COLLEGIO DI TORINO composto dai signori:
(TO) LUCCHINI GUASTALLA Presidente
(TO) BATTELLI Membro designato dalla Banca d'Italia (TO) COTTERLI Membro designato dalla Banca d'Italia
(TO) MUNARI Membro di designazione rappresentativa
degli intermediari
(TO) CATTALANO Membro di designazione rappresentativa dei clienti
Relatore LUCA CATTALANO
Seduta del 13/10/2020
FATTO
La ricorrente, dopo aver inutilmente esperito reclamo in data 30/03/2020 (rectius 31/03/2020), presentava ricorso all’ABF competente assumendo
di essere titolare del conto corrente A) acceso presso una filiale dell’intermediario resistente, sul quale aveva la delega ad operare anche il di lei figlio. Presso il medesimo intermediario resistente il figlio era titolare di un diverso c/c bancario B).In data 07/11/2019 un operatore dell’intermediario informava il figlio che su entrambi i conti risultavano disposti bonifici on line di ingente importo, che però la stessa ed il figlio mai avevano autorizzati (7 bonifici totali, di cui l’ultimo sul conto corrente A intestato alla ricorrente).
Riferiva, quindi, che solo a seguito di tale avviso della Banca, ritenuto tardivo, riusciva a disconoscere il bonifico disposto a valere sul proprio c/c A e a recuperare parte del relativo importo. La Banca riaccreditava, infatti, € 57.959,00 a fronte di un’operazione di bonifico disconosciuta di importo pari a € 58.670,00: la differenza, pari a € 700,00, non poteva essere rimborsata in quanto risultava già prelevata da ignoti.
La ricorrente eccepiva che il rifiuto della Banca di rimborsare i residui € 700,00 era illegittimo in quanto l’intermediario non aveva dimostrato la responsabilità del correntista nell'accaduto, ma si era limitato a dichiarare l'assenza di propria responsabilità.
Concludeva, quindi, per la richiesta di rimborso di € 700,00, in ragione della propria assenza di responsabilità nella causazione dell’evento occorso.
Si costituiva con controdeduzioni l’intermediario resistente che rappresentava come la ricorrente fosse titolare di un c/c bancario presso una propria filiale, abilitato al servizio di internet banking, sul quale era delegato ad operare anche il di lei figlio.
Con riferimento al detto servizio on line, riferiva che in data 06/11/2019 veniva disposto un bonifico di importo pari a € 58.670,00, con addebito sul menzionato c/c A.
In data 12/11/2019 la ricorrente disconosceva l’operazione in questione e, grazie alla procedura di recall del bonifico, tempestivamente attivata, la Banca riusciva a recuperare l’importo di € 57.959,00, che restituiva nella disponibilità della ricorrente in data 25/11/2019. Dalle verifiche effettuate era emerso, infatti, che la ricorrente era stata vittima di una truffa telematica attraverso la c.d. tecnica del phishing, che il resistente rilevava consistere nell’invio di messaggi di posta elettronica nei quali si chiede al destinatario di collegarsi a un sito che imita i contenuti di quello originale della banca e di inserire i propri codici di accesso. Nel caso di specie, in particolare, evidenziava che il bonifico disconosciuto addebitato sul c/c della ricorrente “rientra nel contesto della truffa telematica subita dal signor … [ndr: figlio di parte ricorrente], che si è fatto carpire le proprie credenziali di accesso all’home banking ed ha così permesso ai malfattori di effettuare operazioni sia sul suo conto corrente sia sul conto corrente della madre, essendo lui delegato ad operare anche su tale conto corrente”.
A comprova dei propri assunti il resistente evidenziava che nella denuncia allegata agli atti il figlio della ricorrente aveva dichiarato di aver ricevuto una email da quest’ultimo definita “strana” e di averla aperta: presumibilmente in tale occasione gli erano state carpite le credenziali. La truffa subita dal figlio della ricorrente sarebbe, dunque, iniziata con l’esecuzione di un primo bonifico in data 17.10.2019, poi disconosciuto, e sarebbe proseguita con l’esecuzione di altri bonifici eseguiti in date successive (dal 18/10/2019 al 05/11/2019): riferiva il resistente che negli stessi giorni in cui venivano mandati in esecuzione detti bonifici truffaldini, il cliente operava consapevolmente sul proprio conto corrente B. In tali occasioni avrebbe potuto, quindi, avvedersi delle disposizioni di bonifico già effettuate e che non riconosceva. Infatti, riferiva il resistente che se il cliente avesse segnalato l’esecuzione dei bonifici poi disconosciuti con tempestività, avrebbe potuto evitare l’esecuzione del bonifico dal conto corrente della madre, odierna ricorrente, eseguito il giorno 6/11/2019.
Tale comportamento da parte del figlio della ricorrente dimostrava l’assenza di responsabilità del resistente.
Ancora, il resistente richiamava quanto emerso dall’analisi delle tracciature informatiche, allegate nelle controdeduzioni, per l’esecuzione del bonifico controverso, in cui risultavano inserite: (i) le credenziali di accesso statiche (codice Titolare e codice Pin), (ii) un primo codice OTP, generato tramite la APP della Banca sul cellulare, necessario per confermare l’operazione di collegamento;
(iii) un secondo codice OTP, sempre generato tramite la APP della Banca sul cellulare, necessario per autorizzare il bonifico.
In ragione di ciò, la disposizione di bonifico era stata regolarmente presa in carico ed eseguita dalla Banca ed ancora successivamente all’esecuzione del bonifico veniva inoltre inviata una comunicazione (“push”) al cellulare del figlio della ricorrente, contenente tutti i dettagli dell’operazione effettuata.
Il resistente richiamava, ancora, i precedenti dei Collegi territoriali ABF che, in analoghi casi, avevano rigettato la pretesa della ricorrente, accertando in capo a quest’ultimo la sussistenza della colpa grave (cfr. decisioni citate n. 24951/2019 del Collegio di Milano, le decisioni n. 7258/2020, n.
6027/2020 e n. 25095/2019 del Collegio di Bologna, e la decisione n. 396/2020 del Collegio di Roma).
Il resistente, poi, evidenziava come oltre alle modalità di protezione dell'accesso al sistema, avesse predisposto altri accorgimenti di sicurezza a protezione dell'infrastruttura tecnologica, volti anch'essi a minimizzare il verificarsi di comportamenti fraudolenti a danno dei clienti dell'istituto o dell'istituto stesso.
Infine il resistente riferiva di utilizzare un sistema di autenticazione all’home banking “a più fattori” e pertanto il suo utilizzo fraudolento non poteva che essere ricondotto a un difetto di custodia delle credenziali da parte dell’utente.
Preso atto di ciò, il resistente eccepiva che la condotta dell’odierna ricorrente – per il tramite del figlio delegato ad operare sul conto - fosse stata gravemente colposa ed evidenziava che non potevano ricadere sulle banche le conseguenze relative a operazioni fraudolente perpetrate per comportamenti poco prudenti dei clienti, nemmeno ai sensi dell’art. 1227 c.c..
quanto immotivata e infondata, la richiesta avanzata dalla ricorrente; in via di subordine: nella denegata ipotesi in cui il Collegio avesse ritenuto di poter ravvisare profili di responsabilità in capo alla parte resistente, di definire la ripartizione tra le parti del danno in esame in misura proporzionale alle rispettive effettive responsabilità e in particolare ai sensi dell’art, 1227, commi 1 e 2 c.c.
DIRITTO
La ricorrente lamenta lo svolgimento di operazioni fraudolente di home banking sul proprio conto corrente, sul quale poteva operare anche il di lei figlio: figlio che risulta il protagonista sostanziale della vicenda portata all’attenzione del Collegio.
Entrambe le parti concordano che il ricorso ha ad oggetto unicamente il rimborso di € 700,00, somma che residua (rispetto all’importo di € 58.670,00 portata nel bonifico disconosciuto effettuato in data 6/11/2019 tramite home banking) dal rimborso già operato a favore della ricorrente da parte dell’intermediario resistente con riferimento alle attività truffaldine evidenziate in atti ed in particolare nella denuncia allegata al ricorso e datata 9/11/2019 ed alla sua successiva integrazione in data 26/11/2019.
Dalla ricostruzione dei fatti emerge come pacifico, per la stessa ammissione da parte della ricorrente, che il di lei figlio – che aveva la delega ad operare sul conto della madre - abbia inconsapevolmente aderito all’attacco di phishing, ritenendo di operare sul sito dell’intermediario e non abbia verificato la situazione dei bonifici effettuati sul suo conto (B), in giorni antecedenti rispetto a quello oggetto di ricorso riferito al conto della madre (A), quando erano già state prelevate somme tramite bonifico disposto per home banking per pagamenti poi disconosciuti.
È un fatto non contestato, altresì, che il figlio della ricorrente potesse operare con autonomia sul conto della madre per espressa delega: e quindi che fossero di prassi ed usualmente legittimamente addebitate su detto conto (A) le operazioni disposte da quest’ultimo in virtù della detta autorizzazione ad agire in nome e per conto della titolare del conto stesso.
È altresì pacifico che sui conti su cui operava il figlio della ricorrente, sia quello personale (B) che quello sul quale agiva per delega della ricorrente (A), siano state svolte delle attività di home banking truffaldine tramite addebiti di bonifici.
Circa la correttezza della operazione svolta ed oggetto del ricorso il resistente ha affermato di adottare, all’uopo producendo le apposite tracciature, un sistema di autenticazione multifattoriale, che comprende l’uso di password statiche, conosciute dal titolare (Codice Titolare e codice PIN), e di password dinamiche (OTP), che nel caso di specie sono state generate da APP installata su dispositivo mobile.
In particolare nel caso in questione l’accesso all’home banking è stato regolarmente effettuato attraverso un LOGIN al servizio alle ore 15:50 del 06/11/2019, apparentemente da dispositivo mobile.
Nella tracciatura versata in atti constano sigle che paiono attestare l’adozione di un sistema di autenticazione a due fattori (cfr diciture “check-TIME, check-OTPmobile). L’OTP necessaria ad autorizzare l’accesso risulta generata da App installata su dispositivo mobile.
La disposizione della somma in contestazione è avvenuta tramite l’inserimento di un bonifico europeo alle ore 15:53 del 06/11/2019.
Nella tracciatura versata in atti constano sigle che paiono attestare l’adozione di un sistema di autenticazione a due fattori.
A tale operazione relativa al bonifico controverso sarebbe seguita una “push notification”
contenente tutti i dettagli dell’operazione, che sarebbe stata inoltrata sull’App installata su dispositivo mobile. Si rileva inoltre che, sempre dalla narrazione contenuta nella denuncia e nella sua integrazione, l’indirizzo email collegato al servizio di home banking fosse stato sostituito con un diverso indirizzo e che tale modifica non era stata autorizzata: sul punto l’intermediario nulla ha
riferito e non risultano versate in atti evidenze attestanti la modifica, con autenticazione forte, dell’indirizzo email collegato al servizio di home banking.
Di fronte a queste evidenze le parti nulla hanno riferito in merito al blocco del servizio di internet banking: di più ed oltre pare dagli atti che il profilo di home banking del figlio della ricorrente (delegato ad operare sul conto della madre) sia stato “estinto” in data 21/11/2019. Neppure constano evidenze relative all’attivazione del servizio di sms alert o al suo effettivo funzionamento:
ma tale circostanza risulta poco rilevante in quanto l’operazione controversa è soltanto una.
Un ulteriore elemento che il Collegio ritiene di valorizzare per la decisione del caso in discorso è la circostanza, desunta dalla denuncia presentata alle Autorità in data 9/11/2019 dal figlio della ricorrente, secondo cui nei giorni antecedenti la disposizione di bonifico controversa, quest’ultimo aveva riscontrato dei malfunzionamenti della sua SIM sin dal 17.10.2019 (data di uno dei bonifici poi contestati sul conto personale dello stesso) e l’impossibilità di accedere all’App di home banking.
Il malfunzionamento sarebbe stato tale da costringere il figlio della ricorrente a richiedere la plurima sostituzione della scheda SIM (presumibilmente avvenuta per due volte). Di più ed oltre sempre il figlio della ricorrente ha evidenziato che negli stessi giorni delle subite truffe non riusciva ad accedere dal suo telefono all’APP dell’internet banking, causa la dicitura “errore di sistema”.
In sintesi pare probabile che fin da ottobre 2019 ignoti fossero riusciti ad accedere fraudolentemente all’home banking della ricorrente attraverso il figlio della ricorrente (delegato ad operare, anche via internet banking, sul c/c intestato alla madre), che avrebbe subito una “SIM- swap fraud”.
Quest’ultima è una tipologia di frode attraverso la quale terzi soggetti trasferiscono l’utenza telefonica del titolare di carta (o c/c abilitato all’home banking via App) su una nuova SIM, ricevendo così le password dinamiche OTP inviate a tale numero.
Nel caso di specie, appare evidente dalla ricostruzione offerta dalla stessa ricorrente che l’intrusione non autorizzata nel sistema - lungi dall’essere causata da un insufficiente grado di protezione informatica e dal servizio offerto dall’intermediario - appare ascrivibile a colpa grave del cliente – o meglio dal figlio della ricorrente delegato ad operare sul conto - che con evidente trascuratezza per diversi giorni precedenti l’operazione contestata non ha controllato il conto proprio e quello su cui era delegato ad operare nonostante e soprattutto dopo i verificati problemi informatici riscontrati per accedere alla app. della banca e nonostante fossero eseguite altre e diverse operazioni sul conto B poi disconosciute. In altre parole il figlio della ricorrente, quale delegato ad operare sul conto, ovvero la ricorrente stessa avrebbe potuto ben rilevare con un controllo puntuale dei propri movimenti bancari la truffa in atto: comportamento gravemente incauto da parte della ricorrente.
Quanto descritto in atti depone per ritenere che si debba escludere la responsabilità del resistente per l’utilizzo non autorizzato di uno strumento di pagamento, in quanto è stata provata la colpa grave dell’utilizzatore (il figlio della ricorrente, delegato alle operazioni di home banking), la quale costituisce un fatto impeditivo del risarcimento del danno, ai sensi dell’art. 2697, comma 2, c.c.
Il figlio della ricorrente, sembra infatti essere incappato, per l’appunto, nel “phishing”, con conseguente utilizzo abusivo delle sue credenziali di accesso, utilizzate per compiere operazioni non disposte dal titolare dello strumento. Come statuito dal Collegio di Coordinamento (decisione n. 1820/13), nell’ipotesi del ‘phishing’, “il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet”. In considerazione di tale orientamento – che questo Collegio ritiene di condividere – e delle risultanze agli atti allegati dalle parti, deve ritenersi che parte ricorrente sia incorsa nella violazione degli obblighi prescritti dall’art. 7 del D. Lgs. n. 11/2010. Ne consegue che nel comportamento del figlio della ricorrente e quindi della ricorrente stessa che il figlio ha delegato ad operare è ravvisabile la colpa grave che, ai sensi dell’art. 12, commi 3 e 4, del richiamato decreto, non consente di accogliere la sua richiesta di rimborso della residua somma indebitamente sottratta (cfr. ABF Coll Roma, dec. n. 3076/2015; Coll. Milano, dec. n. 8841/2016;
Coll. Roma, dec. n. 8487/16, Coll. Napoli, dec. n. 1965/2017).
P.Q.M.
Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
