COLLEGIO DI MILANO composto dai signori:
(MI) LAPERTOSA Presidente
(MI) BARILLA' Membro designato dalla Banca d'Italia
(MI) ACHILLE Membro designato dalla Banca d'Italia
(MI) BENAZZO Membro di designazione rappresentativa
degli intermediari
(MI) BARGELLI Membro di designazione rappresentativa
dei clienti
Relatore BENAZZO PAOLO
Seduta del 20/10/2020
FATTO La Cliente rappresenta quanto segue:
- è titolare del conto corrente nr **********670;
- il giorno 13/11/2019 riscontrava dei problemi di funzionamento con la sua SIM, pertanto si recava presso un negozio di telefonia che procedeva alla sostituzione; il giorno seguente la nuova SIM non era ancora attiva pertanto si recava presso un altro rivenditore e procedeva all’acquisto di una nuova SIM, subito funzionante;
- il giorno 15/11/2019, controllando la lista movimenti, si avvedeva di un bonifico da lei non effettuato e disposto il 13/11/2019 a favore di una persona sconosciuta per un importo di € 8.700;
- non ha mai ricevuto il codice OTP per l’autorizzazione di tale operazione, né il messaggio di notifica; sostiene di essere vittima di SIM swap fraud;
- lo stesso giorno provvedeva a disconoscere l’operazione e a sporgere denuncia.
Chiede quindi il rimborso di euro 8.700, oltre commissioni, interessi legali dalla data di deposito e spese del ricorso; in via subordinata, di limitare il diritto al rimborso nei limiti dell’art. 12, comma 3, d.lgs. 11/2010.
Con le controdeduzioni, l’intermediario afferma che:
- dalla ricostruzione dei fatti riportata nella denuncia della cliente e dalle verifiche
- non può essere attribuita alcuna responsabilità all’intermediario in relazione alle attività che hanno interessato la SIM della cliente; per i malfunzionamenti denunciati dovrà rispondere il gestore telefonico;
- la cliente non allega alcuna documentazione atta a dimostrare di aver subito la truffa denominata Sim swap fraud;
- in data 13/11/2019 sono stati effettuati diversi accessi al profilo home banking della cliente: ogni accesso ha richiesto l’inserimento di un codice OTP inviato all’utenza registrata; i messaggi con il codice invitavano la cliente a contattare la filiale online qualora non fosse lei ad aver richiesto l’accesso: nessun contatto è giunto da parte della cliente;
- alle ore 13:32 dal profilo della cliente è stata inoltrata una richiesta di bonifico di € 8.700,00, per l’autorizzazione del quale sono stati inviati due SMS alla cliente, uno con il codice OTS e l’altro con il codice OTP; entrambi i codici sono stati inseriti correttamente, pertanto il bonifico è andato correttamente a buon fine;
- ha dimostrato di aver adottato tutti i presidi di sicurezza necessari a tutelare la clientela da accessi non autorizzati e da comportamenti fraudolenti, in particolare il sistema di autenticazione a due fattori;
- la cliente è responsabile delle conseguenze negative che derivano da un’inadeguata custodia delle proprie credenziali;
- la cliente è stata vittima di phishing, nonostante la notorietà del fenomeno.
Chiede quindi che il ricorso sia dichiarato inaccoglibile ovvero, in via subordinata, di ripartire il danno tra le parti ex art. 1227, commi 1 e 2, c.c.
La cliente, in sede di repliche, dichiara quanto segue:
- l’intermediario non allega alcuna documentazione che comprovi la fattispecie di phishing;
- l’affermazione, infatti, è priva di fondamento perché la cliente è stata vittima di sim swap fraud e grava sull’intermediario l’onere di provare il contrario;
- il giorno della truffa il telefono della cliente era privo di linea e di connessione, pertanto non ha ricevuto i codici OTP relativi agli accessi e all’operazione contestata e non poteva in alcun modo essere a conoscenza di quanto stava avvenendo;
i codici di autenticazione sono pervenuti ai malfattori in forza della sostituzione della SIM, pertanto nessuna colpa grave può essere attribuita alla cliente.
DIRITTO
La questione sottoposta al Collegio concerne la rimborsabilità o meno in favore della ricorrente della somma fraudolentemente sottratta mediante la realizzazione di un bonifico online.
Innanzitutto, va rilevata l’applicabilità alla controversia odierna della disciplina, di matrice europea, contenuta nel D. Lgs. 11/2010, come modificato dal D. Lgs. 218/2017, in materia di strumenti e servizi di pagamento nel mercato interno.
Pertanto, la sussistenza delle responsabilità che le parti della controversia odierna vicendevolmente si addebitano dovrà essere valutata in base al disposto dell’art. 12 di tale decreto, che, essenzialmente, pone a carico esclusivo dell’intermediario «la perdita derivante dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento», dedotta una franchigia massima di € 50, a meno che non sia dimostrato che «l’utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure
idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento».
In tema di ripartizione dell’onere probatorio, peraltro, si è di recente espresso il Collegio di Coordinamento (decisione n. 22745/2019), enunciando il principio interpretativo secondo cui “la produzione documentale volta a provare l’autenticazione e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”. Tuttavia, il Collegio ha al contempo evidenziato che, anche “nel caso in cui l’intermediario si sia costituito nel procedimento, fornendo prova dell’autenticazione e della regolarità formale dell’operazione, ma nulla abbia dedotto in merito alla colpa grave dell’utente, il Collegio [può] comunque affermarne l’accertamento se palesemente emergente dalle dichiarazioni rese dal ricorrente in sede di denuncia all’autorità giudiziaria e/o nel ricorso”.
Venendo ora al caso di specie, si rileva innanzitutto che parte ricorrente produce i log a dimostrazione della corretta contabilizzazione e autenticazione dell’operazione; dichiara altresì di aver adottato presidi di sicurezza adeguati ai fini della protezione del cliente da comportamenti fraudolenti. In particolare, sia per l’accesso ai servizi di home banking sia per la disposizione di operazioni sembra essere attivo un sistema di autenticazione forte mediante l’invio di password dinamiche via SMS.
Ad ogni accesso vengono inviate delle notifiche all’utenza della cliente, sia tramite SMS sia tramite notifiche push.
L’intermediario allega evidenze circa gli accessi del giorno della truffa: prima dell’operazione contestata sono stati effettuati diversi accessi all’area personale della cliente. L’ultimo, quello in cui è stata disposta l’operazione, è stato effettuato alle 13:05. In due casi (alle 11:34 e alle 11:54) i sistemi hanno rilevato un tentativo di accesso da un browser non utilizzato ultimamente e hanno inviato una notifica push per invitare la cliente a contattare l’intermediario qualora non fosse l’autrice dell’accesso.
La cliente dichiara di non aver ricevuto alcuna di queste notifiche in quanto la SIM del proprio telefono era priva di linea e di connessione, probabilmente perché già sostituita dai malfattori (cfr repliche).
Dall’analisi dei log informatici allegati dall’intermediario si evince che a partire dall’accesso delle 11:53 del giorno della truffa fino all’accesso delle 13:05 in cui è stata effettuata l’operazione fraudolenta, il service provider del servizio internet è stato diverso rispetto ai precedenti e ai successivi accessi (Free Mobile SAS anziché Vodafone Italia S.p.A.)
Infine, l’intermediario sostiene che la cliente non sia stata vittima di sim swap fraud, bensì di phishing. La cliente non ha rilasciato alcuna dichiarazione rispetto a mail, sms o telefonate sospette di phishing: dichiara inoltre di non aver comunicato a terzi i codici di utilizzo del proprio profilo home banking.
Parte ricorrente afferma inoltre che la SIM del numero di telefono associato al proprio profilo home banking non le risultava funzionante dalla mattina del 13/11/2019 fino al giorno successivo: asserisce, invero, di essersi recata in data 13/11/2020 in un punto Vodafone ove acquistava una nuova SIM e, ancora, il giorno successivo in quanto la prima SIM non risultava essere stata attivata. Ricorda di aver gettato lo scontrino del primo acquisto.
Tanto ricostruito, si ricorda che, in un caso analogo nei confronti dello stesso intermediario, il Collegio di Milano, rilevato che la banca aveva fornito prova di autenticazione, corretta registrazione e contabilizzazione delle operazioni di pagamento e di aver predisposto un livello di sicurezza rafforzato a più fattori, ha affermato tuttavia la
swap fraud: «Da ultimo, non irrilevanti sono anche gli importi prelevati, che hanno
“svuotato” il conto, e l’IBAN del beneficiario che corrisponde ad un conto estero: tutti questi elementi anomali, rafforzati dall’invio anche del codice OTS, avrebbero dovuto indurre l’intermediario a non eseguire le operazioni.
Ad evidenziare un problema nel sistema dell’intermediario, depone anche il tipo di frode attuata nel caso in esame. Dalla pluralità di elementi addotti dalle parti risulta che la ricorrente è stata vittima di una “SIM swap fraud”, diffusasi in tempi relativamente recenti, al fine di vanificare i presidi di sicurezza basati su autenticazione con OTP inviato tramite sms. […]
Anche nel caso in esame la frode ha avuto luogo tramite un intervento sul numero di cellulare, sul quale si fonda il sistema di autenticazione delle operazioni tramite home banking. Posto che la OTP è un sistema di controllo dell’identità dinamico e monouso, essa consiste generalmente in un codice alfanumerico - generato da un algoritmo - trasmesso all’utente su un canale fuori banda (nella specie, messaggistica sms), per cui è sempre necessaria, ai fini della sua utilizzazione, una tecnologia supplementare (ITC mobile ecc.). Dalla descritta logica di autenticazione, consegue che l’operazione di modifica dell’utenza telefonica sulla quale ricevere la OTP o la semplice possibilità di venire a conoscenza del numero di telefono, può rischiare di svuotare la password dinamica della propria funzione protettiva di verificare la genuinità dell’operazione, e dunque costituisce di per sé un’operazione o una situazione anomala. L’inadeguatezza del sistema appare anche da un altro punto di vista. La logica della cosiddetta strong customer authentication è quella di consentire l’accesso al sistema del soggetto che effettua la transazione tramite l’inserimento non di uno, ma di almeno due elementi identificativi (password e OTP come nel presente caso), per aumentare la sicurezza del servizio di pagamento. Ora, dalla narrativa dei fatti, emerge che, in sostanza, la violazione di una singola misura di sicurezza ha compromesso anche l’affidabilità del sistema, quando, al contrario, la piena operatività del sistema di autenticazione multifattore si fonda sull’indipendenza tra le singole misure di sicurezza (cfr. Collegio di Milano, n. 1066/2019).
L’esistenza di una relazione funzionale tra di esse consente dunque di eludere il doppio controllo delle credenziali e rendere, nei fatti, il sistema di autenticazione (non più forte ma) debole. La portata dirimente del suddetto requisito di indipendenza tra misure di sicurezza è del resto riconosciuta anche dalla Direttiva 2015/2366/UE (PSD2), la quale lo prescrive come caratteristica obbligatoria (art. 4, par. 1, lett. 30) che deve improntare il rapporto tra singole misure di sicurezza di un sistema di autenticazione forte (ora da predisporre obbligatoriamente ex art. 97, par. 1).
Proprio alla luce di quanto ora esposto è evidente, per un verso, la lacuna dei sistemi adottati dall’intermediario nel caso di specie e, per l’altro, la sofisticatezza della truffa di cui è caduta vittima la ricorrente. Pertanto, a quest’ultima non risulta imputabile - e comunque non provata - alcuna condotta gravemente colposa, essendo invece il sistema ad avere in consentito la realizzazione della truffa, oltre al comportamento dell’intermediario che non è adeguatamente intervenuto in presenza dei sopra menzionati indici di anomalia che sono stati rilevati come dimostra l’invio del codice OTS.» (Collegio di Milano, decisione n.
9337/20 del 19/05/2020).
Inoltre, si ricorda che “La fattispecie in esame, invero, concerne un utilizzo fraudolento di strumenti elettronici di pagamento, associato al furto di identità telefonica (cd. “sim swap fraud”) il quale […] consente di fatto un aggiramento del sistema di autenticazione a doppio fattore, laddove questo sia attuato mediante invio della cd. “one time password”
(OTP) tramite sms: in queste ipotesi, infatti, il codice OTP viene ricevuto da chi ha fraudolentemente carpito l’identità telefonica, ottenendo una nuova SIM, attiva e
funzionante sino a quando l’effettivo titolare non se ne accorge e non procede al blocco della stessa.
Si deve innanzitutto osservare, contrariamente a quanto argomentato dall’intermediario, che il non funzionamento dell’utenza telefonica, l’avvenuta attivazione di una SIM da parte di un altro soggetto e l’esecuzione di un’operazione tramite utilizzo fraudolento dello strumento di pagamento sono eventi di non immediata associazione da parte dell’utente al fine di percepire la truffa in atto, e fra i quali può intercorrere un lasso di tempo sufficiente affinché il malfattore riesca a compiere la propria azione criminale.
[…] I codici OTP, necessari per il perfezionamento delle operazioni, sono stati carpiti attraverso il già descritto furto di identità telefonica, tramite quindi una manovra fraudolenta nella quale non può certo ravvisarsi una colpa grave del cliente (cfr. Collegio di Milano, decisione n. 7440/2019)” (Collegio di Milano, pronuncia n. 25551/2019).
Alla luce della superiore ricostruzione effettuata sulla base anche delle evidenze dello stesso intermediario, il Collegio rileva che non può ritenersi raggiunta, neppure in via presuntiva, la prova della condotta gravemente colposa da parte della ricorrente nell’utilizzo dello strumento di pagamento e, in particolare, nella custodia dei codici di accesso ex art. 7 d.lgs. 11/2010 tale da rigettare il ricorso (in senso conforme, Collegio di Torino, decisione n. 20307/2018; Collegio di Milano, decisione n. 18278/2018; Collegio di Napoli, decisione n. 10049/2018).
Tuttavia, il Collegio ritiene sussistenti i presupposti per applicare la franchigia.
PER QUESTI MOTIVI
Il Collegio accoglie parzialmente il ricorso e dispone che l’intermediario corrisponda alla parte ricorrente la somma di € 8.650,00, oltre interessi dal reclamo al saldo.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario
corrisponda alla Banca d’Italia la somma di € 200,00, quale contributo alle spese della procedura, e alla parte ricorrente la somma di € 20,00, quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
