COLLEGIO DI NAPOLI
composto dai signori:
(NA) SANTAGATA DE CASTRO Presidente
(NA) FEDERICO Membro designato dalla Banca d'Italia
(NA) CAGGIANO Membro designato dalla Banca d'Italia
(NA) PORZIO Membro di designazione rappresentativa
degli intermediari
(NA) SBORDONE Membro di designazione rappresentativa
dei clienti
Relatore ILARIA AMELIA CAGGIANO
Seduta del 19/11/2020
FATTO
Il ricorrente, titolare di una carta prepagata dotata di IBAN rilasciata dall’intermediario resistente, riferisce i seguenti fatti:
- il giorno 30/05/2020 si è avveduto, tramite l’App dell’intermediario, che dalla propria disponibilità sulla carta prepagata era stata sottratta la somma di € 3.500,00 a seguito di un Bonifico SEPA effettuato a sua insaputa in data 28/05/2020;
- recatosi immediatamente presso la filiale di riferimento, ha esposto i fatti alla Direzione, ha provveduto a richiedere il blocco della carta e ha presentato la domanda di disconoscimento dell’operazione;
- nella medesima data (30 maggio) ha sporto denuncia all’Autorità.
Insoddisfatto dell’interlocuzione con l’intermediario resistente, che ha negato il rimborso della somma sottratta, il ricorrente, il quale agisce privo dell’assistenza di un difensore, deducendo i fatti come sopra esposti, chiede all’ABF il rimborso integrale dell’importo del bonifico, pari a € 3.500,00.
Costituitosi ritualmente, l’intermediario si oppone alle pretese del ricorrente, eccependo la legittima esecuzione e sostanziale regolarità dell’operazione disconosciuta, come desumibile dalle verifiche prodotte e, invece, la sua riconducibilità ad un’ipotesi di
“phishing” di tipo classico, in virtù del fatto che l’operazione contestata è stata effettuata online da App tramite autorizzazione con il “codice [xxxx] ID”.
A tal fine, precisa che l’installazione dell’App e la configurazione dispositiva dello strumento di pagamento ha richiesto la conoscenza delle credenziali di accesso ai servizi
di internet banking, dei dati della carta utilizzata per effettuare i pagamenti on line, e della password dinamica “usa e getta” inviata sul numero di cellulare rilasciato dal cliente all’intermediario, necessaria per impostare il “codice xxxxID” per autorizzare le successive disposizioni di pagamento effettuate da App.
Desume, pertanto, che la ricorrente abbia comunicato al frodatore tutti i codici sopra specificati, in particolare la password dinamica OTP, causando di fatto la violazione del sistema di autenticazione informatica c.d. “a due fattori”, e che la responsabilità della frode è dunque imputabile esclusivamente al cliente, per comportamento gravemente colposo.
Pertanto, in ragione della regolarità, corretta autenticazione e autorizzazione della transazione, l’intermediario respinge ogni responsabilità in merito alla vicenda oggetto di contesa.
In via subordinata, chiede che venga decurtata la franchigia prevista per legge.
Il ricorrente replica alle affermazioni dell’intermediario, negando di avere rivelato le proprie credenziali di accesso o di avere prestato il proprio smartphone e/o la propria carta a terze persone. Inoltre, osserva che il sistema approntato dall’intermediario per l’esecuzione di bonifici tramite App non prevede verifiche tali da accertare la riconducibiltà dell’operazione all’effettivo titolare, in ciò rivelando una scarsa sicurezza e vulnerabilità alle frodi. Pertanto, insiste nell’accoglimento dalla domanda.
DIRITTO
Oggetto del ricorso è la richiesta di rimborso della somma di € 3.500,00 corrispondente all’importo di un’operazione disconosciuta eseguita attraverso un’App correlata ad una carta prepagata munita di IBAN.
L’operazione contestata è stata posta in essere sotto il vigore del d.lgs. 27.01.2010, n. 11, di attuazione della direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno (c.d. PSD), come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d.
PSD 2), che è la normativa speciale regolante la materia, la quale va a integrare le norme generali in tema di adempimento delle obbligazioni e responsabilità, di diligenza del mandatario (art. 1710 c.c.) e della banca nell’ “esecuzione degli incarichi” (art. 1852 c.c.).
La disciplina speciale, che non ha subito modifiche in punto di responsabilità e oneri probatori per effetto della novella del 2018, regola gli obblighi e le responsabilità gravanti sul prestatore e sull’utente dei servizi di pagamento in relazione anche agli strumenti di pagamento, nel seguente modo:
a) sul prestatore incombono gli obblighi, riconducibili all’organizzazione dell’impresa (bancaria), di predisporre misure e sistemi di sicurezza che non consentano l’accesso da parte di terzi ai dispositivi personali (strumenti di pagamento) dell’utente, che assicurino la disponibilità di mezzi per consentire a quest’ultimo di comunicare senza indugio evenienze di usi non autorizzati o di sottrazione; egli è tenuto altresì ad impedire l’uso degli strumenti di pagamento successivamente a tali comunicazioni (art. 8). Il prestatore è responsabile, in via aggravata, per l’inadempimento di tali obblighi (tra cui viene annoverata la mancata predisposizione del servizio di sms alert, Coll. Coord., n. 24366/2019) e per la mancata predisposizione di sistemi di autenticazione forte (che è una delle più significative novità introdotte dalla suddetta normativa). In presenza di tali inadempimenti, causa espressa di esonero dalla responsabilità esclusiva del prestatore è costituita dal concorrente comportamento fraudolento dell’utente (art. 8, co. 2, 2bis, in correlazione con art. 12, co. 1 e 2);
b) all’utente s’impone l’adozione di misure idonee di protezione delle credenziali e si ribadisce l’utilizzo dello strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso, e la tempestiva denuncia di furto, smarrimento, distruzione o altro uso non autorizzato dello strumento (art. 7).
L’utente è responsabile nei casi di comportamento fraudolento ovvero di doloso o gravemente colposo inadempimento degli obblighi che l’art. 7 d.lgs. n. 11/2010 (art. 12, co.
4). Laddove non vi sia una responsabilità acclarata dell’utente, e non ricorra nessuna delle fattispecie sopra richiamate, l’utente sopporta le conseguenze dell’uso fraudolento, o comunque non autorizzato, dello strumento di pagamento, per le operazioni anteriori alla sua comunicazione all’intermediario, entro i limiti, eventualmente stabiliti dall’intermediario, di una franchigia non superiore a 50 euro (art. 12, commi 1 e 3, d. lgs. n. 11/2010). Tale franchigia non si applica se l’utente ha tempestivamente comunicato la perdita di possesso dello strumento di pagamento (Coll. Coord., n. 24366/2019).
Va, infine, ricordato che per orientamento costante di quest’Arbitro, nell’accertamento delle sfere di responsabilità, in caso di inadempimenti a carico di entrambe le parti, trova applicazione la disciplina generale sulle obbligazioni e l’ammontare del risarcimento dovuto per i danni da utilizzo non autorizzato può risultare comunque limitato in presenza di un comportamento colposo dell’utente, ex art. 1227 c.c. (in senso conforme, Coll. di Coordinamento, decisione n. 3498/12)
Il sistema di responsabilità appena descritto, ispirato al principio del rischio d’impresa e all’allocazione dei costi degli utilizzi non conformi degli strumenti di pagamento principalmente sull’impresa bancaria (recte sulla molteplicità degli utenti, “essendo quest’ultimo in grado di parcellizzare, distribuendolo sulla moltitudine dei clienti, il rischio dell’impiego fraudolento di carte di credito o di strumenti di pagamento”) (sul punto v. ABF, Collegio di Coordinamento, nn. 3947/2014 e 3498/2012) è assistito da uno speciale regime probatorio che, a fronte del mero disconoscimento delle operazioni di pagamento da parte dell’utente, onera il prestatore di:
i) provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata e che la sua patologia non si deve a malfunzionamenti delle procedure esecutive o ad altri inconvenienti del sistema (art. 10, d.lgs. 11/2010 e Coll. Coord. 3947/2014). Nell’ambito della prova della regolarità ed efficace predisposizione del sistema, per orientamento condiviso tra i Collegi e indirizzo del Collegio di Coordinamento, vi è la prova di aver fornito il servizio di sms alert o assimilabili da cui l’intermediario può essere esonerato solo dimostrando l’esplicito rifiuto dell’utente ad avvalersene. In ogni caso, gli effetti della mancata adozione del servizio di alert devono essere valutati alla stregua delle circostanze di fatto del caso concreto (Coll. Coord., n. 24366/2019);
ii) provare la riconducibilità dell’operazione all’utente che la disconosca ovvero la frode o l’inadempimento doloso o gravemente colposo dell’utente stesso, nonostante l’apparentemente corretta autenticazione dell’operazione di pagamento, (art. 8, co. 1, 2;
Collegio di Coordinamento, con decc. n. 22745 del 2019 e 3947/2014).
L’onere della prova della genuinità della transazione, ovvero della frode, dolo o colpa grave dell’utente ricade quindi sul prestatore del servizio e può ovviamente essere fornita pure per mezzo di presunzioni gravi, precise e concordanti, secondo quanto dispone l’art.
2729 c.c., di un comportamento fraudolento, doloso o gravemente colpevole dell’utente (ex multis cfr. Collegio Napoli, dec. 1091/2018). La stessa Corte di Cassazione, a tale specifico riguardo, ritiene che sia ammissibile la prova indiziaria della sussistenza della colpa grave (cfr. Cass. n. 654/2010).
Così riassunto il quadro normativo, con riguardo al merito delle vicende contestate va, innanzitutto, precisato che non è pacifico che l’operazione disconosciuta sia derivata da un caso di phishing realizzato ai danni del cliente. Sul punto, parte ricorrente non afferma
alcuna circostanza idonea a far presumere che si sia verificato un episodio di phishing, mentre l’intermediario sostiene tale ipotesi ma non fornisce prova o indizi dell’avvenuta comunicazione di dati rilevanti ai truffatori per mezzo della collaborazione con il cliente, essendo peraltro tale dato correlato alla prova della procedura utilizzata per l’operazione nonché alla sua regolarità, contabilizzazione, corretta autenticazione (v. infra).
In assenza di una prova di colpa grave ascrivibile ad un’ipotesi di phishing tradizionale, occorre verificare se l’intermediario abbia fornito elementi in sostegno della legittimità dell’operazione contestata e, quindi, in caso positivo, ulteriori indizi a fondamento di altro comportamento illegittimo (fraudolento, doloso o gravemente colposo) del ricorrente (v.
Collegio di Coordinamento, n. 22745/19).
L’intermediario, in proposito, produce documentazione relativa all’operazione contestata (evidenza contabile del bonifico, che risulta effettuato da App bancoposta, e il log dell’operazione correttamente autenticata al primo tentativo attraverso un Codice ID) che tuttavia non è idonea a certificare la perfetta regolarità dell’autenticazione, dato che non prova essa sola il sistema di sicurezza adoperato per l’operazione, né l’attivazione e l’installazione su altro device (quello dei malfattori) dell’applicazione necessaria ad eseguire l’operazione (cfr. ABF Collegio di Napoli, decc. nn. 12845/2020, richiamante l’orientamento ABF sul punto). In proposito, il resistente illustra – in via generale – il processo di installazione dell’applicazione, per la quale sarebbero necessari, oltre ai dati della carta e dei servizi di internet anche una password dinamica OTP, ma non è in atti tracciatura relativa all’autenticazione del messaggio SMS inviato all’utenza mobile del ricorrente, contenente la password OTP.
In ogni caso, e in senso dirimente, sempre con riferimento ai sistemi di sicurezza predisposti, l’intermediario non fornisce alcuna prova in ordine all’esistenza/attivazione di un servizio di SMS alert, né risulta che tale servizio sia stato offerto dall’intermediario e rifiutato dal cliente.
Costituendo il servizio di SMS alert una delle misure di sicurezza volte ad assicurare che l’utente adempia al proprio obbligo di eseguire una pronta comunicazione di usi non autorizzati o sopravvenuta perdita di disponibilità dello strumento di pagamento, la sua mancata attivazione costituisce, come ormai è opinione consolidata di questo Arbitro, una carenza organizzativa imputabile all’intermediario resistente il quale, non deve limitarsi a proporlo al cliente ma deve adottarlo in modo generalizzato, a prescindere dal fatto che il cliente ne abbia o meno richiesto l’attivazione. Pertanto, “l’intermediario può essere esonerato solo dimostrando l’esplicito rifiuto dell’utente ad avvalersene” (Coll. Coord., dec.
n. 24366/2019).
Nel caso di specie, inoltre, l’attivazione del servizio di alert non solo costituisce indice di inadeguata organizzazione dell’intermediario, ma assume efficienza causale nella produzione del danno, tenuto conto del fatto che, ove attivato, avrebbe consentito la revoca della disposizione in oggetto (bonifico SEPA) entro la giornata operativa (c.d. “cut off time”, art. 5, co. 4 e art. 17 d.lgs. 11/2010).
Di contro, non può dirsi raggiunta la prova della colpa grave (del dolo o della frode) dell’utente non essendo stati dedotti fatti o indizi di tali comportamenti.
Circa, infine, la richiesta di applicazione della franchigia, si rileva che l’art. 12, comma 3, d.lgs. n. 11/2010 ammette la possibilità che il cliente sopporti la perdita per un importo comunque non superiore a € 50,00 in relazione all’utilizzo indebito dello strumento di pagamento “conseguente al suo furto, smarrimento o appropriazione indebita”. In proposito, il Collegio di Coordinamento, con decisione n. 24366/2019 ha, tra l’altro, precisato che: “la previsione del limite di 50 euro della perdita imputabile all’utente viene fissato nel citato comma 3 in termini di eventualità (“il pagatore può sopportare”), lasciando presumere che l’applicazione della c.d “franchigia” non sia automatica, ma sia rimessa alla
valutazione dell’organo giudicante che potrebbe, ad esempio, valutare se sussista una previsione contrattuale in tal senso ovvero se nel giudizio il prestatore dei servizi di pagamento ne abbia fatto espressa richiesta”.
Nel caso di specie, il Collegio ritiene di non applicare la franchigia non ricorrendo l’ambito di applicazione oggettivo della norma, limitato alle perdite conseguenti il furto, smarrimento o appropriazione indebita dello strumento di pagamento, fatti non accertati nel presente procedimento e, in ogni caso, per carenza di previsione contrattuale.
Ne discende l’integrale accoglimento della richiesta formulata in sede di ricorso.
P.Q.M.
Il Collegio dichiara l’intermediario tenuto alla restituzione a parte ricorrente dell’intero importo dell’operazione disconosciuta, pari ad € 3.500,00.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
