• Non ci sono risultati.

COLLEGIO DI ROMA. Membro designato dalla Banca d'italia. Membro di designazione rappresentativa. dei clienti FATTO

N/A
N/A
Protected

Academic year: 2022

Condividi "COLLEGIO DI ROMA. Membro designato dalla Banca d'italia. Membro di designazione rappresentativa. dei clienti FATTO"

Copied!
5
0
0

Testo completo

(1)

COLLEGIO DI ROMA composto dai signori:

(RM) SCIUTO Presidente

(RM) PAGLIETTI Membro designato dalla Banca d'Italia

(RM) ACCETTELLA Membro designato dalla Banca d'Italia

(RM) GRANATA Membro di designazione rappresentativa

degli intermediari

(RM) COEN Membro di designazione rappresentativa

dei clienti

Relatore FRANCESCO ACCETTELLA

Seduta del 24/05/2019

FATTO

1. In sede di denuncia all’Autorità Giudiziaria, l’odierno ricorrente affermava di aver ricevuto, alle ore 16:25 del giorno 11.10.2018, un messaggio “dal numero ufficiale”

dell’intermediario convenuto, nel quale gli veniva chiesto di accedere, attraverso un link, al sito dello stesso intermediario per una verifica della sua carta di pagamento. Una volta inseriti username e password, gli venivano richiesti i dati della carta, che il ricorrente dichiara di non aver inserito. Pochi minuti dopo, riceveva un messaggio “sempre dal numero ufficiale” dell’intermediario, con il seguente testo: “non è stato possibile elaborare la sua richiesta in maniera automatica. Il consulente ID 4**** ha preso in gestione la sua pratica e la contatterà entro 5 minuti dal seguente messaggio. La invitiamo a rispondere.

Distinti saluti”. Contattato telefonicamente, rispondeva alla chiamata e chiedeva all’interlocutore – presentatosi come “membro dell’antitruffa” – di ricontattarlo di sera. Nel frattempo controllava i numeri degli sms ricevuti, riscontrando che si trattava dei numeri ufficiali dell’intermediario. Veniva quindi ricontattato in serata tramite numero privato da un soggetto a conoscenza dei suoi dati personali (nome, cognome, codice fiscale), il quale chiedeva di poter effettuare una verifica della carta per un controllo campione. Il ricorrente dava seguito alla richiesta, fornendo all’interlocutore l’OTP di risposta ottenuto sul proprio lettore bancoposta, dopo aver inserito il codice comunicatogli dallo stesso interlocutore.

Parte ricorrente dichiara di aver appreso il giorno successivo di un ordine di bonifico per l’importo di euro 4.750,50, effettuato con la suddetta carta, in data 11.10.2018, da terzi non autorizzati. Bloccava quindi il conto e presentava reclamo all’intermediario convenuto,

(2)

ottenendo riscontro negativo. Con il presente ricorso, parte ricorrente chiede la restituzione della somma di euro 4.750,50, corrispondente all’importo del predetto bonifico.

2. L’intermediario resistente, con le proprie controdeduzioni, osserva che il ricorrente è stato vittima di phishing perpetrato tramite meccanismi non sofisticati. In particolare, sottolinea che sussistevano diversi elementi rivelatori della natura sospetta delle comunicazioni ricevute, tra i quali gli sms redatti in linguaggio inusuale e con contenuto diverso rispetto ai messaggi genuini dell’intermediario e l’indicazione di un link di reindirizzamento palesemente non riconducibile ai riferimenti ufficiali dell’intermediario.

Evidenzia che, nonostante tali circostanze, il ricorrente si è fidato dell’interlocutore telefonico, dando seguito alle sue richieste senza la minima esitazione e fornendo anche la password monouso generata dal lettore, che di norma viene utilizzato per autenticare le operazioni disposte tramite servizio di home banking. L’intermediario resistente osserva altresì che l’autorizzazione è avvenuta mediante la password “usa e getta” generata da un token, a seguito di transazione “chip & PIN” e allega le schermate estratte dal proprio sito istituzionale concernenti la modalità di autenticazione del pagamento on line contestato.

Parte resistente chiede quindi il rigetto del ricorso.

3. Il ricorrente, in sede di repliche alle controdeduzioni dell’intermediario resistente, sostiene che costituisce «fatto documentale e documentato che gli “operatori” abbiano contattato» il ricorrente «utilizzando due numeri ufficiali» dell’intermediario. Osserva inoltre che l’intermediario deve garantire un ambiente operativo on line sempre più sicuro, stante il perfezionamento delle tecniche informatiche fraudolente, e che non può ravvisarsi alcuna colpa dell’utente per non aver attivato il servizio di sms alert, considerato che tale sistema non sarebbe utile a esonerare l’intermediario dalla predisposizione di presidi di protezione avanzati.

DIRITTO

1. L’operazione contestata dal ricorrente è stata posta in essere mediante la sua carta di pagamento in data 11.10.2018, per cui essa risulta essere stata effettuata dopo l’emanazione della nuova Direttiva 2015/2366/UE del Parlamento europeo e del Consiglio del 25 novembre 2015, (cosiddetta PSD 2 - Payment Services Directive 2), recepita con il d.lgs. n. 218 del 2017 del 15/12/2017, entrato in vigore in data 13/1/2018, che modifica in più punti il d.lgs. n. 11 del 2010.

In estrema sintesi, la nuova normativa fa ricadere sull’intermediario la responsabilità delle operazioni disconosciute laddove quest’ultimo non abbia predisposto un cd. “sistema di autenticazione forte”. Un simile sistema deve essere applicato, stando alla previsione dell’art. 10-bis, dai prestatori di servizi di pagamento anche quando l'utente dispone un'operazione di pagamento elettronico (b) ovvero effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi (c).

Quanto alla responsabilità del pagatore, ai sensi del comma 2-bis dell’art. 12 d.lgs. n.

11/2010, come inserito dal d.lgs. n. 218/2017, “salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente”.

Qualora il prestatore di servizi di pagamento abbia adottato un sistema di autenticazione forte del cliente, si ricade nelle fattispecie regolate dai commi terzo e quarto dell’art. 12 d.lgs. n. 11/2010. In base al primo, “salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a

(3)

operazioni di pagamento non autorizzate derivanti dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita”. Mentre, ai sensi del secondo, “qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all’articolo 7, con dolo o colpa grave, l’utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”. A sua volta, l’art. 7 del decreto prevede gli obblighi che l'utente dei servizi di pagamento deve osservare in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate. In particolare, il comma primo, lett. a) impone a costui di “utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l'emissione e l'uso”, mentre il comma secondo dispone che, ai fini del corretto utilizzo dello strumento di pagamento, “l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”. Il Provvedimento della Banca d’Italia del 5.7.2011 di attuazione del Titolo II del decreto legislativo 27 gennaio 2011, n. 11 relativo ai servizi di pagamento (Diritti ed obblighi delle parti), ribadisce e precisa le suddette previsioni normative.

Va altresì richiamata la previsione dell’art. 10, comma 1, d.lgs. n. 11/2010 [così come introdotto dall'art. 2, comma 10, lettera c) d.lgs. n. 218/2017], in relazione alla prova di autenticazione ed esecuzione delle operazioni di pagamento: “Qualora l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita (…), è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Il comma secondo della medesima norma precisa che: “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7.

È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.

2. Nel caso di specie, l’intermediario resistente rileva che l’operazione contestata è stata effettuata mediante inserimento di una password generata da un lettore (token), previo inserimento della carta di pagamento all’interno del lettore stesso. Al riguardo, produce una schermata informatica esemplificativa delle modalità di esecuzione dell’operazione attraverso il lettore. Da essa si evince che – a fronte della dinamica descritta dal ricorrente, in base alla quale l’interlocutore telefonico non avrebbe richiesto il PIN, ma solo il codice OTP di risposta – per effettuare operazioni mediante il lettore è necessario inserire l’“ID operazione” e il “PIN della carta”. L’intermediario resistente allega altresì due ulteriori schermate informatiche, la prima a riprova della corretta esecuzione e contabilizzazione dell’operazione, la seconda a dimostrazione del tentativo di recall del bonifico contestato, tentativo che risulta essere stato effettuato in data 12.11.2018 e rifiutato dalla banca ricevente, in assenza del benestare del beneficiario.

In merito alla condotta dell’intermediario resistente, emerge dunque dai suddetti elementi che l’operazione è stata effettuata mediante l’utilizzo di un sistema di autenticazione “forte”

– nel caso di specie basato sull’utilizzo di un lettore generante password monouso – che, per costante orientamento di questo Arbitro e di questo Collegio (cfr. Collegio di Roma, decisioni n. 8558/2019, n. 24759/2018, n. 16900/2018, n. 474/2018 e n. 6606/2016), si

(4)

ritiene assicuri al cliente il massimo grado di protezione che l’intermediario può garantire con l’attuale stato della tecnologia. In particolare, esso preclude a un terzo di accedere al conto del cliente e di utilizzare i suoi strumenti di pagamento se non conoscendo le sue credenziali. Dalla documentazione in atti, può ritenersi dunque che l’intermediario resistente abbia dato dimostrazione della vigenza, per le transazioni on line e, in particolare, per quella disconosciuta dal ricorrente, di un sistema di sicurezza “forte” e dell’accessibilità dello stesso solo al cliente, con la conseguenza di ritenersi assolto l’onere della prova richiesta dall’art. 10 d.lgs. n. 11/2010 in merito all’autenticazione e alla corretta registrazione e contabilizzazione delle operazioni.

3. Quanto al comportamento dell’utente, è orientamento costante di questo Arbitro e di questo Collegio quello di ritenere che, in ipotesi caratterizzate dalla presenza di artifizi e raggiri della medesima tipologia di quelli di cui è rimasto vittima il ricorrente, note con il termine phishing (o smishing), l’utente del servizio di pagamento che dà corso all’operazione versi in colpa grave. Si giunge a una simile conclusione sulla base della constatazione dell’ampia diffusione di tale fenomeno, quantomeno nella sua variante classica che si realizza tramite invio di un’email o di un sms truffaldini, nonché della considerazione che l’impiego da parte dell’utente di una media diligenza risulti sufficiente a scongiurare tale pericolo e quindi a evitare la truffa (cfr. Collegio di Roma, decisione n.

2224/2019, decisione n. 23436/2018 e decisione n. 20470/2018). Nella vicenda in esame, è lo stesso ricorrente a dichiarare di essere incappato in un caso di phishing, affermando di essere stato contattato prima tramite sms e poi telefonicamente da un soggetto che erroneamente credeva essere un addetto alla sicurezza dell’intermediario resistente e di aver dato seguito alle istruzioni ricevute tramite i due canali di contatto. In tal modo il ricorrente ha consentito un utilizzo abusivo delle sue credenziali di accesso, permettendo così a terzi di effettuare l’operazione fraudolenta. Tenuto conto delle circostanze del caso concreto, il ricorrente deve essere considerato vittima di colpevole credulità, in quanto le modalità con le quali la truffa è stata realizzata rientrano tra quelle più diffuse e conosciute, che qualunque fruitore di servizi on line, dotato di normale avvedutezza e prudenza, deve essere in grado di riconoscere ed evitare (cfr. Collegio di Coordinamento n. 3498 del 26/10/2012; con riferimento ad un’analoga fattispecie fraudolenta, Collegio di Roma, decisione n. 2881/2018).

Tutto ciò premesso, allo stato delle risultanze agli atti, può ritenersi raggiunta la prova della condotta gravemente colposa da parte del ricorrente nell’utilizzo dello strumento di pagamento e, in particolare, nella custodia dei codici di accesso ex art. 7 d.lgs. n. 11/2010, con la conseguenza di doversi accertare una sua responsabilità ai sensi dell’art. 12, comma 3, del medesimo decreto.

La richiesta del ricorrente di rimborso della somma indebitamente sottratta non può dunque essere accolta.

PER QUESTI MOTIVI Il Collegio respinge il ricorso.

IL PRESIDENTE

(5)

firma 1

Riferimenti

Documenti correlati

Inoltre, il lungo tempo trascorso tra la richiesta di emissione del titolo e quella di annullamento (dall’11.01.2019 al 24.01.2019), imputabile al ricorrente, avrebbe agevolato

Nel contratto di specie il TAEG viene indicato nella misura del 13,92%; parte ricorrente sostiene che tale misura non corrisponde al TAEG effettivo, che afferma essere pari al

carta di credito di cui il ricorrente era titolare, dal momento che ciascuna transazione è stata effettuata mediante l’inserimento dell’OTP, del codice numerico monouso, che

5 del DM, apponendo sul modulo cartaceo della precedente serie “P”, due timbri: (i) sul fronte del titolo, il timbro recante la lettera di appartenenza della “serie Q/P” e (ii)

 corrisponde al vero che il compromesso sia stato firmato a novembre 2018 e quindi prima della concessione del credito ma la sottoscrizione del contratto non deve apparire

Ciò premesso, in base a quanto affermato e versato in atti dall’intermediario risulta che il cliente in qualità di titolare dell’omonima ditta individuale aveva ottenuto, nel mese di

Per quanto concerne il Preventivo del Mutuo del 24.06.2020, relativo alla richiesta di finanziamento di euro 520.800 della durata di 30 anni, il punto 4 – Tasso di Interesse e

Quest’ultimo è infatti volto a definire “ogni obbligazione assunta (…) [dal ricorrente] in relazione alla posizione debitoria” derivante dalla risoluzione del Contratto e