COLLEGIO DI MILANO. Membro designato dalla Banca d'italia. Membro di designazione rappresentativa degli intermediari.

COLLEGIO DI MILANO composto dai signori:

(MI) LAPERTOSA Presidente

(MI) BARILLA' Membro designato dalla Banca d'Italia

(MI) ACHILLE Membro designato dalla Banca d'Italia

(MI) BENAZZO Membro di designazione rappresentativa

degli intermediari

(MI) BARGELLI Membro di designazione rappresentativa

dei clienti

Relatore BENAZZO PAOLO

Seduta del 20/10/2020

FATTO

La Cliente rappresenta di essere intestataria di un rapporto di conto corrente presso l’intermediario e di aver subito la truffa cd “swap sim”.

In proposito afferma che:

x il 14/01/2020 si accorgeva che il suo cellulare non aveva segnale di ricezione, contattava quindi il proprio gestore telefonico che provava a resettare la SIM senza successo;

x nello stesso giorno veniva contatta via mail dalla banca che la invitava a prendere contatti urgenti con la filiale a un numero di telefono indicato;

x in serata apprendeva che dal suo conto erano stati effettuati due bonifici sospetti il primo di € 7.000,00 e il secondo di € 10.000,00, probabilmente per clonazione della scheda SIM, posto che il proprio numero di cellulare risultava non raggiungibile;

x in data 15/01/2020 il proprio gestore telefonico la informava che, a fronte di una richiesta di terzi fatta in una diversa regione, la scheda SIM era stata disattivata e sostituita con altra Sim con lo stesso numero;

x con tale sistema i malfattori erano riusciti ad aggirare il sistema di sicurezza della banca entrando illegittimamente nella propria home banking e disponendo

x nella mattina del 15/01/2020 sporgeva denuncia e il giorno successivo presentava alla banca il modulo di disconoscimento delle operazioni non autorizzate;

x inizialmente l’intermediario riconosceva le somme per poi stornarle in data 14/02/2020;

x il successivo 17/02/2020 la banca riaccreditava solo l’importo di € 7.000,00;

x il 21/02/2020 avanzava infruttuosamente reclamo al fine di ottenere il rimborso di tutte le somme sottratte.

Con l’odierno ricorso contesta:

x di non aver avuto alcuna evidenza della frode operata a suo danno posto che la SIM in suo possesso era stata disabilitata;

x che la banca non si era tempestivamente attivata per provvedere all’immediato blocco dei bonifici;

x l’assoluta inadeguatezza del sistema informatico utilizzato dalla Banca per l’autorizzazione delle operazioni bancarie;

x non era accettabile, ai sensi della normativa in materia e delle decisioni ABF, l’assenza di responsabilità da parte dell’intermediario cui incombeva l’onere della prova.

Chiede quindi il rimborso di euro 10.000, oltre commissioni, interessi legali, spese del ricorso e spese legali (da liquidarsi a cura del Collegio).

Con le controdeduzioni, l’intermediario rappresenta:

x di aver tempestivamente tentato, tramite la procedura interbancaria recall, il recupero delle somme disconosciute, bloccando solo il bonifico di € 7.000,00, importo poi restituito alla cliente;

x dalle verifiche effettuate era emerso che la cliente era stata vittima di una truffa telematica, usualmente denominata phishing che esulava quindi dalla responsabilità della banca, in quanto resa possibile dai comportamenti della cliente stessa;

x che in data 07/01/2020 alle ore 17 :37 si realizzava, “da un indirizzo IP che non risulta utilizzato dalla cliente in precedenti circostanze”), un accesso con le credenziali della cliente e con il corretto inserimento e validazione del Pin e OTP (O-Key Sms); alle 17:43 venivano rimpostate le domande segrete di sicurezza (valide per autorizzare le disposizioni sospette al posto dell’OTP); tale operazione era validata dall’inserimento del codice OTS anch’esso trasmesso con SMS sul cellulare della cliente;

x che il 14/01/2020:

o alle 11:56 veniva effettuato, da un indirizzo IP non utilizzato in precedenza, un accesso all’internet banking della cliente con corretto inserimento di PIN e OTP inviato al numero mobile della cliente stessa (e O-Key SMS);

o alle 12:15 veniva inserito un bonifico europeo di € 13.00,00 a favore di un terzo per il quale veniva inviato sul cellulare della cliente O-Key SMS e poiché, l’’operazione era valutata sospetta dal sistema antifrode, in aggiunta all’OTP veniva richiesto l’inserimento di due delle domande segrete; l’operazione non andava a buon fine;

o alle 12:26 veniva inserito un bonifico istantaneo di € 10.000,00 per il quale veniva richiesto, come nel precedente, l’inserimento di OTP e proposte due domande segrete e l’operazione andava a buon fine:

o alle 12:31 veniva inserito il bonifico di 7.000,00, l’OTP era validato e l’operazione si concludeva positivamente.

x per entrambi i bonifici risultavano quindi inseriti i codici OTP inviati con SMS al cellulare certificato della cliente e ciò dimostrava che la stessa era venuta quindi a conoscenza delle due operazioni prima della loro esecuzione;

x durante l’attacco la cliente aveva quindi indebitamente fornito al truffatore tutte le credenziali (codici di accesso necessari per il login: codice titolare, PIN e OTP;

codici OTP e risposte segrete per autorizzare le operazioni);

x l’affermazione della cliente di essere rimasta vittima di frode “swap sim” era sprovvista di qualsiasi elemento probatorio, posto che non risultava prodotta documentazione attestante l’intervento del gestore telefonico, né la banca poteva sapere, in sede di invio degli SMS, della disattivazione della SIM.

Chiede quindi, in via principale, di dichiarare inaccoglibile la richiesta restitutoria e, in via subordinata, di definire la ripartizione fra le parti del danno ex art. 1227 commi 1 e 2, c.c.

In sede di repliche, la cliente contesta:

- di non essere stata in alcun modo vittima di phishing e di non aver mai fornito i suoi dati a terzi nell’ambito di piattaforme informatiche non direttamente riconducibili alla banca;

- come ravvisabile dai documenti prodotti da controparte il 7 gennaio 2020:

* tra le 17:30 e le 18:30 la cliente effettuava tre accessi alla propria home banking tutti dal Computer di casa (IP 94[***]114);

* anche l’accesso delle 17:37 veniva debitamente autorizzato, ma come indicato di log, l’accesso veniva effettuato da un indirizzo IP mai utilizzato in precedenza (IP 197[***]

45.210), ciò dimostrava che il quel momento un terzo soggetto si era inserito all’interno della sessione carpendo le credenziali di accesso, il numero di cellulare e le risposte alle domande segrete;

* durante la sessione l’home banking chiedeva alla cliente, come già accaduto, di provvedere al cambio delle risposte alle domande segrete di sicurezza, che la cliente completava con inserimento del codice O-Key SMS, dopo di che disconnetteva la sessione;

* alle 18:02 tentava un nuovo accesso ma la sezione si interrompeva e alle 18:05 effettuava l’ultimo accesso;

* a seguito della duplicazione della SIM i truffatori sempre con l’utilizzo di IP mai utilizzato (51[***]101) agivano indisturbati svuotando il conto;

- risultava provato che il 14/01/2020 terzi avevano fatto richiesta di un duplicato della SIM intestata alla cliente e che il giorno successivo la cliente ne aveva chiesto ulteriore sostituzione:

- la banca non aveva adottato le necessarie cautele a tutela della riservatezza e della sicurezza dei dati della cliente, né bloccato operazioni di elevato importo;

- la ricostruzione avversaria, volta ad identificare una ipotesi di colpa grave della cliente, era priva di riscontro probatorio, né risultavano conferenti le decisioni richiamate nelle controdeduzioni.

DIRITTO

La questione sottoposta al Collegio concerne la rimborsabilità o meno in favore della ricorrente delle somme fraudolentemente sottratte mediante la realizzazione di un bonifico online.

Innanzitutto, va rilevata l’applicabilità alla controversia odierna della disciplina, di matrice europea, contenuta nel D. Lgs. 11/2010, come modificato dal D. Lgs. 218/2017, in materia di strumenti e servizi di pagamento nel mercato interno.

Pertanto, la sussistenza delle responsabilità che le parti della controversia odierna vicendevolmente si addebitano dovrà essere valutata in base al disposto dell’art. 12 di tale decreto, che, essenzialmente, pone a carico esclusivo dell’intermediario «la perdita derivante dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento», dedotta una franchigia massima di € 50, a meno che non sia dimostrato che «l’utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento».

In tema di ripartizione dell’onere probatorio, peraltro, si è di recente espresso il Collegio di Coordinamento (decisione n. 22745/2019), enunciando il principio interpretativo secondo cui “la produzione documentale volta a provare l’autenticazione e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”. Tuttavia, il Collegio ha al contempo evidenziato che, anche “nel caso in cui l’intermediario si sia costituito nel procedimento, fornendo prova dell’autenticazione e della regolarità formale dell’operazione, ma nulla abbia dedotto in merito alla colpa grave dell’utente, il Collegio [può] comunque affermarne l’accertamento se palesemente emergente dalle dichiarazioni rese dal ricorrente in sede di denuncia all’autorità giudiziaria e/o nel ricorso”.

Venendo ora al caso di specie, dalla documentazione in atti si evince innanzitutto che il numero di telefono coincide con quello indicato dalla ricorrente nella denuncia e asseritamente oggetto di cambio di SIM da parte di terzi, nonché con il numero mobile cui risultano inviati gli OTP e OTS autorizzativi.

Viceversa, l’intermediario afferma che la cliente è stata vittima di phishing e che il truffatore ha avuto a disposizione i codici di accesso (codice titolare e codice PIN), necessari al login e almeno 6 codici OTP e 1 OTS inviati con SMS al numero mobile della cliente, facendo riferimento alle tracciature informatiche prodotte in atti.

L’intermediario documenta l’utilizzo di un sistema di sicurezza a più fattori basato sulla combinazione di fattori statici e dinamici. Per effettuare le operazioni risulterebbe necessaria la combinazione del codice titolare, del codice pin e del codice mono uso O- key SMS necessario per l’ingresso al portale e per autorizzare la singola operazione e di un ulteriore codice OTS laddove vi sia il sospetto che l’operazione che si è in procinto di compiere possa essere fraudolenta (nel caso di specie risposta a due domande segrete).

Con riferimento ai livelli di sicurezza adottati, l’intermediario allega anche il documento

“Analisi Disconoscimento operazioni Bancarie”.

Quanto ai device utilizzati, in sede di repliche parte ricorrente afferma di aver effettuato in data 07/01/2020 tre accessi al proprio home banking rispettivamente alle ore 17:37, 18:02 e 18:05, tutti con uso del proprio PC di casa, con l’inserimento PIN e OTP ricevuto via SMS e precisa di aver cambiato, durante la sessione delle 17:37, su richiesta del sistema, le risposte alla domande segrete necessarie per l’esecuzione delle “operazioni sospette”

rilevate in automatico dalla procedura, con inserimento di codice OTS ricevuto via SMS.

L’intermediario produce documento denominato “Tracciature” contenente il foglio “accessi”

da cui risulta, come affermato dallo stesso intermediario, l’utilizzo di un IP diverso rispetto a quello utilizzato dalla cliente in precedenza, sia nel giorno 07/01/2020, sia il giorno dell’operazione contestata.

Dunque, il 14/01/2020 alle 11.56 si rileva un accesso effettuato con le credenziali della cliente dall’IP 5.170.121.10, che non appare utilizzato dalla cliente in precedenti circostanze e alle 12.26 è tracciato l’inserimento di un bonifico istantaneo di € 10.000,00.

Risulta ancora essere stato inviato al numero mobile della cliente il messaggio SMS “O- Key SMS per autorizzare un bonifico istantaneo recante il codice OTP necessario per autorizzare il bonifico; invero, l’operazione è valutata sospetta dal sistema antifrode e, pertanto, in aggiunta alla richiesta dell’OTP, al fine di evitare l’invio di una seconda credenziale via SMS, il sistema propone due delle domande segrete preimpostate. L’OTP e le risposte inserite sono corrette e il bonifico è inviato irrevocabilmente in esecuzione.

Peraltro, si badi che per stessa ammissione dell’intermediario il bonifico di € 10.000,00 qui in controversia è preceduto da ulteriori due bonifici non andati a buon fine perché “bloccati dal sistema antifrode” ovverosia:

- alle 12.08 l’inserimento di un bonifico istantaneo asseritamente di € 15.000,00;

- alle 12.15 l’inserimento di un bonifico europeo di € 13.000,00.

Detti bonifici non si concludevano il primo perché bloccato dal sistema, il secondo in quanto non venivano inserite le risposte alle domande segrete richieste dal sistema antifrode per le operazioni individuate come sospette.

L’intermediario non chiarisce il mancato blocco sia del secondo bonifico, sia del terzo (andato a buon fine) comunque individuati come “sospetti” dal sistema.

Inoltre, si ricorda che al bonifico di € 10.000,00 seguiva altro bonifico di € 7.000,00 eseguito sempre con utilizzo dello stesso IP delle precedenti operazioni tuttavia “non valutato sospetto dal sistema antifrode” e rimborsato integralmente a parte ricorrente.

Quanto alla condotta della ricorrente, si osserva che la stessa sostiene di essere stata vittima di Sim Swap o, in sede di repliche, di altra truffa sofisticata e, in proposito, asserisce (producendo la relativa documentazione) che il 14/01/2020 il suo cellulare non aveva più segnale e che la stessa veniva riattivata il 15/01/2020, laddove le operazioni contestate sono state effettuate il 14/01/2020.

Tanto ricostruito, si ricorda che, in un caso analogo nei confronti dello stesso intermediario, il Collegio di Milano, rilevato che la banca aveva fornito prova di autenticazione, corretta registrazione e contabilizzazione delle operazioni di pagamento e di aver predisposto un livello di sicurezza rafforzato a più fattori, ha affermato tuttavia la lacuna dei sistemi adottati dall’intermediario oltre che la sofisticatezza della truffa cd

“SIM swap fraud: «Da ultimo, non irrilevanti sono anche gli importi prelevati, che hanno

“svuotato” il conto, e l’IBAN del beneficiario che corrisponde ad un conto estero: tutti questi elementi anomali, rafforzati dall’invio anche del codice OTS, avrebbero dovuto indurre l’intermediario a non eseguire le operazioni.

Ad evidenziare un problema nel sistema dell’intermediario, depone anche il tipo di frode attuata nel caso in esame. Dalla pluralità di elementi addotti dalle parti risulta che la ricorrente è stata vittima di una “SIM swap fraud”, diffusasi in tempi relativamente recenti, al fine di vanificare i presidi di sicurezza basati su autenticazione con OTP inviato tramite sms. […]

Anche nel caso in esame la frode ha avuto luogo tramite un intervento sul numero di cellulare, sul quale si fonda il sistema di autenticazione delle operazioni tramite home banking. Posto che la OTP è un sistema di controllo dell’identità dinamico e monouso, essa consiste generalmente in un codice alfanumerico - generato da un algoritmo - trasmesso all’utente su un canale fuori banda (nella specie, messaggistica sms), per cui è sempre necessaria, ai fini della sua utilizzazione, una tecnologia supplementare (ITC mobile ecc.). Dalla descritta logica di autenticazione, consegue che l’operazione di modifica dell’utenza telefonica sulla quale ricevere la OTP o la semplice possibilità di

dinamica della propria funzione protettiva di verificare la genuinità dell’operazione, e dunque costituisce di per sé un’operazione o una situazione anomala. L’inadeguatezza del sistema appare anche da un altro punto di vista. La logica della cosiddetta strong customer authentication è quella di consentire l’accesso al sistema del soggetto che effettua la transazione tramite l’inserimento non di uno, ma di almeno due elementi identificativi (password e OTP come nel presente caso), per aumentare la sicurezza del servizio di pagamento. Ora, dalla narrativa dei fatti, emerge che, in sostanza, la violazione di una singola misura di sicurezza ha compromesso anche l’affidabilità del sistema, quando, al contrario, la piena operatività del sistema di autenticazione multifattore si fonda sull’indipendenza tra le singole misure di sicurezza (cfr. Collegio di Milano, n. 1066/2019). L’esistenza di una relazione funzionale tra di esse consente dunque di eludere il doppio controllo delle credenziali e rendere, nei fatti, il sistema di autenticazione (non più forte ma) debole. La portata dirimente del suddetto requisito di indipendenza tra misure di sicurezza è del resto riconosciuta anche dalla Direttiva 2015/2366/UE (PSD2), la quale lo prescrive come caratteristica obbligatoria (art. 4, par.

1, lett. 30) che deve improntare il rapporto tra singole misure di sicurezza di un sistema di autenticazione forte (ora da predisporre obbligatoriamente ex art. 97, par. 1).

Proprio alla luce di quanto ora esposto è evidente, per un verso, la lacuna dei sistemi adottati dall’intermediario nel caso di specie e, per l’altro, la sofisticatezza della truffa di cui è caduta vittima la ricorrente. Pertanto, a quest’ultima non risulta imputabile - e comunque non provata - alcuna condotta gravemente colposa, essendo invece il sistema ad avere in consentito la realizzazione della truffa, oltre al comportamento dell’intermediario che non è adeguatamente intervenuto in presenza dei sopra menzionati indici di anomalia che sono stati rilevati come dimostra l’invio del codice OTS.» (Collegio di Milano, decisione n. 9337/20 del 19/05/2020).

Inoltre, si ricorda che “La fattispecie in esame, invero, concerne un utilizzo fraudolento di strumenti elettronici di pagamento, associato al furto di identità telefonica (cd. “sim swap fraud”) il quale […] consente di fatto un aggiramento del sistema di autenticazione a doppio fattore, laddove questo sia attuato mediante invio della cd. “one time password” (OTP) tramite sms: in queste ipotesi, infatti, il codice OTP viene ricevuto da chi ha fraudolentemente carpito l’identità telefonica, ottenendo una nuova SIM, attiva e funzionante sino a quando l’effettivo titolare non se ne accorge e non procede al blocco della stessa.

Si deve innanzitutto osservare, contrariamente a quanto argomentato dall’intermediario, che il non funzionamento dell’utenza telefonica, l’avvenuta attivazione di una SIM da parte di un altro soggetto e l’esecuzione di un’operazione tramite utilizzo fraudolento dello strumento di pagamento sono eventi di non immediata associazione da parte dell’utente al fine di percepire la truffa in atto, e fra i quali può intercorrere un lasso di tempo sufficiente affinché il malfattore riesca a compiere la propria azione criminale.

[…] I codici OTP, necessari per il perfezionamento delle operazioni, sono stati carpiti attraverso il già descritto furto di identità telefonica, tramite quindi una manovra fraudolenta nella quale non può certo ravvisarsi una colpa grave del cliente (cfr.

Collegio di Milano, decisione n. 7440/2019)” (Collegio di Milano, pronuncia n.

25551/2019).

Alla luce della superiore ricostruzione effettuata sulla base anche delle evidenze dello stesso intermediario, il Collegio rileva che non può ritenersi raggiunta, neppure in via presuntiva, la prova della condotta gravemente colposa da parte della ricorrente nell’utilizzo dello strumento di pagamento e, in particolare, nella custodia dei codici di accesso ex art. 7 d.lgs. 11/2010 dalla quale derivi un rigetto del ricorso (in senso conforme, Collegio di Torino, decisione n. 20307/2018; Collegio di Milano, decisione n.

18278/2018; Collegio di Napoli, decisione n. 10049/2018). Tuttavia, il Collegio ritiene sussistere i presupposti per l’applicazione della franchigia.

Per costante orientamento, si rigetta invece la domanda di rimborso delle spese legali.

PER QUESTI MOTIVI

Il Collegio accoglie parzialmente il ricorso e dispone che l’intermediario corrisponda alla parte ricorrente la somma di € 9.950,00, oltre interessi dal reclamo al saldo.

Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00, quale contributo alle spese della procedura, e alla parte ricorrente la somma di € 20,00, quale rimborso della somma versata alla presentazione del ricorso.

IL PRESIDENTE

firma 1