COLLEGIO DI BOLOGNA. Membro designato dalla Banca d'italia. Membro di designazione rappresentativa. dei clienti FATTO

COLLEGIO DI BOLOGNA

composto dai signori:

(BO) MARINARI Presidente

(BO) BERTI ARNOALDI VELI Membro designato dalla Banca d'Italia

(BO) MAIMERI Membro designato dalla Banca d'Italia

(BO) PASQUARIELLO Membro di designazione rappresentativa degli intermediari

(BO) PETRELLI Membro di designazione rappresentativa

dei clienti

Relatore FEDERICA PASQUARIELLO

Seduta del 23/12/2021

FATTO La ricorrente espone che:

- è cointestataria presso l’intermediario del conto corrente n. ***4649 regolato da contratto di servizi bancari sottoscritto in data 29.09.2011;

- nel summenzionato regolamento contrattuale era stato pattuito un limite per le operazioni di prelievo pari a € 500,00 giornalieri;

- il servizio di prelievo cardless non era previsto nel contratto e non era conosciuto dagli intestatari, quindi non era mai stato oggetto di richiesta e utilizzato;

- successivamente alla stipulazione, venivano ricevute due lettere, nelle quali veniva comunicato:

x in data 14.11.2013 la variazione della filiale di riferimento, specificando che

“non cambieranno le condizioni economiche e contrattuali” e che “[l]’unica variazione riguarda la modifica delle coordinate bancarie e del codice IBAN che identificano il Suo conto corrente […]”

x in data 15.01.2019 l’incorporazione della banca nella capogruppo (v. nota 1), specificando che l’operazione avrebbe comportato la modifica delle coordinate bancarie di tutti i conti di pagamento, con l’indicazione di uno nuovo, ancora attuale;

- in data 04.02.2021, alle ore 13:49, veniva ricevuto un SMS al proprio numero di cellulare (339****160) da un’utenza riferibile all’intermediario, poiché dalla stessa si ricevevano i SMS contenenti i codici per l’accesso all’home banking o per autorizzare operazioni;

- il messaggio era del seguente tenore: “Gentile cliente, la sua carta e stata bloccata causa mancato aggiornamento, verifica e riattiva ora: http://bit.ly/Riattiva- Normativa-I**”;

- la ricorrente non aveva alcun motivo per dubitare della genuinità del messaggio, in quanto ricevuto dall’account ufficiale della Banca, come testimoniato da precedente SMS ricevuto in data 03.02.2021 nella stessa chat;

- il giorno prima si era infatti tentato, senza successo, di aggiornare l’App Mobile della banca;

- la ricezione dell’SMS, dunque, ingenerava la certezza di dover procedere all’aggiornamento proposto nel messaggio, tenuto conto che la comunicazione coincideva con l’esigenza di aggiornare l’App;

- veniva aperto il link, risultato però non funzionante;

- nello stesso giorno venivano ricevuti due SMS dalla stessa utenza, rispettivamente con testo “NON CEDERE QUESTO CODICE. Se qualcuno te lo chiede E’ UNA FRODE! Usa il codice 081037 per attivare il tuo nuovo telefono, solo se in tuo possesso” e “NON CEDERE QUESTO CODICE. Se qualcuno te lo chiede E’ UNA FRODE! Usa il codice 236477 per attivare il tuo nuovo telefono, solo se in tuo possesso”, comunicazioni cui non prestava particolare attenzione, poiché le riteneva connesse alla precedente che avvertiva del blocco della carta per mancato aggiornamento;

- alle ore 14:32 riceveva una telefonata dal numero 06****701, della durata di dodici minuti, in cui rispondeva una persona che si identificava come operatore di banca, rivelatosi poi finto, che rappresentava la necessità di effettuare un aggiornamento guidato dell’App, non effettuato in precedenza;

- si dava credito alle parole del finto operatore, in ragione della pregressa ed effettiva necessità di aggiornare l’App che per la contiguità temporale del primo SMS e della telefonata;

- veniva riferito che vi sarebbero state altre telefonate nei giorni successivi per effettuare l’aggiornamento, nonché si chiedeva la comunicazione del codice utente e il PIN per l’accesso al c/c, con la motivazione che fosse necessario svolgere un controllo dei dati;

- non avendo motivo di sospettare nulla, venivano forniti i codici al falso operatore;

- in data 09.02.2021, alle 14:43, riceveva una seconda telefonata dallo stesso numero (06****701) in cui il finto operatore comunicava che a breve avrebbe ricevuto un SMS contenente un codice che avrebbe dovuto fornirgli contestualmente per iniziare la procedura di aggiornamento;

- alle 14:45, durante la telefonata, riceveva il preannunciato SMS contenente un codice, che forniva al falso operatore, attività che faceva senza aprire il messaggio ricevuto, ma leggendo l’anteprima che appariva come notifica temporanea nella parte alta dello schermo;

- viene allegato il testo dell’SMS, il quale presenta il seguente testo: “ATTENZIONE, stai autorizzando il prelievo cardless di EUR . Usa 033133 come codice di sicurezza per completare l’operazione PC4514»;

- nel corso della telefonata veniva fatto l’avvertimento di non usare l’home banking per non interrompere la procedura di aggiornamento, inganno cui dava accredito e non effettuava l’accesso nei giorni 9 e 10 febbraio 2021;

- poco dopo il termine della telefonata, ne riceveva una seconda, dallo stesso numero, alle ore 15:49, nella quale veniva rappresentata la necessità di eseguire la medesima procedura della prima chiamata: veniva ricevuto un nuovo SMS alle 15:52 contenente un codice, che veniva fornito con le stesse modalità di quello precedente;

- senza che insorgesse alcun sospetto, il giorno successivo, 10.02.2021, alle ore 11:40, riceveva un’altra telefonata dalla medesima utenza, nella quale il falso operatore riferiva che fosse stata effettuata per completare l’aggiornamento;

- con lo stesso metodo, veniva fatto fornire un codice ricevuto con SMS alle 11:41;

- alle ore 13:07 veniva contattata telefonicamente dalla banca e veniva richiesto se fossero stati effettati dei prelievi sul conto corrente: in un primo momento negava di averli mai posti in essere, ma aggiungeva, a seguito di domanda sul punto da parte dell’operatore telefonico, che il proprio coniuge era autorizzato ad operare sul c/c, in qualità di cointestatario;

- una volta comunicato l’importo di tre operazioni, rispettivamente da € 1.000,00 e da

€ 2.000,00 la seconda e la terza, emergeva chiaramente che non si trattava di prelievi effettuati da uno dei cointestatari, con l’operatore che quindi procedeva al blocco delle carte;

- si rileva come l’intermediario non abbia adottato un sistema antifrode che potesse prevenire fatti come quello oggetto del ricorso attuale: il primo messaggio, datato, 04.02.2021, appariva formalmente come proveniente dalla banca, cui seguivano, lo stesso giorno, altri due messaggi in cui erano forniti i codici per abilitare al servizio un nuovo telefono. È plausibile che i malviventi abbiano provato, una volta ottenute le credenziali per l’accesso all’home banking, a modificare il numero di cellulare cui ricevere i codici OTS, senza che i sistemi informatici rilevassero alcuna anomalia in questo duplice tentativo di modifica;

- rileva che l’intermediario sia rimasto inerte nei giorni successivi, quando sarebbe stato ancora possibile impedire la frode, con quest’ultima che si concretizzerà i giorni 9 e 10 febbraio, con la fornitura dei codici per autorizzare i prelievi cardless al finto operatore;

- il giorno 11.02.2021 si recava in filiale dove un’impiegata le forniva della documentazione relativa a:

x l’elenco della movimentazione sul conto corrente degli ultimi dieci mesi;

x una contabile di bonifico istantaneo eseguito a proprio favore il giorno 10.02.2021, dell’importo di € 1.450,00, in relazione al quale l’impiegata spiegava che si trattava di disposizione truffaldina effettuata a danno di terzi e verosimilmente effettuata per ricaricare il c/c, quasi svuotato dopo i primi due prelievi, per poi effettuare il terzo prelevamento del 10.02.2021 da € 2.000,00. Successivamente, veniva negato il consenso allo storno di questo bonifico ricevuto, poiché questo avrebbe comportato il contestuale obbligo di versamento del relativo importo, in ragione dell’avvenuto svuotamento del conto, preferendo, prima di procedere ad altre operazioni, presentare denuncia alle Autorità;

x i documenti relativi al dettaglio dei tre prelievi cardless;

- in data 12.02.2021, per mezzo del proprio Avvocato, si recava a sporgere denuncia;

- in data 21.02.2021 veniva inoltrato reclamo all’intermediario a mezzo di Difensore di fiducia;

- il giorno 25.02.2021 veniva effettuato il formale disconoscimento delle operazioni e si trasmetteva alla banca una copia della denuncia;

- in data 22.03.2021 l’intermediario comunicava la propria estraneità alla vicenda e riaddebitava le somme precedentemente corrisposte “salvo buon fine”;

- per il caso di specie, si tratta di una truffa nota come phishing, per la precisione con tecniche congiunte di smishing e vishing; il caso sottoposto al Collegio presenta delle peculiarità tali da escludere la colpa grave della vittima della frode:

x in primo luogo, la truffa ha un antecedente causale che trae origine dalla carenza di sicurezza nei sistemi antifrode della banca, la quale non è stata in grado di evitare che una considerevole quantità di clienti abbia ricevuto comunicazioni truffaldine apparentemente provenienti dall’utenza ascrivibile all’intermediario e, nella vicenda del ricorso attuale, non si è attivata per avvisare adeguatamente l’utente tra il 4 febbraio, data dei due tentativi di attivazione di nuovo telefono per il servizio, e il 9 febbraio, data del primo prelievo, sebbene fosse già a conoscenza di una serie di frodi che avevano colpito la clientela nelle settimane precedenti;

x infatti, viene allegato un articolo di stampa del 14.01.2021 nel quale viene descritta una maxi-truffa attuata a danno dei clienti dell’istituto, da cui si deve presumere che, quasi un mese prima dei prelievi in esame, l’intermediario fosse consapevole delle frodi e che, nel caso di due tentativi di fila di attivazione di nuovo dispositivo dove ricevere i codici, si sarebbe dovuto attivare tempestivamente con la diligenza richiesta per l’attività che viene prestata;

x in secondo luogo, si segnala la particolare insidiosità della frode, per l’utilizzo di un’utenza che è apparentemente riconducibile all’intermediario, non solo per il nome nell’intestazione, ma anche per il fatto che l’SMS

“civetta” sia stato ricevuto nella chat di altri SMS autentici. Tali modalità inducono a ritenere, unitamente alla maxi truffa, che vi sia stata una violazione dei sistemi di sicurezza imputabile all’istituto;

x la sussistenza della maxi truffa suggerisce anche che i malviventi siano entrati in possesso dei dati personali degli utilizzatori, la cui corretta custodia va garantita dall’intermediario e che attenga al rischio di impresa un trattamento indebito degli stessi;

- sulla base di questi elementi, è dimostrato il diritto alla restituzione delle somme sottratte, trattandosi non di phishing tradizionale, ma di una complessa operazione criminale realizzatasi grazie a disfunzioni dei sistemi antifrode della banca;

- anche qualora l’intermediario fosse in grado di assolvere l’onere probatorio ex art.

10, comma 1, D. Lgs. 11/2010, non potrebbe presumersi la colpa grave dell’utilizzatore;

- oltre alle problematiche predette, si evidenzia che il contratto relativo ai servizi bancari sottoscritto nel 2011 riporta come limite giornaliero per i prelievi € 500,00, da cui deriva che nemmeno la prima operazione avrebbe dovuto essere autorizzata, fermo restando che si sarebbero dovuti impedire quelli successivi;

- in conclusione, l’inadempimento contrattuale della banca ha consentito che terzi malintenzionati effettuassero tre prelievi in due giorni per un ammontare di € 5.000,00.

Pertanto, domanda in via principale la restituzione di Euro 5.000, corrispondente alle somme fraudolentemente prelevate; in via subordinata, della somma di Euro 4.000, corrispondente alla misura residua rispetto al limite di prelievo giornaliero; in via ulteriormente subordinata, della somma di euro 3.500,00, per effetto di un concorso di colpa dell’utilizzatore. Il tutto con ristoro delle spese legali.

L’intermediario eccepisce che:

- la ricorrente è cointestataria con il coniuge di c/c n. 4649, sul quale è attivo il servizio di internet banking;

- il giorno 11.02.2021 denunciava alla Polizia Postale di essere stata vittima di una frode, perpetrata il 9 e il 10 febbraio, tramite tre prelievi cardless, operazioni che disconosceva formalmente il 25.02.2021;

- dopo un iniziale ripristino del conto “salvo buon fine”, in data 16.03.2021 la banca riaddebitava le somme;

- occorre ribadire l’assenza di ogni responsabilità nell’accaduto, in quanto il servizio di internet banking offerto alla clientela utilizza un sistema di “autenticazione forte”.

Nello specifico:

x per accedere ai servizi on line della banca, si richiede l’inserimento simultaneo di password statiche e dinamiche, ovvero, in relazione alle prime, il “codice Titolare” e il PIN, mentre, per quanto riguarda le seconde, il “codice O-XXX” (OTP);

x una volta collegati, per autorizzare una disposizione viene richiesto un ulteriore codice OTP;

x il codice O-XXX viene generato o dall’App, in caso di attivazione del servizio apposito (O-XXX Smart), oppure, in assenza, via sms al numero certificato del cliente (O-XXX SMS);

x per generare i codici via App è necessario che vi sia la selezione della notifica che arriva sullo smartphone e poi, alternativamente, l’inserimento del PIN o, se autorizzata, l’apposizione dell’impronta digitale o il riconoscimento facciale;

x per l’ipotesi in cui non funzioni il servizio via App, l’OTP viene inviato con sms al numero di cellulare del correntista;

x l’invio via SMS avviene anche nell’ipotesi in cui il device non sia connesso o sia momentaneamente non funzionante la connessione dati;

x in relazione ad alcune disposizioni di pagamento, con la finalità di aumentare ulteriormente il livello di sicurezza, oltre alla consueta autenticazione e conferma con codice dinamico, è richiesto di rispondere alle domande di sicurezza precedentemente censite. Per i clienti che non abbiano censito le domande e in altri specifici casi è invece richiesto l’inserimento di un secondo codice inviato via SMS;

x deve inoltre sottolinearsi l’impegno dell’istituto nell’informativa fornita alla clientela, in particolare sull’attenzione che deve essere prestata alle mail, SMS e telefonate sospette e di diffidare da link che prevedano l’inserimento di password. Inoltre, sul sito internet dell’intermediario, è presente un’apposita sezione, denominata “Sicurezza”, in cui sono date specifiche indicazioni per difendersi dai tentativi di truffa, con l’indicazione dei comportamenti da adottare per prevenire le frodi e con il corredo di esempi, riportati graficamente, dei tentativi di truffa che avvengono attraverso i vari canali di comunicazione;

- l’art. 10 del D.Lgs. 11/2010 prevede che qualora il cliente neghi l’autorizzazione di un’operazione, l’intermediario sia onerato della prova dell’avvenuta autenticazione della medesima operazione, la sua corretta registrazione e contabilizzazione, nonché il mancato verificarsi di malfunzionamenti nelle procedure necessarie per la sua esecuzione;

- preliminarmente, viene sottolineato che il prelievo cardless è un servizio che permette di effettuare prelevamenti di contante senza l’utilizzo della carta fisica, ma

con l’uso dell’App installata su smartphone, messo a disposizione gratuitamente per tutti i clienti che abbiano attivato O-XXX smart;

- vengono allegati il contratto M..XXX e la Guida ai Servizi, dai quali risulta che per i prelievi cardless vi è un limite di € 3.000,00 giornaliero ed uno mensile di € 5.000,00, con la conclusione che le operazioni rientrerebbero nei limiti pattizi;

- viene prodotto un estratto delle registrazioni elettroniche effettuate in occasione delle operatività contestate. Dall’analisi delle tracciature si evince che:

x il giorno 04.02.2021 alle 14:33:04 si registra l’enrollment di nuovo device Xiaomi, con chiave “***62b5” in sostituzione del device Apple del cliente, quest’ultimo abitualmente utilizzato per accedere con App all’home banking;

x per l’attivazione viene inviato un SMS al cliente con il seguente testo: “E' appena stato attivato O-XXX su Xiaomi M2006C3LVG con cui è possibile effettuare pagamenti online. Non sei stato tu? Contatta la Filiale Online.”;

x il giorno 04.02.2021 alle 14:37:29 si registra un accesso web da IP

“1**.*44.1**.1*1”, effettuato con l’inserimento di OTP pervenuto sul device con ID “***62b5”;

x alle ore 14:39:08 viene effettuato il censimento delle domande segrete, confermato con invio di OTS inviato con il seguente SMS al cellulare del cliente: “NON CEDERE QUESTO CODICE. Se qualcuno te lo chiede É

UNA FRODE! usa il codice 236477 per modificare le domande di sicurezza utili ad autorizzare i pagamenti”. Il completamento dell’operazione veniva comunicato con messaggio telefonico, con testo: “Le domande di sicurezza del tuo profilo sono state modificate”;

x il giorno 09.02.2021 da Android viene disposto un prelievo cardless da € 2.000,00, operazione confermata con OTP e, a ulteriore conferma, con l’inserimento delle domande segrete e un codice OTS, inviato via SMS al cliente, il quale recita: “ATTENZIONE, stai autorizzando il prelievo cardless di EUR . Usa 033133 come codice di sicurezza per completare l'operazione PC4514”;

x lo stesso giorno viene inserito un altro prelievo cardless da € 1.000,00, confermato con le stesse modalità del primo. L’SMS contenente l’OTS è il seguente: “ATTENZIONE, stai autorizzando il prelievo cardless di EUR . Usa 092285 come codice di sicurezza per completare l'operazione PC5210”;

x il giorno 10.02.2021, con le stesse modalità del giorno precedente, viene disposto un terzo prelievo cardless da € 2.000,00. Per il completamento dell’operazione, il codice OTS è inviato con il seguente SMS alla parte ricorrente: “ATTENZIONE, stai autorizzando il prelievo cardless di EUR . Usa 533518 come codice di sicurezza per completare l'operazione PC4112”;

- dall’analisi delle tracciature risulta che le operazioni disconosciute sono state regolarmente autenticate e non vi sono state anomalie operative nei sistemi della banca;oltre alla prova della corretta autenticazione delle operazioni, l’intermediario è tenuto a fornire la prova della colpa grave dell’utilizzatore del servizio, anche per mezzo di indizi “chiari, precisi e concordanti”, ossia con l’allegazione di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dalle quali la negligenza può trarsi in via presuntiva;l’art. 7, comma 2, del D. Lgs. 11/2010 prevede particolari obblighi in capo all’utente dei servizi di pagamento in relazione agli strumenti alle credenziali di sicurezza, disponendo che “l’utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso …; b) comunicare senza indugio, secondo le modalità

previste nel contratto quadro, al prestatore di servizi di pagamento…l'uso non autorizzato dello strumento non appena ne viene a conoscenza. 2. Ai fini di cui al comma 1, lettera a), l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”;il contratto quadro (Contratto My XXX) definisce una serie di obblighi che riguardano la custodia delle credenziali, del dispositivo e le comunicazioni da effettuare tempestivamente alla banca. In particolare, si prevede che “il Cliente non appena riceve le Credenziali e il Dispositivo, si impegna ad adottare in particolare tutte le ragionevoli misure idonee a proteggerli da utilizzi non autorizzati tra cui …mantenere segrete le Credenziali e a non comunicarle a terzi…

utilizzare le Credenziali e il Dispositivo con la massima diligenza al fine di preservarne la riservatezza (es. accedere correttamente all’area personale del sito della Banca, digitando nel browser l’indirizzo del sito, ed effettuare il login senza mai utilizzare per l’accesso i link ricevuti via e-mail o tramite altri canali)”, nonché

“seguire sempre le indicazioni di sicurezza tempo per tempo fornite dalla Banca sul proprio sito internet…” e “ verificare spesso i movimenti e il saldo dei Rapporti collegati, l’integrità delle proprie apparecchiature necessarie per l’utilizzo dei Servizi e mantenere aggiornato il programma anti-virus e il sistema operativo delle apparecchiature stesse”; dalla sola ricostruzione della vicenda fornita dalla ricorrente è possibile dimostrare che le operazioni disconosciute non sono imputabili in alcun modo alla banca, ma al solo cliente che con colpa grave ha vilato gli obblighi a suo carico;in particolare, la colpa grave emerge dai seguenti elementi:

il cliente ha ricevuto un SMS apparentemente proveniente dalla banca e vi ha dato credito nonostante errori grammaticali nel messaggio e l’allegazione di un link non riconducibile all’istituto. La ricorrente dichiara poi di aver ricevuto telefonate da sedicenti operatori ai quali ha comunicato codice utente, PIN e i codici ricevuti per SMS, così consentendo ai truffatori di fare l’enrollment di un nuovo dispositivo, modificare le domande di sicurezza ed autorizzare i prelievi cardless;

b) non si tratta di una truffa particolarmente sofisticata, in quanto le modalità si discostano da ogni operatività dei servizi dell’istituto: come riferito in più campagne informative, non verrà mai chiesto di fornire i codici personali per telefono o per SMS;il sistema di autenticazione adottato dalla banca è “a due fattori”, con l’utilizzo congiunto di password statiche e dinamiche. Secondo i Collegi ABF, l’adozione di siffatto sistema è sufficiente per assolvere l’onere probatorio ex art. 8 D. Lgs. 11/2010 gravante sull’intermediario e, contemporaneamente, fa presumere che il cliente si sia reso gravemente inadempiente all’obbligo di custodia degli strumenti e dei codici d’accesso al servizio;sono stati inviati più “alert” tramite SMS, i quali sono stati tutti ignorati dal cliente, per cui la banca, di conseguenza, non ha avuto alcun dubbio circa la riconducibilità delle operazioni.Inoltre, la ricorrente dichiara di non aver prestato attenzione al contenuto dei messaggi e di aver comunicato gli OTS senza aprirli.

Viene citata, sul punto, la decisione n. 6927/2021 del Collegio di Milano e due pronunce del Collegio di Torino, n. 11700/2021 e n. 12009/2021; risulta evidente che non si sarebbe potuto eseguire alcuna operazione senza la colposa collaborazione della vittima;si evidenzia, assolti gli oneri probatori, che la truffa si è concretizzata esclusivamente per causa imputabile alla condotta negligente della ricorrente. L’accoglimento del ricorso avrebbe come conseguenza diretta la totale deresponsabilizzazione del cliente e svuoterebbe la previsione normativa in materia;in casi analoghi a quello del ricorso attuale, cioè riguardo a truffe

telematiche note come smishing/vishing, l’ABF ha statuito la non accoglibilità del ricorso, riconoscendo la sussistenza della colpa grave del ricorrente nella custodia dei dispositivi di sicurezza personalizzati messi a disposizione dall’istituto.

Quindi conclude per il rigetto del ricorso.

In sede di repliche, il ricorrente rileva che:

- il contratto My XXX prodotto dall’intermediario non prevede il servizio di prelievo cardless in modo espresso, poiché l’attribuzione di questo avviene in forza del documento “Guida ai servizi consumatore”, di cui è stato allegato uno stralcio relativo a un’edizione del 7 giugno 2021, quindi pubblicata in una data successiva a quelli dei fati oggetto di ricorso;

- è errata pure l’affermazione secondo cui il limite giornaliero per i prelievi cardless sia pari a € 3.000,00, poiché nella “Guida” è previsto un limite specifico pari a € 500,00;

- anche volendo considerare la “Guida” come idonea ad allargare l’oggetto del contratto My XXX, stante la natura unilaterale della predisposizione del documento e come tale modificabile in qualsiasi momento dall’intermediario, permarrebbe la prevalenza delle previsioni del contratto quadro stipulato nel 2011, nel quale, a pag.

7, viene indicato il limite giornaliero di prelievo per un importo di € 500,00;

- nel caso di specie, il contratto My XXX prevede per i servizi a distanza l’utilizzo di una chiavetta fisica per generare gli OTP, con la conseguenza che, per usufruire del servizio di prelievo cardless, sarebbe stato necessario entrare in possesso materiale del generatore di codici, in relazione al quale il cui mancato utilizzo da parte dei truffatori risulta pacificamente riconosciuto;

- deve ritenersi, sulla base degli elementi esposti precedentemente, che le operazioni fraudolente disconosciute siano state effettuate in violazione del contratto di servizi bancari e del contratto My XXX, in forza del fatto che le modalità attraverso cui sono state poste in essere non erano state concordate tra le parti e, in ogni caso, il loro importo superava considerevolmente il limite giornaliero consentito;

- l’intermediario nelle controdeduzioni afferma di aver inviato specifiche comunicazioni alla clientela con l’indicazione degli accorgimenti da adottare per difendersi dalle truffe, ma omette di produrre quella specialmente inviata alla ricorrente;

- deve ritenersi provata, quindi, la mancata informativa al ricorrente in merito a potenziali truffe che avrebbe potuto subire;

- l’intermediario non è in grado di assolvere l’onere probatorio sulla corretta autenticazione, registrazione e contabilizzazione e sull’assenza di anomalie: mentre è stato ammesso nelle diverse sedi di aver fornito le credenziali statiche e di aver fornito gli OTP ricevuti via SMS per autorizzare i prelievi, si ribadisce di non aver fornito i codici, ricevuti sempre con SMS, necessari per l’enrollment di nuovo device e per censire le domande di sicurezza;

- inoltre, l’SMS delle 14:33:53 che avvisava dell’attivazione del servizio O XXX su nuovo dispositivo non è mai stato ricevuto, come confermato dal fatto che sono stati prodotti tutti gli screenshot relativi agli SMS ricevuti in data 04.02.2021: dalle schermate prodotte emerge la ricezione dei messaggi delle 14:33:04 (invio codici per attivazione O XXX smart su altro dispositivo) e delle 14:39:29 (contenente OTS per censire le domande di sicurezza), i quali non risultano essere inframezzati da altra comunicazione. Diversamente sarebbe risultato dagli screenshot se fosse giunto a destinazione il messaggio delle 14:33:53;

- nemmeno il messaggio delle 14:40:08 che avvertiva delle modifiche alle domande di sicurezza risulta esser stato ricevuto;

- deve quindi escludersi l’attendibilità del foglio excel prodotto dalla convenuta, in quanto, oltre a essere un documento che è stato unilateralmente formato senza alcuna garanzia di autenticità, esso si pone in contrasto con gli screenshot allegati, la cui attendibilità è certa;

- dalla ricostruzione offerta, la vittima della truffa ha riportato una narrazione precisa e trasparente dei fatti, i quali trovano riscontro nella documentazione;

- diversamente da quanto sostiene l’intermediario, non sono stati ricevuti gli SMS che avrebbero potenzialmente consentito di interrompere la sequenza causale della truffa, con la vanificazione della funzione informativa e preventiva dell’”alert” che avvisava dell’enrollment del cellulare dei truffatori;

- è ipotizzabile che l’”alert” relativo alla modifica delle domande di sicurezza sia stato inviato, causa malfunzionamenti del sistema, al nuovo telefono dei malviventi;

- se la sequenza degli eventi corrispondesse a quanto racconta la tesi dell’intermediario, non si spiegherebbe per quale ragione i truffatori abbiano aspettato cinque giorni, dopo l’enrollment per effettuare il primo prelievo, poiché col passare del tempo sarebbe cresciuto il rischio di essere scoperti;

- per il caso di specie, deve escludersi la sussistenza della colpa grave (sul concetto di “colpa grave” si rinvia, ex multis, al Collegio di Milano, decisione n. 2856/2021): in sede di ricorso è stato prodotto un articolo di stampa on line che riporta di una maxi-truffa perpetrata nei confronti dell’intermediario, per cui è verosimile che una considerevole quantità di clienti siano caduti vittime di frodi;

- siccome si presume che molte persone siano state raggirate, deve escludersi che la ricorrente non abbia osservato “quel grado minimo di diligenza generalmente osservato da tutti”, inosservanza che sarebbe idonea a integrare la colpa grave ex art. 12, comma 3, del D. Lgs. 11/2010;

- inoltre, in una situazione siffatta, nella quale i clienti erano da tempo bersagliati da truffe simili a quella oggetto della controversia attuale, vi sarebbe dovuta essere una reazione più incisiva dei sistemi antifrode dell’istituto, la cui violazione ha consentito l’effettuazione dei tre prelievi cardless non autorizzati.

L’intermediario controreplica:

- quanto ai limiti del servizio cardless per errore è stato allegata la “Guida ai Servizi”

del 2021, provvedendo alla produzione di quella in vigore al momento delle operazioni contestate;

- preme rilevare che in entrambe le “Guide” i limiti operativi sono rimasti i medesimi, con la precisazione che, attualmente, i limiti “standard” sono modificabili fino a un massimale di € 3.000,00 giornalieri ed € 5.000,00 mensili;

- viene ribadito che:

x la ricorrente dichiara in denuncia di aver ricevuto un SMS apparentemente proveniente dalla banca cui ha dato credito nonostante la presenza di errori grammaticali nel testo e l’allegazione di un link non riconducibile all’istituto.

Dichiara di aver successivamente ricevuto alcune telefonate da parte di sedicenti operatori ai quali ha fornito codice utente, PIN e codici dinamici ricevuti con SMS, grazie ai quali i truffatori hanno potuto eseguire l’enrollment, modificare le domande di sicurezza ed autorizzare i prelievi cardless;

x sono stati inviati più SMS “alert”, ignorati dal cliente che, per sua stessa ammissione, dichiara di non avcervi prestato attenzione. Di conseguenza la banca non ha avuto dubbi circa la riconducilità delle operazioni al cliente medesimo;

x la truffa consista in phishing tradizionale, pratica truffaldina non particolarmente sofisticata che viene attuata con uno schema tipico e noto;

x è evidente che nessuna delle operazioni avrebbe potuto essere eseguita senza la collaborazione della vittima, la cui imprudenza è inescusabile, anche in ragione delle istruzioni di sicurezza fornite dall’istituto che da anni si impegna in una esaustiva campagna informativa su come difendersi dalle truffe on line.

DIRITTO

Il Collegio rileva che le operazioni contestate, effettuate tra il 9 e il 10 febbraio 2021, sono state poste in essere sotto il vigore del d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE, e di adeguamento delle disposizioni interne al regolamento (UE) n.

751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.

Il Collegio osserva, poi, che il ricorrente, che disconosce tre operazioni di prelevamento cardless è stato vittima di una frode, secondo le modalità del cd. vishing/spoofing, peraltro perpetrata con modalità alquanto grossolane, rispetto alle quali è dato pretendere minimi presidi di cautela e di attenzione da parte dell'utilizzatore dello strumento di pagamento. In particolare, parte ricorrente è stata vittima di una truffa tra il 04.02.2021 e il 10.02.2021, realizzata con un iniziale SMS spoofing contenente un link malevolo e con successive telefonate da parte di un finto funzionario della banca (vishing); il messaggio civetta è del seguente tenore: “Gentile cliente, la sua carta e stata bloccata causa mancato aggiornamento, verifica e riattiva ora: http://bit.ly/Riattiva-Normativa-ISP”. Le telefonate risultano provenire da un numero fisso di Roma (06****701); l’SMS è stato ricevuto nella chat abitualmente utilizzata dalla banca per l’invio di codici genuini; dopo l’apertura del collegamento, venivano ricevuti due SMS che fornivano i codici per l’enrollment di diverso dispositivo, cui la ricorrente non prestava attenzione, pensando che dipendesse dal precedente avviso; alle 14:32 veniva ricevuta la prima telefonata dal finto operatore il quale, con la scusa della necessità di effettuare un aggiornamento guidato dell’App mobile per accedere ai servizi bancari, si faceva comunicare il codice identificativo e il PIN, comunicando alla vittima che sarebbe stata contattata nei giorni successivi per completare l’operazione. La ricorrente nega di aver fornito i codici per l’enrollment; alle 14:43 del 9 febbraio veniva ricontattata dal finto operatore, il quale si faceva comunicare un codice OTS inviato con SMS per autorizzare il primo prelievo cardless dell’importo di € 2.000,00;

in questa prima telefonata del 9 febbraio, l’operatore avvisava di non accedere all’App di home banking per non bloccare l’aggiornamento, affermazioni cui la ricorrente dava credito; alle ore 15:49 riceveva una seconda telefonata e, nello stesso modo, forniva il codice OTS per eseguire il secondo prelievo da € 1.000,00. La stessa meccanica si ripeteva il giorno seguente, con una terza telefonata alle 11:40, con il codice OTS che veniva fornito per sbloccare il terzo prelievo cardless da € 2.000,00. La vittima scopriva di essere stata truffata quando alle 13:07 veniva contattata dall’assistenza della banca che chiedeva di tre prelievi effettuati sul conto corrente. A questo punto era operato il blocco

delle carte collegate al c/c e non risultano tentativi o richieste di autorizzazione posteriormente al blocco.

A fronte del disconoscimento delle operazioni da parte dell’utente, incombe sul prestatore di servizi di pagamento l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata ai sensi dell’art. 10, comma 1, del D.Lgs.

11/2010, che così statuisce: “Qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.

Con riguardo alla modalità di autenticazione delle operazioni, l’art. 10 bis del medesimo D.Lgs. n. 11/2010 prevede: “Conformemente all'articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando l'utente: a) accede al suo conto di pagamento on-line; b) dispone un'operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi” .

L’art. 1, lettera q bis del medesimo decreto chiarisce, conformemente alla suddetta direttiva, che la c.d. autenticazione forte consiste in “un'autenticazione basata sull'uso di due o piu' elementi, classificati nelle categorie della conoscenza (qualcosa che solo l'utente conosce), del possesso (qualcosa che solo l'utente possiede) e dell'inerenza (qualcosa che caratterizza l'utente), che sono indipendenti, in quanto la violazione di uno non compromette l'affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.

Sul punto, è intervenuta l’EBA con la “Opinion” del 21 giugno 2019 (richiamata espressamente dal Regolamento UE/2018/389 del 27.11.2017), nella quale sono stati passati in rassegna alcuni dei più comuni sistemi di autenticazione predisposti dagli intermediari per valutare se possano o meno annoverarsi tra i presidi di autenticazione forte.

Occorre dunque verificare se, nel caso di specie, le operazioni contestate siano state autenticate mediante la combinazione di almeno due dei tre elementi che caratterizzano la c.d. “autenticazione forte”. Nello specifico, l’intermediario, al fine di dimostrare la corretta autenticazione delle operazioni e l’assenza di anomalie, ha descritto il processo di autenticazione delle operazioni e, a sostegno, ha allegato un estratto delle tracciature informatiche relative alle operazioni oggetto di disconoscimento che consta di un file excel composto da sei fogli: di qui si evince la corretta autenticazione delle operazioni, mediante inserimento del PIN e di OTP virtuale generato su App installata su dispositivo e risposta a domande di sicurezza. Quanto ai sistemi di alert, risulta che notifiche push siano state inviate sull’App installata sul telefono dei truffatori. D’altronde il ricorrente risulta avere ricevuto per SMS: il codice OTS per l’enrollment di nuovo device per l’App Mobile; il codice OTS per completare il censimento di nuove domande di sicurezza; i codici OTS per l’autorizzazione dei prelievi cardless. Peraltro la ricorrente ha dichiarato di aver rivelato il codice all’interlocutore telefonico senza prestare attenzione al contenuto del messaggio, leggendone solo la parte “immediatamente visibile” nella finestra pop up del proprio cellulare.

Sussistono, quindi, nella fattispecie, le condizioni per ritenere applicati presidi di SCA alle operazioni in esame.

Passando, allora, ad esaminare il profilo della eventuale colpa grave dell’utilizzatore, il Collegio osserva che il cliente non ha adempiuto agli obblighi di custodia dello strumento di pagamento mediante l’apertura in maniera avventata di un link allegato a un SMS di phishing e ha poi fornito i propri codici PIN e i codici dinamici a un finto operatore telefonico.

In particolare, secondo la tecnica del cd. Spoofing, in questo caso vi è stato l’invio dell’SMS “civetta” all’interno della chat che viene utilizzata dall’utenza dell’intermediario.

La colpa grave del ricorrente in ipotesi di spoofing, a mente dell’orientamento dei Collegi, emerge dall’analisi del testo del messaggio “civetta” quando quest’ultimo presenti indici di inattendibilità, quali la presenza di errori grammaticali o sintattici, o di anomalia, come l’allegazione di link non riconducibile ai canali dell’istituto.

In proposito, nella fattispecie risulta in atti screenshot del telefono cellulare del ricorrente, da cui si evince che il testo del messaggio apparentemente ricevuto dall’utenza dell’intermediario contiene errori grammaticali (manca l’accento sul verbo alla terza persona singolare del verbo “essere”) e il link non sembra riconducibile all’istituto. Inoltre, dalle schermate del telefono dove vengono riportate le chiamate ricevute dai malintenzionati, si evince che l’utenza chiamante è un numero fisso di Roma e non sembra riconducibile ad alcun contatto utilizzato dall’istituto. Da questi elementi il Collegio trae il convincimento che nel caso concreto la condotta dell’utilizzatore sia stata connotata da colpa grave.

Per completezza, infine, va osservato che nella fattispecie non vengono in considerazione indici di anomalia, ai sensi dell’art. 8 (Rischio di frode) del D.M. 30.04.2007, n. 112 (Regolamento di attuazione della l. n. 166/2005, sulla “Istituzione di un sistema di prevenzione delle frodi di pagamento”):

A fronte, poi, della specifica contestazione del ricorrente, si è resa necessaria una integrazione istruttoria, così da verificare, ai fini della decisione del ricorso, se il servizio per il prelievo di contante cardless fosse incluso tra i servizi collegati al contratto di home banking all’epoca della sua sottoscrizione, avvenuta l’11 gennaio 2019; e se sussisteva superamento del plafond convenzionalmente stabilito.

La richiesta integrativa, disposta da questo Collegio nella sua riunione del 5 maggio 2021, si giustifica alla luce del fatto che la “Guida ai servizi” richiamata nel contratto “My XXX” in esame veniva prodotto agli atti di ricorso in una versione aggiornata al 07 giugno 2021, quindi in epoca sicuramente successiva alla stipula del contratto.

L’intermediario ha quindi tempestivamente depositato la versione “Guida ai servizi”

aggiornata al dicembre 2017, asserendo implicitamente che quest’ultima fosse in vigore all’atto del perfezionamento del contratto. Ivi, nella sezione “Premessa”, a pagina 2 della

“Guida”, vengono contemplate, tra i canali di utilizzo del servizio di conto corrente, le funzioni cardless presso sportelli ATM. Inoltre, sulla base della medesima documentazione integrativa depositata dal convenuto, si evince che i massimali giornaliero e mensile siano stati osservati e non risultano operazioni superiori ai predetti limiti. Quindi anche sotto questo ulteriore aspetto la domanda risulta non meritevole di accoglimento.

PER QUESTI MOTIVI Il Collegio non accoglie il ricorso.

IL PRESIDENTE

firma 1