COLLEGIO DI BARI
composto dai signori:
(BA) TUCCI Presidente
(BA) CAMILLERI Membro designato dalla Banca d'Italia
(BA) RUSSO Membro designato dalla Banca d'Italia
(BA) STEFANELLI Membro di designazione rappresentativa
degli intermediari
(BA) LIPANI Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - TOMMASO VITO RUSSO
Seduta del 15/12/2020
FATTO
La ricorrente afferma di essere titolare di una carta di credito n. **505 a valere su conto corrente presso altro intermediario, non convenuto nel presente ricorso, emessa e rilasciata da parte resistente, per il tramite del primo.
Riferisce che, in data 28/01/2020 riceveva, sulla propria utenza telefonica, dall’applicativo dell’intermediario resistente, un sms che la invitava a rispondere alla chiamata di un operatore che aveva tentato con esito negativo di mettersi in contatto con lei. Consapevole di non ricevere solitamente sms da parte dell’intermediario convenuto e dubitando di un tentativo di truffa, era decisa a non proseguire; successivamente, però, rispondeva alla telefonata, proveniente da un’utenza di telefonia mobile, di un operatore del servizio clienti che, dopo aver fornito il proprio nominativo e codice numerico, chiedeva alla ricorrente se avesse autorizzato una transazione di € 1.890,00 alle ore 16:01. Quest’ultima, su indicazione dell’operatore, dava quindi seguito ad una corrispondenza via sms, a suo dire, direttamente proveniente dall’intermediario e comunicava un codice a sei cifre, convinta di poter neutralizzare la transazione fraudolenta.
Accortasi solo in seguito della mala fede del presunto operatore, riferisce di aver ricevuto un solo riscontro, alle numerose richieste volte al recupero della somma sottratta, in cui parte resistente, informandola di aver subito una frode informatica, comunicava l’impossibilità di rimborsare l’importo di una transazione correttamente eseguita. Da quel momento, avrebbe deciso di chiudere il suo conto corrente ma ciononostante le è stata attivata una nuova carta di credito, a sua insaputa e mai ritirata, di cui continua a ricevere
Lamenta quindi una violazione, da parte dell’intermediario, dell’art. 10 del D. Lgs. n.
11/2010, per mancata adozione di un sistema di c.d. autenticazione forte e cita, a supporto, alcune sentenze di merito e decisioni ABF. Sostiene inoltre di aver adempiuto ai propri obblighi precauzionali prescritti dall’art. 7 del D. Lgs. n. 11/2010, pur avendo subito raggiri da parte di un presunto operatore che operava mediante utilizzo del marchio e della piattaforma dedicata dell’intermediario. La contestata disfunzione organizzativa sarebbe resa ancor più evidente dalla circostanza del mancato invio di un SMS alert, “di accesso al sistema da parte di un terzo estraneo per il tramite delle sue credenziali”.
Escludendo il proprio dolo e colpa grave, la ricorrente afferma, al più, di essere incorsa in colpa lieve, per aver fornito, al presunto operatore, il codice a 6 cifre da questi richiesto, senza per questo ritenere esonerato da responsabilità l’intermediario che, ai sensi del citato art. 10, avrebbe potuto adeguarsi ai più alti livelli di sicurezza per evitare indebite intrusioni di terzi nel proprio sistema informatico.
Conseguentemente, ritiene applicabile, al caso di specie, la responsabilità di cui all’art. 26 del citato decreto legislativo, in relazione all’obbligo espressamente assunto dall’intermediario (all’art. 3 dell’Informativa in materia di trattamento dei dati personali), di adottare ogni opportuna cautela per evitare la divulgazione non autorizzata dei dati personali dei correntisti. A suo avviso, la disfunzione del sistema adottato dall’intermediario, avrebbe permesso l’illecita divulgazione e captazione dei dati della ricorrente, ad opera del truffatore. Chiede quindi il rimborso della somma indebitamente sottratta ed il di risarcimento del danno, ai sensi dell’art. 26 del D. Lgs. n. 11/2010.
La ricorrente chiede pertanto di:
“1) Condannare [l’intermediario A – emittente e l’intermediario B - collocatore], in solido tra loro, al rimborso della somma di euro 1890,00 (milleottocentonovanta / 00) in favore [della ricorrente] per violazione dell’art. 10, comma 2 del D.lgs. n. 11/2010 così come mod. dal D.lgs. 218/2017; 2) Condannare [l’intermediario A - emittente] al risarcimento del danno in favore [della ricorrente], da liquidarsi in via equitativa, ai sensi dell’art. 26 del D.lgs. n.
11/2010 in rel. all’art. 3 dell’Informativa sul trattamento dei dati personali [l’intermediario A];
3) Accertare e dichiarare risolto il contratto di conto corrente n. 156450 stipulato presso [l’intermediario B - collocatore]”.
Costituitosi, l’intermediario, riassumendo la dinamica dei fatti esposti dalla ricorrente, osserva che la stessa è stata vittima di un fenomeno di “smishing/vishing”, attraverso un contatto operato da un soggetto che falsamente si è spacciato per un operatore del proprio servizio clienti.
Rappresenta che, facendo affidamento sulle dichiarazioni del truffatore, la ricorrente avrebbe incautamente fornito il codice di sicurezza OTP, ricevuto via sms, necessario per completare la transazione online oggetto della richiesta di rimborso.
Il caso di specie rientrerebbe quindi in uno “schema tipico e ampiamente noto” che, per la sua diffusione, è ritenuto ormai da tempo evitabile, secondo i Collegi ABF, con l’impiego di una diligenza media, da cui conseguirebbe un riconoscimento di colpa grave dell’utente che sia caduto vittima di forme tradizionali di phishing/smishing/vishing. A riprova, evidenzia alcuni elementi specifici della vicenda in esame, fra cui l’inattendibilità del linguaggio presentato dal testo dell’sms, unitamente al carattere di urgenza dell’azione richiestale dal frodatore e la circostanza che la ricorrente, pur dubitando della veridicità del messaggio, abbia poi dato seguito con colpevole credulità alle istruzioni ricevute, invece di contattare immediatamente i numeri ufficiali della resistente. Parimenti reputa non scusabile la condotta per la quale la cliente avrebbe rivelato il codice OTP di convalida a terzi, atteso che esso non deve, per nessuna ragione, essere comunicato nemmeno agli operatori dei servizi di assistenza degli intermediari.
Sottolinea che il contenuto dell’SMS contenente detto codice chiariva, senza possibilità di fraintendimenti, che sarebbe servito per confermare l’acquisto online sul sito internet in esso indicato e non per sventare un fantomatico tentativo di frode in corso sulla sua carta, come il falso operatore le aveva fatto credere.
Precisa di aver pubblicato consigli utili in materia di comportamenti da adottare, sull’apposita sezione del proprio sito internet.
Soggiunge che, pur volendo ricondurre il caso in esame alla fattispecie di c.d. spoofing, le modalità seguite dai truffatori per ottenere informazioni dal cliente non giustificherebbero di norma la condotta della ricorrente che abbia comunicato l’OTP ricevuto con gli usuali canali (SMS), in quanto ritenute varianti, non particolarmente sofisticate del phishing, anche secondo l’orientamento dei Collegi ABF.
Difatti, sostiene che l’operazione fraudolenta sia stata resa, in ogni caso, possibile dalla condotta gravemente colposa della cliente che ha comunicato il codice 3D Secure al telefono.
Nessuna intrusione/hackeraggio sarebbe perciò avvenuta nei propri sistemi e nessuna intercettazione dei dati della cliente dai propri archivi informatici.
Inoltre, ribadisce che secondo i Collegi, anche nel valutare le implicazioni delle tecniche truffaldine impiegate, occorrerebbe considerare, in prima istanza, il contenuto del messaggio che la vittima del raggiro ha ricevuto e poi gli eventuali estremi di colpa nella condotta successiva alla ricezione; nel caso di specie la ricorrente avrebbe perciò incautamente fornito il proprio codice OTP.
L’intermediario specifica che l’operazione sul sito certificato è stata portata a termine secondo quanto previsto dai protocolli di sicurezza 3D Secure, in tre momenti rappresentati da tre operazioni di log: “1) conferma che i dati inseriti dal soggetto siano corretti; 2) il codice OTP (One Time Password) è stato generato correttamente dal sistema; 3) conferma della correttezza del codice OTP inserito e che la transazione si è conclusa positivamente”.
Afferma di aver fornito prova della avvenuta contabilizzazione, registrazione ed autenticazione dell’operazione, come stabilito dall’art. 10 del d. lgs. n. 11/2010, nonché di aver adempiuto ai propri obblighi in tema di predisposizione di adeguati sistemi di sicurezza a tutela del cliente (ex art. 8 del citato decreto), avendo predisposto un sistema di autorizzazione delle operazioni di pagamento on-line, praticamente impossibile da manipolare.
In ragione di quanto esposto, rileva che la ricorrente non avrebbe adempiuto agli obblighi prescritti dall’art. 7 del D. Lgs. n. 11/2010 e chiede al Collegio di respingere il ricorso (richiama, ex multis, le decisioni n. 11026/2020 del Collegio di Milano e n. 8718/2020 del Collegio di Bologna).
La ricorrente, in sede di repliche, contesta che le allegazioni dell’intermediario, per un verso, dimostrano l’adozione di un sistema di autenticazione forte, per altro, non sono sufficienti per esonerarlo da responsabilità, essendo solamente volte a contestare un suo atteggiamento negligente, senza aver analizzato i fatti per come rappresentati. In particolare, ritiene non sufficiente produrre il log informatico dell’operazione disconosciuta, senza comprovare l’apporto causale della ricorrente, dinanzi ad una truffa, a suo avviso, particolarmente sofisticata, non riconducibile al caso di vishing, in ragione dell’invio di un sms apparentemente proveniente dall’intermediario e del successivo intervento di un operatore telefonico fasullo.
In relazione all’informativa sulle potenziali truffe pubblicata sul sito dell’intermediario, ne afferma la sostanziale inidoneità a garantire a ciascun utente una sufficiente cognizione dei fenomeni truffaldini e precisa che, nel caso di specie, la stessa si sarebbe attenuta
seguito ad un sms non contenente alcun link. Quanto all’avvertenza secondo cui l’intermediario non contatta mai telefonicamente i propri clienti, per chiedergli codici identificativi o dati personali, precisa di non aver mai comunicato al falso operatore i predetti dati.
Ripercorrendo lo svolgimento dei fatti affermati nel ricorso e le modalità truffaldine impiegate, la ricorrente evidenzia la correttezza grammaticale degli sms ricevuti.
Infine, lamenta la mancata produzione, da parte dell’intermediario, di qualsiasi documentazione atta a dimostrare il corretto funzionamento dei propri sistemi di archiviazione dei dati personali dei rispettivi utenti, ritenendo non superata la prova di aver adempiuto agli obblighi previsti dall’art. 26 del d. lgs. 11/2010.
Con comunicazione del 20/07/2020, la ricorrente ha precisato l’intenzione di procedere esclusivamente nei confronti dell’intermediario emittente, odierno resistente, unico indicato nel modulo del ricorso; ha inoltre limitato le richieste alla “sola condanna alla restituzione e al risarcimento” nei confronti dell’intermediario emittente.
DIRITTO
La questione oggetto del ricorso attiene all’uso non autorizzato di uno strumento di pagamento.
L’operazione contestata è stata eseguita sotto il vigore del d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), entrato in vigore il 13/1/2018.
In particolare, l’articolo 10, commi 1 e 2, del citato decreto dispone che “Qualora l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. Quando l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo della colpa grave dell’utente”.
In una recente pronuncia, il Collegio di Coordinamento, dopo aver osservato che “l’onere probatorio previsto nei commi 1 e 2 dell’art.10 del decreto deve necessariamente essere assolto dal PSP con riguardo ad ambedue i profili (autenticazione ed esecuzione delle operazioni di pagamento, nonché colpa grave dell’utilizzatore), da ritenersi necessari e complementari”, ha enunciato il seguente principio di diritto: “[…] la previsione di cui all’art.
10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’”autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente” (Coll. Coord., dec. n. 22745/2019).
L’orientamento di questo Arbitro ha trovato riscontro nella sentenza della Corte di Cassazione, 3.2.3017, n. 2950, la quale ha statuito che la disciplina speciale, in tema di strumenti di pagamento, ha esplicitato il principio generale, in tema di onere probatorio a carico del debitore professionale, nelle azioni di risoluzione contrattuale, risarcimento del danno o adempimento, “in quanto si è ritenuto che non può essere omessa la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio […]; infatti la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (Cass., n. 2950/17, sulla scia di Cass., 12.6.2007, n. 13777. In senso conforme, cfr., più di recente, Cass., 12.4.2018, n. 9158; Cass., 26 novembre 2020, n. 26916, anche per l’importante statuizione, secondo cui “al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell'area del rischio professionale del prestatore dei servizi di pagamento - prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un'utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”).
Ora, venendo al merito del ricorso, il Collegio rileva che, in sede di denuncia, presentata alle competenti autorità il 28/01/2020, la ricorrente ricostruisce i fatti nella stessa maniera in cui sono stati esposti nel ricorso.
A supporto della propria domanda, produce gli SMS ricevuti.
In merito alla suddetta conversazione si rileva quanto segue:
- il primo sms delle 16:24 conteneva un avviso formulato contenente la seguente espressione “Si prega di risp al cellulare”;
- la ricorrente ha ricevuto due codici a 6 cifre, di cui, uno alle 16:29, relativo ad un
“ticket richiesto per la sostituzione della carta”, indicante nominativo e riferimento numerico del presunto operatore ed uno con sms delle 16:33, volto a confermare con la propria carta di credito, un acquisto su un sito online, di importo pari a quello disconosciuto;
- i messaggi sembrano la continuazione di una precedente conversazione genuina via sms fra l’intermediario e la cliente.
L’intermediario produce specifica evidenza contabile interna da cui si evince il blocco della carta di credito in data 28/01/2020, alle ore 16:54.
Il ricorrente disconosce un’operazione di pagamento, per un importo pari ad € 1.890,00, effettuata in data 28/01/2020, dalle ore 16:33. Le operazioni risultano dalla specifica evidenza contabile interna prodotta dall’intermediario.
Con riferimento all’onere della prova che incombe sull’intermediario ai sensi del citato art.
10, questi ha prodotto evidenza informatica, da cui si evince che l’operazione contestata è stata disposta a seguito di corretto inserimento dell’OTP.
Si osserva che il numero di telefono della ricorrente corrisponde a quello indicato nel verbale di denuncia; del resto, la stessa ricorrente ha prodotto il messaggio di invio dell’OTP.
L’intermediario produce, poi, ulteriore evidenza informatica da cui sembrerebbe che l’operazione fraudolenta sia stata realizzata in assenza di anomalie.
L’intermediario evidenzia che l’operazione sul sito certificato è stata portata a termine secondo quanto previsto dai protocolli di sicurezza 3D Secure, secondo tre momenti rappresentati da tre operazioni di log, così descritti:
“1) conferma che i dati inseriti dal soggetto siano corretti;
3) conferma della correttezza del codice OTP inserito e che la transazione si è conclusa positivamente.”.
Sembra quindi chiarire che, a monte di tale OTP, vi sia stato l’inserimento dei dati statici della carta; tuttavia, dalla narrativa della ricorrente, in sede di repliche, quest’ultima sembra, invece, escludere di aver comunicato al falso operatore “i propri dati personali né tantomeno i predetti codici identificativi del conto o carta di credito”.
Ciò posto, il Collegio ritiene che, nel caso di specie, l’intermediario abbia fornito la prova della regolarità formale delle operazioni.
Alla luce delle richiamate disposizioni normative, come detto, la prova della regolarità formale di un’operazione contestata non è sufficiente ad attribuirne le conseguenze patrimoniali in capo al titolare dello strumento di pagamento, dovendo l’intermediario provare anche i fatti idonei a integrare il dolo o la colpa grave dell’utilizzatore.
A tal proposito, l’intermediario afferma che: “Inoltre, nel valutare le implicazioni dell’impiego delle più recenti tecniche informatiche truffaldine, i Collegi hanno ritenuto che occorresse nondimeno considerare in prima istanza il contenuto del messaggio che – vuoi via email, vuoi via SMS – la vittima del raggiro ha ricevuto, e poi gli eventuali estremi di colpa nella condotta successiva alla ricezione. Ebbene, nel caso di specie la Ricorrente – che pure ha ricevuto un SMS spoofing – ha incautamente fornito il proprio codice OTP.”
Rileva altresì che il contenuto dell’SMS inviato alla ricorrente non lasciava dubbi sul fatto che il codice OTP sarebbe servito per confermare l’acquisto online sul sito internet “e non per sventare un fantomatico tentativo di frode in corso sulla sua carta, come il falso operatore le aveva fatto credere”.
Quanto alle modalità della truffa, si rileva che successivamente al primo sms c.d. civetta, la ricorrente riceveva una telefonata da un sedicente operatore dell’intermediario, tramite la quale era perfezionata la truffa di cui è ricorso, secondo lo schema tipico del vishing/smishing.
A conferma, vi sarebbero indizi da cui riconoscere dette varianti del phishing, fra cui, il carattere di urgenza dell’azione richiesta alla ricorrente, il carattere impersonale del testo, non indicante nome e cognome della vittima, la presenza di errori o improprietà grammaticali. La diffusione del fenomeno è tale che i Collegi ABF ormai ritengono da tempo, che l’impiego di una media diligenza sia sufficiente a scongiurare il pericolo e ad impedire la truffa.
Il Collegio rileva tuttavia che il messaggio truffaldino sembra anche essere collocato nella medesima chat di destinazione degli sms ufficiali dell’intermediario.
Con riferimento alla fattispecie dell’sms spoofing, i Collegi convergono nel ritenere che sia generalmente ravvisabile un concorso di responsabilità delle parti, in relazione, da un lato, alla negligenza grave dell’utente che agevola il compimento della truffa, similmente a quanto avviene negli episodi di phishing e, dall’altro lato, alle criticità organizzative del servizio di pagamento offerto dall’intermediario.
Alla luce di quanto sopra, il Collegio ritiene che, pur dovendosi riconoscere la sussistenza di una condotta colposa del cliente, nei termini eccepiti dall’intermediario, il comportamento di quest’ultimo non possa andare immune da censure, in particolare, sotto il profilo dell’organizzazione del servizio. Rileva, in proposito, la circostanza, non contestata, relativa all’uso della “chat” quale canale di comunicazione con i clienti, ossia di uno strumento particolarmente infido e vulnerabile, da parte di terzi, come più volte affermato anche da questo Collegio (cfr., ad es., Collegio di Bari, decisioni n. 526/2020 e n. 26459/2019).
Parimenti censurabile risulta la gestione del servizio di sms alert, che costituisce un presidio essenziale di tutela dei clienti. Non di meno, la negligente gestione del servizio di
sms alert risulta, nel caso di specie, irrilevante, rispetto all’operazione contestata, essendo in presenza di un’unica operazione fraudolenta.
Per le suesposte ragioni, il Collegio ritiene equo ripartire fra le parti le conseguenze dannose delle operazioni contestate, nella misura del 50%.
Non merita invece accoglimento la domanda risarcitoria formulata dal ricorrente, atteso che, dalla documentazione in atti, non sembrano emergere elementi tali da dimostrare un accesso non autorizzato al sistema informatico dell’intermediario.
Pertanto, non risulterebbe provato il nesso causale tra la lamentata divulgazione non autorizzata dei dati della ricorrente e la condotta dell’intermediario, con riferimento all’asserita carenza del sistema informatico.
P.Q.M.
Il Collegio, in parziale accoglimento del ricorso, dispone che l’intermediario corrisponda al ricorrente l’importo di € 945,00.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
