è solito fare puntuale applicazione per valutare la conformità delle operazioni ai canoni della SCA) annovera la password ed il codice pin tra gli elementi di conoscenza, e il codice OTP ricevuto via sms tra gli elementi di possesso.
Deve dunque ritenersi provata la SCA con riferimento all’operatività contestata.
In punto di colpa, il Collegio di Coordinamento, n. 22745/19 ha fissato il seguente principio: “la previsione di cui all’art. 10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’”autenticazione”
e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.
Al riguardo, l’intermediario sostiene che l’utente sia stato vittima di phishing tradizionale, ipotesi in cui l’ABF ravvisa ormai la colpa grave dell’utente che ne cade vittima e per la quale l’intermediario aveva avviato una campagna informativa nei confronti della clientela (doc. 6). In particolare, il carattere non sofisticato della truffa emergerebbe dal fatto che il messaggio non si è inserito in coda ad altri genuini provenienti dalla banca, essendo pervenuto su un’utenza non associata al digital banking (quella della cointestataria). Su tale utenza è poi pervenuta una telefonata, in cui il ricorrente ha comunicato i codici segreti ad un terzo estraneo.
Ritiene il Collegio che quanto sopra, unitamente alla presenza, nel messaggio, di alcuni errori grammaticali o sintattici e l’invito a selezionare un link in nessun modo riferibile all’intermediario, nonché il contenuto inequivoco dei messaggi ricevuti, imponga di ritenere la colpa grave dell’utilizzatore.
Il ricorso non può essere accolto.
PER QUESTI MOTIVI Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
