COLLEGIO DI PALERMO
composto dai signori:
(PA) MAUGERI Presidente
(PA) MIRONE Membro designato dalla Banca d'Italia
(PA) MODICA Membro designato dalla Banca d'Italia
(PA) DE LUCA Membro di designazione rappresentativa
degli intermediari
(PA) PLATANIA Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - LUIGI DE LUCA
Seduta del 05/11/2020
FATTO
Il ricorrente, titolare presso l’intermediario convenuto di un conto corrente con servizio di internet banking, al quale sono collegate una carta di debito e una carta di credito, dopo avere invano esperito reclamo, si è rivolto, con l’assistenza di un avvocato di sua fiducia, a questo Collegio per ottenere il rimborso della complessiva somma di euro 3.600,00, pari al controvalore di cinque operazioni dispositive, da egli disconosciute e contestate come fraudolentemente eseguite da terzi non autorizzati.
Ha, al riguardo, dedotto che il giorno 14/1/2020 la carta SIM della sua utenza telefonica smetteva di funzionare e che, il successivo 15/1/2020, egli, recatosi presso un centro di assistenza della compagnia telefonica, apprendeva che la propria scheda telefonica era stata bloccata e che, in sostituzione (ed a sua insaputa), con il medesimo numero telefonico, era stata attivata una nuova SIM che, pertanto, egli faceva prontamente bloccare.
Parte istante ha aggiunto che, nei giorni successivi, consultando gli estratti conto bancari, apprendeva che il 14/1/2020 erano state fraudolentemente eseguite tre operazioni (per un importo complessivo di euro 1.600,00) con la sua carta di debito e due operazioni (per un totale di euro 2.000,00) con la sua carta di credito, sicché egli provvedeva a denunciare immediatamente l’accaduto ai Carabinieri, a disconoscere le operazioni in questione e a chiedere alla propria Banca la restituzione delle prefate somme contestate.
Rilevato che aveva sempre diligentemente custodito le proprie credenziali di accesso al servizio di home banking e che, nella fattispecie, egli era rimasto del tutto incolpevolmente vittima della truffa denominata “Sim Swap Fraud”, il ricorrente ha richiamato, in punto di diritto, gli artt. 10 e 10 bis del D.Lgs. 11/2010, il Reg. UE 2016/679 ed alcune decisioni dei Collegi territoriali ABF e della Corte di Cassazione, sostenendo che, alla stregua del delineato quadro normativo e della menzionata giurisprudenza, egli ha diritto a non sopportare alcuna perdita in conseguenza delle succitate operazioni disconosciute e che, pertanto, l’intermediario deve essere ritenuto obbligato a rimborsargli la complessiva somma di euro 3.600,00, addebitatagli in relazione a siffatte operazioni.
Nelle sue controdeduzioni, l’intermediario si è opposto all’accoglimento dell’incoato ricorso, all’uopo deducendo ed eccependo:
- che al conto corrente intestato al ricorrente è collegato il servizio home banking, che gli consente di effettuare operazioni di inquiry e dispositive, utilizzando il telefono o internet;
- che per l’utilizzo di tali servizi è previsto un sistema di autenticazione forte, stante che per l’accesso sia al sito della Banca che alla relativa APP è necessario, in fase di login, inserire l’identificativo cliente e il PIN, mentre per effettuare operazioni dispositive occorre, altresì, reinserire il PIN nonché una terza credenziale OTP generata dalla specifica funzionalità dell’APP stessa (c.d. mobile token);
- che, in presenza di tale sistema di autenticazione forte a più fattori, conforme ai criteri previsti dalla PSD2, si deve presumere che ci sia stata una negligenza dell’utente nella custodia delle credenziali necessarie per utilizzare i servizi di pagamento;
- che, sulla base della ricostruzione dei fatti, descritta dallo stesso ricorrente nelle denunce allegate al ricorso, parrebbe che costui era rimasto vittima di una truffa denominata “SIM swapping”, con cui si trasferisce da una SIM card ad un’altra il numero di telefono della malcapitata vittima;
- che truffe di tal genere si verificano sempre per la negligenza dell’utente o per la connivenza degli addetti agli store telefonici, che accordano il cambio utenza a terze persone senza identificarle o accontentandosi di documentazioni parziale;
- che il frodatore, che si appropria del numero di telefono, deve essere a conoscenza del numero di cellulare associato con il nominativo del cliente, carpito precedentemente mediante phishing, dei dati anagrafici dell’utente per poter cambiare la SIM e dei codici statici per scaricare l’APP sul proprio device; solo acquisiti siffatti dati, infatti, il frodatore, attivata la nuova SIM sul proprio device, potrà scaricare la APP della Banca e operare direttamente dal proprio telefono sul quale riceverà pure gli SMS alert;
- che, peraltro, qualora il ricorrente avesse mantenuto acceso e collegato al wi-fi il proprio telefono avrebbe ricevuto ugualmente le notifiche da parte dell’APP;
- che, nel caso di specie, le operazioni contestate sono tutte state eseguite tramite l’abbinamento delle carte all’APP e che le carte, così digitalizzate, sono state poste a contatto con il POS per effettuare i pagamenti;
- che, sulla scorta dei superiori rilievi, era, pertanto, da ritenersi che sussisteva una responsabilità del cliente per non aver custodito le proprie credenziali e per aver ignorato i messaggi push inviati sul suo cellulare.
Con repliche del 5/8/2020, parte istante ha contestato le avverse controdeduzioni, rappresentando che non risultava in alcun modo provata dall’Istituto di credito la colpa grave di egli ricorrente, il quale era semplicemente rimasto vittima di una truffa perpetrata attraverso complesse modalità telematiche.
Ha aggiunto che, nel caso di specie, la Banca non aveva adottato le migliori soluzioni disponibili sul mercato per la sicurezza delle operazioni di internet banking, a tutela dei
esclusivamente sulla comunicazione inviata tramite sms sul numero di cellulare del cliente e, perciò, non idonea ad impedire truffe, come quelle di specie, caratterizzate dall’acquisizione fraudolenta da parte di terzi del numero di cellulare.
Rilevato, infine, che non è esigibile che il correntista disponga di un collegamento wi-fi o di conoscenze informatiche di alto livello, parte istante ha insistito per l’accoglimento della propria domanda di rimborso.
Con successiva memoria del 14/9/2020, l’intermediario ha controreplicato che il numero identificativo e il Pin, necessari per l’installazione dell’APP, sono conosciuti dal solo intestatario degli strumenti di pagamento, di guisa che, nella fattispecie in disamina, doveva reputarsi che il ricorrente non li aveva custoditi diligentemente.
Quanto poi alla mancata lettura delle notifiche inviate al ricorrente, l’intermediario ha dedotto che la stessa era imputabile alla negligenza di costui.
Parte resistente ha, perciò, insistito per il rigetto dell’incoato ricorso.
DIRITTO
Le operazioni contestate, oggetto di vertenza, per le quali il ricorrente afferma l’utilizzo fraudolento dei propri strumenti di pagamento, sono ben cinque.
Nello specifico, dalla documentazione prodotta dalle parti, risulta che trattasi:
- di un pagamento POS, effettuato dalla carta di debito n. ***909 del ricorrente, alle ore 20:35 del 14/1/2020 per un importo di euro 960,00;
- di un secondo pagamento POS, effettuato anch’esso dalla predetta carta di debito del ricorrente, alle ore 20:37 del 14/1/2020 per un importo di euro 550,00;
- di un terzo pagamento POS, eseguito sempre dalla sopra indicata carta di debito del ricorrente, alle ore 20:38 del 14/1/2020 per un importo di euro 960,00;
- di un pagamento POS, effettuato dalla carta di credito n. ***654 del ricorrente, alle ore 20:41 del 14/1/2020 per un importo di euro 1.500,00;
- di un secondo pagamento POS, eseguito pure esso dalla predetta carta di credito del ricorrente, alle ore 20:42 del 14/1/2020 per un importo di euro 500,00.
In considerazione dell’epoca di esecuzione delle suddette cinque operazioni dispositive, non vi è dubbio che la vicenda in esame rientri nell’ambito di applicazione del D.Lgs 27/1/2010 n. 11, come modificato dal D.Lgs. 15/12/2017 di recepimento della Direttiva (UE) 2015/2366 (c.d. PSD2) relativa ai servizi di pagamento nel mercato interno, nonché di adeguamento alle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
Deve all’uopo premettersi che il sopra indicato D.Lgs. 11/2010 istituisce un regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori, i quali sono tenuti al semplice disconoscimento delle operazioni di pagamento addebitate, mentre è onere del prestatore di servizi di pagamento, provare, ai sensi dell’art. 10, comma 1, della cennata normativa, che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
La ratio di tale scelta legislativa è, come più volte chiarito dal Collegio di Coordinamento ABF (cfr. per tutte decisioni n. 3947/2014 e n. 3498/2012), quella di allocare sul fornitore dei servizi di pagamento il rischio d’impresa, essendo quest’ultimo in grado di parcellizzare, distribuendolo sulla moltitudine dei clienti, il rischio dell’impiego fraudolento di carte di credito o di strumenti di pagamento.
E’, peraltro, da precisarsi che il vigente art. 10 del D.Lg.s n. 11/2010 prevede, altresì, al comma 2 che “Quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per se’ necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. E’ onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente”.
Sul punto è stato chiarito dal Collegio di Coordinamento ABF con decisione n. 22745 del 2/10/2019, che, per sottrarsi all’obbligo di rimborso delle operazioni di pagamento disconosciute dal cliente, l’onere probatorio previsto nei commi 1 e 2 dell’art. 10 del D.Lgs.
11/2010 deve essere assolto dal Prestatore di servizi di pagamento con riguardo ad ambedue i profili evidenziati da siffatte disposizioni normative (autenticazione e formale regolarità dell’operazione, nonché colpa grave dell’utente), da ritenersi necessari e complementari.
Più specificatamente, con la succitata sua decisione n. 22745/2019, il Collegio di Coordinamento ABF ha enunciato il seguente principio interpretativo: “la previsione di cui all’art. 10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’”autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”
Ciò opportunamente premesso e chiarito, occorre rilevare che, nel caso di specie, non è specificatamente contestato dall’intermediario che il ricorrente sia rimasto vittima della truffa denominata “sim swap fraud”.
Quest’ultima è una frode informatica, realizzata attraverso successivi passaggi. In sintesi:
(i) una volta individuata la vittima, i truffatori procedono all’acquisizione dei suoi dati e delle credenziali di home banking tramite tecniche di hacking o di social engineering; (ii) successivamente, anche attraverso l’utilizzo di documenti falsificati ad hoc, sostituiscono la sim card della vittima richiedendo all’operatore telefonico una nuova sim con la scusa di averla persa o danneggiata; (iii) attraverso lo stesso numero telefonico, ottengono dalla banca della vittima le autorizzazioni per operare con gli strumenti di pagamento del malcapitato.
Orbene, è convincimento di questo Collegio che tale meccanismo frodatorio debba reputarsi particolarmente sofisticato e sconosciuto alla platea degli utenti; circostanze queste che escludono di per sé stessi ogni profilo di responsabilità in capo agli utilizzatori (cfr. in tal senso decisioni n. 6573 dell’8/4/2020 e n. 21668 del 19/9/2019 di questo Collegio territoriale).
Oltretutto, nel caso di specie, l’intermediario, pur assumendo che il numero di cellulare associato con il nominativo del cliente sarebbe stato carpito precedentemente dal truffatore mediante phishing, e che, dunque, all’origine della truffa vi sarebbe stata una negligenza del ricorrente, non fornisce alcuna evidenza della detta circostanza.
Né appaiono condivisibili gli ulteriori profili di colpa dell’utente, asseritamente dedotti dall’intermediario.
Non è, infatti, pretendibile che un utente debba avere sempre disponibile una rete wi-fi, alla quale collegare il proprio telefono cellulare, sprovvisto di SIM attiva, onde potere, comunque, controllare eventuali notifiche push ricevute.
Pertanto, accertato per le suesposte considerazioni, il mancato assolvimento da parte dell’intermediario dell’onere probatorio (al quale è pure tenuto ai sensi dell’art. 10, comma 2, del D.Lgs. 11/2010) di una colpa grave dell’utente nella peculiare truffa perpetrata in suo danno, deve dichiararsi che l’intermediario è tenuto a restituire al ricorrente l’importo complessivo di euro 3.600,00, pari alla somma delle cinque operazioni disconosciute, oggetto di vertenza.
PER QUESTI MOTIVI
In accoglimento del ricorso, il Collegio dichiara l’intermediario tenuto alla restituzione dell’importo complessivo di € 3.600,00.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
