COLLEGIO DI NAPOLI
composto dai signori:
(NA) CARRIERO Presidente
(NA) SANTAGATA DE CASTRO Membro designato dalla Banca d'Italia
(NA) GIUSTI Membro designato dalla Banca d'Italia
(NA) GENOVESE Membro di designazione rappresentativa
degli intermediari
(NA) GIGLIO Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - SANTAGATA DE CASTRO RENATO
Seduta del 01/12/2020
FATTO
Il ricorrente riferisce che: a) in data 22.4.2020, verso le ore 10.50, veniva contattato telefonicamente da un operatore dell’intermediario resistente che lo avvertiva di un’operatività anomala a valere sulla propria carta di credito; b) in esito a tale contatto, provvedeva a bloccare questa carta di credito e contattava poi il servizio clienti per ricevere ulteriori informazioni: apprendeva, nell’occasione, che con la sua carta erano state effettuate numerose operazioni già partire dal mese di marzo; c) considerato che l’ultimo utilizzo da lui personalmente effettuato risaliva al 30.1.2020, disconosceva tutte le successive transazioni e presentava querela presso l’Autorità di Polizia.
Tanto premesso, il ricorrente precisa di non avere mai perso il possesso del proprio telefono cellulare e della carta di credito, ma riferisce che, a partire dal 19.3.2020, la sua utenza telefonica non è più funzionante; dopo numerosi reclami e lunghi accertamenti da parte del provider del servizio, l’istante aveva appreso che l’utenza era stata trasferita su altro device e ad altro operatore telefonico; riusciva a riattivare la linea sul proprio telefono soltanto a metà del mese di aprile 2020.
Il ricorrente sostiene, in ogni caso, di non aver mai comunicato a terzi nessun dato (codici, password, o altro) rimesso alla propria custodia e che, con tutta evidenza, altri soggetti, acquisita fraudolentemente la disponibilità della (sola) linea telefonica, sono stati in grado di aggirare con estrema semplicità i non sufficienti ed inadeguati sistemi di protezione (tutt’altro che full-secure) predisposti dall’istituto di credito. All’istante appare chiaro che i
“sistemi di sicurezza” hanno consentito, con il furto di linea e senza il possesso della carta,
del cellulare o dei codici di utilizzo, di effettuare acquisti all’insaputa del titolare della carta che, evidentemente, non è stato messo in alcun modo in condizione di poter evitare o controllare "effettivamente" gli acquisti effettuati; il metodo di protezione utilizzato dall’istituto di credito prevedeva, infatti, unicamente l’invio, a scopo informativo, di un sms, mentre nessuna conferma era richiesta per l’autorizzazione della spesa. Il sistema adottato ha consentito, inoltre, addirittura a soggetti terzi di effettuare la registrazione sul portale dell’intermediario e di inserire dati falsi da utilizzare a proprio piacimento.
Riscontrato negativamente il reclamo, il ricorrente chiede all’Arbitro di accertare e dichiarare il proprio diritto ad ottenere dall’intermediario convenuto il rimborso di euro 10.240,60, oltre interessi legali (richiesti soltanto in sede di repliche).
Costituitosi ritualmente, l’intermediario chiede il rigetto del ricorso, escludendo ogni sua responsabilità, evidenziando le seguenti circostanze di fatto utili per la ricostruzione della vicenda in esame: 1) il ricorrente provvedeva a disconoscere – mediante due distinte comunicazioni del 22.4.2020 e del 14.5.2020 – tutte le transazioni effettuate mediante carta di credito, di cui era titolare, dall’1.3.2020 sino al momento del blocco della stessa avvenuto in data 22.4.2020 e, con nota dell’11.5.2020, si informava il cliente che era stato accordato lo storno, dalla posizione della suddetta carta, di un importo pari ad euro 384,76, per le sole transazioni avvenute su siti internet non certificati avvenute senza l’utilizzo della password dinamica; 2) contestualmente, veniva rilevato come le restanti transazioni contestate erano state autenticate mediante invio di password dinamica sull’utenza telefonica mobile che risultava associata dal cliente alla carta di credito; inoltre, si segnalava come l’accesso all’area riservata sul sito dell’intermediario era avvenuta mediante la corretta autenticazione ed i dati forniti erano di esclusiva conoscenza/disponibilità del cliente, in quanto derivanti dal possesso della carta e delle lettere di addebito indirizzate alla sua residenza, dati rimessi alla sua custodia/riservatezza; 3) in ragione di ciò, le transazioni in questione erano da intendersi in ogni caso a suo carico poiché effettuati in modalità full 3D secure; 4) con comunicazione del 14.5.2020, il ricorrente specificava che tali transazioni fraudolente erano avvenute a propria insaputa, in quanto l’utenza telefonica a lui intestata, cui venivano inviati gli sms per effettuare le operazioni e i relativi alert, era stata trasferita – ad opera di un terzo soggetto – ad un altro operatore, perfezionandosi così una duplicazione della SIM:
chiedeva, pertanto, la restituzione di euro 5.430,95 per le transazioni effettuate nel mese di marzo e di euro 4.773,65 per il mese di aprile, ritenendo responsabile la resistente per l’inefficiente funzionamento del sistema di protezione dei pagamenti da questa predisposto; 5) con comunicazione del 26.5.2020, la convenuta ribadiva quanto già esposto nel precedente riscontro, essendo le transazioni contestate avvenute in modalità full-secure (autenticazione della carta/trx dell’esercente, anche quest’ultimo è infatti risultato certificato 3D secure dal circuito) e segnalava che la frode era stata resa possibile per le carenze nel processo presso il fornitore telefonico.
Così ricostruita la vicenda, l’intermediario evidenzia che il caso di specie debba essere valutato alla stregua di quanto previsto l’art. 7, d.lgs. n. 11/2010. In primo luogo, la convenuta rappresenta che le contestazioni mosse dal ricorrente fanno riferimento ad una frode di n. 15 operazioni, di cui n. 13 “Full 3D secure” e perfezionate a seguito dell’inserimento del codice OTP inviato al numero di cellulare di cui egli risultava titolare.
L’intermediario ha provveduto al rimborso di n. 2 operazioni – non coperte dal sistema Full secure – effettuate su siti non sicuri, riconoscendo il diritto di chargeback al cliente (gli importi delle singole operazioni ammontavano ad euro 279,45 e ad euro 105,31). Con riferimento alle restanti n. 13 operazioni fraudolente oggetto di contestazioni, la resistente fa presente che sono state predisposte, attivate e risultate funzionanti tutte le misure di protezione: il sistema full-3D secure risultava effettivamente attivo e funzionante per la
carta di credito di cui il ricorrente era titolare, dal momento che ciascuna transazione è stata effettuata mediante l’inserimento dell’OTP, del codice numerico monouso, che veniva inviato a mezzo SMS sul cellulare registrato a sistema e fornito dal cliente al momento della registrazione sul portale (avvenuta il 5.1.2014). La resistente deduce altresì che: i) il codice OTP ricevuto per sms è un codice monouso, quindi differente per ogni transazione che si intende effettuare; ii) il sistema prevedeva anche l’invio di alert relativi alle transazioni, nel caso di specie rivelatesi poi fraudolente, effettivamente inviati all’utenza telefonica indicata dal cliente; iii) con riferimento all’accesso al portale della carta di credito ed alla relativa autenticazione, l’intermediario segnala che ciò è stato possibile soltanto attraverso l’inserimento dei dati di esclusiva conoscenza e disponibilità del cliente, derivanti dal possesso della carta e delle lettere di addebito indirizzate alla sua residenza, la cui sottrazione non può essere addebitabile all’intermediario; iv) viste le circostanze in cui è avvenuta la frode denunciata dal cliente, appare evidente la correttezza del funzionamento del sistema di sicurezza dei pagamenti full 3D, nella cui competenza non può rientrare anche il dovere di garantire la sicurezza dell’utenza telefonica, che risulta soltanto associata alla carta, ma la cui gestione è rimessa esclusivamente al gestore di telefonia prescelto dal cliente; v) è da escludersi pertanto qualsiasi addebito di responsabilità all’intermediario per le transazioni fraudolente compiute a danno del ricorrente, in quanto le carenze e le inefficienze che hanno permesso a terzi soggetti di far uso della liquidità sulla carta non sono in alcun modo attribuibili al sistema di sicurezza dei pagamenti messo a disposizione dei clienti, che risulta conforme agli standard stabiliti dalla relativa normativa richiamata; vi) l’elemento di debolezza sia da rinvenirsi nelle circostanze che hanno consentito la clonazione della SIM di cui era titolare il ricorrente e del passaggio ad altro operatore telefonico della sua utenza in mancanza del suo consenso; vii) tra la data di presentazione della richiesta di ritrasferimento dell’utenza dal precedente operatore a quello attuale (20.3.2020) e la data di presentazione del modulo di contestazione e della denuncia querela (22.4.2020) è trascorso un periodo di tempo superiore ad un mese; eppure, il ricorrente era consapevole del fatto che, sull’utenza oggetto di richiesta di ritrasferimento, potevano pervenire codici utili per l’utilizzo del conto corrente di cui era titolare, con evidente colpa grave del medesimo, ai sensi delle citate disposizioni di legge: da quest’ultime circostanze la resistente deduce in particolare che, già in data 19.3.2020, il ricorrente avrebbe dovuto richiedere l’immediato blocco della sua carta di credito, dato che le operazioni contestate sono tutte contestuali o successive a tale data (si veda l’elenco contenuto nello stesso modulo “Fast Claim”); viii) vi è un’incongruenza insita nel fatto che, secondo quanto precisato nel ricorso, l’utenza oggetto di indebito trasferimento sarebbe stata recuperata dal ricorrente “a metà aprile”, mentre il secondo gruppo di operazioni risulta effettuato successivamente, cioè nella giornata del 22.4.2020.
Il ricorrente deposita repliche alle controdeduzioni dell’intermediario, ove precisa che è stato vittima della cosiddetta “Sim swap fraud”, truffa descritta dalla Polizia di stato tramite comunicato stampa diffuso il 2.7.2018; nel caso in esame, la scoperta della truffa, già normalmente molto difficile, è stata resa ancora più complicata dalle circostanze connesse al lockdown da Covid-19. È evidente che la truffa subita risulta avere avuto luogo tramite un intervento sul numero di cellulare, sul quale si fonda il sistema di autenticazione delle operazioni di acquisto con la carta di credito. La sostituzione della SIM card ha consentito, di fatto, di bypassare il sistema di autenticazione a doppio fattore, poiché il c.d. codice OTP viene ricevuto da chi ha fraudolentemente carpito l’identità telefonica, ottenendo una nuova SIM, attiva e funzionante; con il semplice sim swap, soggetti terzi sono stati addirittura in grado di accedere al profilo dell’esponente sul portale utenti e di cambiare sia la modalità di autorizzazione che la mail di riferimento (l’istante cita in proposito un
orientamento dell’Arbitro univoco e consolidato: cfr. ABF Napoli, n. 13889/2019; ABF Roma, n. 94/2017, e, da ultimo, ABF Milano, n. 5895/2020); in altri termini, il solo possesso del numero telefonico ottenuto attraverso il sim swap, ha consentito di accedere al portale e di inserire, senza essere in possesso di altri dati, una nuova mail per l’accesso al sito e per il connesso controllo delle operazioni e non era più in grado di accedere a nessuna delle sue funzionalità connesse all’uso della carta, né via cellulare, né via mail, né attraverso il portale dell’istituto di credito.
Il ricorrente deduce altresì che: 1) il rischio di obsolescenza delle tecniche di protezione rispetto all’evoluzione delle operazioni fraudolente non può che gravare sull’intermediario, e non soltanto per la natura professionale, ma anche perché, in relazione alla clientela genericamente intesa, è in grado di intercettare per primo l’avanzamento della tecnica di frode, essendo per il consumatore di regola un’esperienza posteriore e unica; e, come rilevabile dalle evidenze depositate dall’intermediario, tra le ore 11.27 e le ore 13.39, sono state effettuate ben n. 16 richieste di autorizzazione di acquisto attraverso il canale internet, richieste che si sono fermate una volta esaurito il tetto massimo di spesa mensile per poi riprendere nel mese successivo. L’istante reputa dunque di tutta evidenza che l’intermediario, considerato l’usuale sporadico utilizzo della carta da parte del proprio cliente, avrebbe dovuto immediatamente rilevare il rischio di frode e bloccare la carta;
nell’arco del 2018 e del 2019, infatti, l’attore aveva effettuato tra le n. 20 e le n. 25 operazioni nella quasi totalità presso negozi e, considerata la normale frequenza di utilizzo (1 o 2 volte al mese), le operazioni dovevano senz’altro essere valutate come sospette;
l’intermediario, solo in data 22.4.2020, dopo l’ennesima inusuale serie di operazioni, contattava (finalmente) per telefono il ricorrente per segnalare l’uso anomalo dello strumento di pagamento; il blocco della carta sarebbe invece dovuto scattare già allorquando in data 19.3.2020, tra le ore 11.27 e le ore 13.39, venivano effettuate ben n.
16 richieste di autorizzazione di acquisto attraverso il canale internet. Da ciò il ricorrente desume che, nel caso in esame, non risultano essere entrati tempestivamente in funzione sistemi di monitoraggio e blocco automatico delle operazioni sospette, pur essendoci state un numero così significativo di richieste di autorizzazione nell’arco di poco più di due ore, a fronte delle venti operazioni annue normalmente effettuate, con la conseguenza che le operazioni dovevano senz’altro essere immediatamente valutate come sospette e portare al blocco immediato della carta (cita al riguardo le decisioni di: ABF Palermo, n.
5860/2017; ABF Milano, n. 320/2016; ABF Roma, n. 94/2017). Secondo parte attrice, la convenuta avrebbe dovuto avvedersi di queste circostanze, non certo monitorando direttamente ogni singola operazione, ma predisponendo sistemi automatici di blocco delle operazioni da postazione remota in presenza di comportamenti decisamente non in linea con l’operatività del proprio cliente (cfr. ABF Milano, n. 888/2011); nel caso di specie l’uso indebito della carta appare all’istante allora palese dall’anomalia delle operazioni effettuate, sia per numero che per importo (v. sul punto Cass. n. 16333/2016), sicché emerge – secondo parte attrice – una sicura responsabilità del gestore della carta che può essere identificata nella mancanza di controlli sull’andamento del conto e nel non aver prontamente attivato tutte quelle cautele idonee ad evitare l’uso indebito della carta da parte di soggetti privi di autorizzazione; ne consegue che l’intermediario, nel caso di specie, è responsabile anche per non aver predisposto idonei strumenti per evidenziare e/o bloccare automaticamente comportamenti che erano oggettivamente anomali (cfr. ABF Roma, n. 9296/16).
Il ricorrente sottolinea anche il dato di aver avuto conoscenza delle operazioni effettuate con la propria carta soltanto in data 22.4.2020 allorquando, rientrato in possesso della propria linea telefonica, veniva contattato dall’intermediario che (finalmente, dopo ben trentuno richieste di autorizzazione di spesa concentrate in soli otto giorni tra il 19.3.2020
e il 22.4.2020) rilevava un probabile uso “anomalo” della carta di credito; in pari data lo stesso provvedeva a richiedere il blocco della carta. L’istante reputa allora evidente che il sistema adottato dall’intermediario si è rivelato assolutamente inaffidabile, dal momento che l’attore è stato sempre nella piena ed esclusiva disponibilità dello strumento di pagamento, del terminale telefonico e delle password di accesso e la resistente non ha adeguato i propri sistemi di sicurezza né sotto il profilo della protezione da sim swap, né sotto il profilo del rilievo dell’anomalia delle operazioni con conseguente immediato blocco della carta. Parte ricorrente ritiene, pertanto, di aver diritto all’ importo pari ad euro 10.204,60 oltre interessi legali.
L’intermediario deposita controrepliche, ove, nel riportarsi integralmente al contenuto delle controdeduzioni evidenzia preliminarmente, in rito, che il procedimento dinanzi all’ABF soggiace agli ordinari criteri in punto di ripartizione dell’onere della prova, come disciplinati nel processo civile e, pertanto, deve ritenersi inammissibile il deposito di ulteriore documentazione allegata alla memoria di replica, trattandosi, anche in questo caso, di documentazione che il ricorrente avrebbe dovuto produrre sin dall’avvio del procedimento.
A tal proposito, la convenuta puntualizza che, pur nell’ambito di un giudizio flessibile come quello innanzi all’Arbitro, appare ragionevole ravvisare la sussistenza di talune preclusioni, che risultano necessarie a coordinare logicamente gli atti delle parti (in tal senso: ABF Milano, n. 8941/2016); ed il ricorrente, a dire della convenuta, ha dedotto circostanze nuove a fondamento della sua domanda: in particolare, avrebbe ampliato l’ambito oggettivo del presunto inadempimento adducendo che l’intermediario avrebbe dovuto procedere al blocco automatico delle operazioni sospette e della carta stessa. Ebbene, tali circostanze non venivano rilevate, e tanto meno contestate, né in sede di reclamo, né in sede di ricorso, venendo quindi introdotte per la prima volta con la memoria di replica.
Alla luce di quanto sopra, la resistente reputa che le circostanze nuove non possano essere poste a fondamento della richiesta rivolta all’Arbitro e perciò devono ritenersi inammissibili.
Ciò premesso, la resistente fa presente che la ricostruzione del ricorrente (secondo cui il mero passaggio di utenza telefonica, con trasferimento ad altro operatore e mantenimento del medesimo numero, avrebbe consentito a terzi soggetti di bypassare il sistema di autenticazione Full 3D secure mediante invio di OTP e di accedere al proprio profilo utente sull’apposito portale e cambiare sia la modalità di autorizzazione sia la mail di riferimento) è del tutto inveritiera poiché fondata su presupposti erronei o inesistenti; in particolare: i) il sistema di sicurezza Full 3D secure predisposto dalla Banca ha correttamente funzionato nel caso di specie, senza che peraltro nessuna anomalia o errore siano stati riscontrati o documentalmente provati dal cliente; ii) dall’esame della tracciatura informatica emerge che le operazioni disconosciute sono state effettuate con le credenziali della carta, tramite commercio elettronico con protocollo 3D secure e l’inserimento dei codici OTP inviati al numero mobile certificato del cliente; iii) il numero di cellulare al quale sono stati inoltrati gli OTP tramite SMS è coincidente con quello indicato dalla controparte nel ricorso, nel reclamo, nel modulo di disconoscimento delle operazioni presentato alla Banca e a quello indicato nella denuncia-querela presentata alle Autorità di Polizia dall’istante; iv) il sistema di sicurezza e autentificazione fornito dalla Banca è qualificabile come sistema ad autenticazione forte (sistema a duplice fattore tramite inserimento dei dati della carta di credito e di un codice OTP di conferma generato automaticamente ed inviato sul numero di cellulare del cliente), caratterizzandosi per la presenza di almeno due elementi, che nel caso di specie corrispondono all’elemento della conoscenza – in quanto solo il cliente era a conoscenza di dati quali il PIN, la password, il numero della carta, PAN, CVC2 e data di scadenza (elemento di autentificazione statico) – ed all’elemento del possesso – in quanto l’unico possessore dei codici One Time Password (OTP) ricevuti via SMS per autenticare
le transazioni avvenute era il titolare dell’utenza telefonica collegata alla carta di credito –;
v) i fattori di autentificazione di cui sopra risultano – contrariamente a quanto affermato dal ricorrente – tra loro in un rapporto di indipendenza, requisito essenziale ai fini della qualificazione del sistema rafforzato di autentificazione: l’accesso ad un fattore non consente l’accesso ad altro fattore e la compromissione di uno di essi non influisce sull’integrità o sulla riservatezza dell’altro salvaguardando dalla possibilità di eludere la doppia autentificazione e non sussiste una relazione funzionale tra le singole misure di sicurezza [in tal senso, l’intermediario richiama anche l’orientamento espresso dalla European Banking Authority, nell’ambito delle Final Q&A 2018_4039 relative alla Direttiva 2015/2366/EU (PSD2), secondo cui gli OTP inviati tramite SMS sono considerati validi per dimostrare il possesso del telefono a cui sono inviati, generalmente un numero precedentemente comunicato alla banca, e certificato].
La resistente fa rilevare poi che, dalla circostanza dichiarata dallo stesso istante sia nel ricorso sia in sede di repliche che egli è rimasto sempre in possesso del suo cellulare, può desumersi che le operazioni risultano essere legittime, regolari e correttamente perfezionate; ribadisce quindi che risulta chiaro e provato che le operazioni oggetto di contestazione sono state eseguite mediante un sistema multifattoriale e che le stesse siano state autenticate, correttamente registrate e contabilizzate, in conformità con l’art.
10, d. lgs. n. 11/2010 e nel rispetto del dovere di diligenza professionale e qualificata dell’art. 1176, comma 2, c.c., attraverso l’adozione di misure di protezione adeguate rispetto agli standard esistenti sia rispetto ai canoni di diligenza del bonus argentarius. La convenuta reputa altresì illogica e non supportata da elementi probatori la tesi del ricorrente secondo cui la sim swap avrebbe consentito a terzi di accedere al portale utenti, modificare le modalità di autorizzazione e la mail di riferimento, in quanto: 1) non sono stati forniti elementi utili alla ricostruzione, neppure in via ipotetica, delle modalità con cui i soggetti terzi possano essere venuti in possesso delle credenziali del ricorrente e dei codici autorizzativi necessari per il compimento delle operazioni; 2) non è riscontrabile alcun nesso logico tra il mero cambio di utenza e di operatore telefonico con la sottrazione di dati quali le credenziali di accesso al conto e di autenticazione: tali dati non venivano comunicati al cliente per via telefonica o telematica, proprio al fine di evitare che soggetti terzi potessero venirne a conoscenza; 3) i dati necessari per la registrazione ai servizi connessi con la carta di credito, mediante accesso al portale dei titolari delle carte e conseguente autenticazione, derivanti dal possesso della carta di credito e dalle lettere di addebito pervenute alla sua residenza, erano stati posti nell’esclusiva conoscenza e disponibilità del ricorrente, su cui gravava l’esclusivo onere di custodia e riservatezza; 4) il ricorrente procedeva alla registrazione sul portale DB il 5.1.2014 e non adduce alcun fatto, evento o circostanza per cui il codice titolare, il pin o il codice di accesso al portale sarebbero stati comunicati dalla Banca al cliente per via informatica/telematica e pertanto potuti essere, potenzialmente, suscettibili di appropriazione da terzi soggetti che operano con le medesime modalità; 5) si deve quindi presumere che, anche alla luce del comportamento diligente della Banca nell’adottare gli adeguati sistemi di autenticazione, il perfezionamento delle operazioni di pagamento ad opera di terzi soggetti sia stato possibile soltanto a causa della grave mancanza di diligenza del ricorrente, che non ha osservato l’obbligo di custodire, preservare e mantenere riservati i codici e i dati relativi alla carta di credito e i codici relativi all’accesso del portale utente DB e all’utilizzo delle sue funzionalità, dati che erano nel suo esclusivo possesso e sua esclusiva disponibilità.
In ragione di questi dati di fatto, la resistente imputa al ricorrente la violazione degli obblighi imposti dall’art. 7, d.lgs. n. 11/2010 e, nello specifico, la colpa grave costituita da una «straordinaria e inescusabile» imprudenza, negligenza o imperizia, che deve essere valutata anche tenendo conto del suo comportamento successivo al sim swap (del
19.3.2020); in relazione a ciò, la convenuta stigmatizza i seguenti dati: a) il ricorrente ha avuto conoscenza delle operazioni effettuate con la propria carta solamente in data 22.4.2020 allorquando, rientrato in possesso della propria linea telefonica, veniva contattato dalla Banca; b) tra la data di presentazione della richiesta di ritrasferimento dell’utenza al precedente operatore (20.3.2020) e la data di presentazione del Fast Claim e della denuncia querela (22.4.2020) è perciò trascorso un periodo di tempo superiore ad un mese; c) il ricorrente era quindi consapevole (già a partire dal 19.3.2020) del fatto che, sull’utenza oggetto di richiesta di ritrasferimento, potevano pervenire codici utili per l’utilizzo del conto corrente di cui era titolare, con evidente colpa grave del medesimo, ai sensi delle citate disposizioni di legge, come chiaramente desumibile dalla citata richiesta di ritrasferimento; d) le operazioni contestate sono tutte contestuali o successive a tale data (si veda l’elenco contenuto nello stesso fast claim); e) usando l’ordinaria diligenza, già in data 19.3.2020, il ricorrente avrebbe dovuto richiedere l’immediato blocco della sua carta di credito proprio in ragione della conoscenza del collegamento dell’utenza telefonica con l’utilizzo della carta di credito di cui il ricorrente era titolare.
In relazione alla doglianza del ricorrente secondo cui, a fronte delle diverse operazioni poste in essere con la propria carta di credito, poi dallo stesso disconosciute, la banca avrebbe dovuto provvedere, autonomamente e automaticamente, al blocco delle stesse e della carta di credito, l’intermediario replica che il tetto di spesa mensile della carta di credito è stato effettivamente rispettato con riferimento alle operazioni in questione, impedendo che ne venissero effettuate per un importo maggiore a quello previsto; in secondo luogo, le circostanze, peraltro non dimostrate, che il ricorrente farebbe uso sporadico della propria carta di credito e avrebbe usato la stessa prevalentemente per effettuare acquisiti presso attività commerciali sono – secondo la resistente – del tutto prive di rilevanza, poiché proprio durante il periodo di lockdown per l’emergenza Covid-19 si è assistito ad un incremento dei pagamenti ed operazioni di acquisto online. Infine, per quanto concerne il blocco della carta di credito, l’intermediario evidenzia che i princìpi e gli orientamenti espressi dalla giurisprudenza ABF e di merito citata dal ricorrente a sostegno delle proprie asserzioni non possono in alcun modo riferirsi al caso di specie e quindi trovarvi analoga applicazione: nei casi trattati dall’Arbitro, il thema decidendum riguarda infatti il blocco della carta di credito per la sottrazione di somme di denaro dal conto corrente mediante prelievi effettuati su un ATM da terzi soggetti, mentre le circostanze fattuali alla base degli orientamenti espressi sono del tutto differenti rispetto al caso di specie. Ciò anche in ragione dei limiti di legge imposti, ad esempio, sul prelievo del contante che comportano il registrarsi di maggiori anomalie rispetto all’effettuazione di operazioni di pagamento online, risultanti comunque nell’àmbito delle facoltà dell’utilizzatore all’interno dell’importo limite stabilito. Nel caso in esame, l’operazione avrebbe potuto dare luogo ad un blocco automatico se effettuata, a mero titolo di esempio, per importi considerevoli, o se fosse stato ritirato del denaro contante con prelievi ripetuti o, ancora, se fosse stata effettuata all’estero.
DIRITTO
Il Collegio deve dar conto, anzitutto, di una eccezione di rito sollevata dalla resistente nelle controrepliche, ove si chiede di non tener conto della documentazione inoltrata dal ricorrente in sede di repliche.
È noto che, alla stregua delle Disposizioni di funzionamento dell’ABF pro tempore vigenti, con la memoria di replica la parte può soltanto ribadire, puntualizzare o approfondire le argomentazioni già svolte in ricorso (purché sia rispettato il principio del contraddittorio). E, nel caso di specie, non pare che il ricorrente abbia, in alcun modo, esteso l’oggetto della
controversia sottoposta all’Arbitro, limitandosi a sviluppare alcune argomentazioni di supporto alla pretesa avanzata nell’atto introduttivo.
Ciò posto, oggetto del ricorso è la richiesta del rimborso di n. 15 operazioni non autorizzate, per un importo complessivo di euro 10.204,60, effettuate online tramite una carta di credito intestata al ricorrente in un arco temporale di oltre un mese, ricompreso tra il 19.3.2020 ed il 22.4.2020, poste in essere sotto il vigore del d.lgs. 27 gennaio 2010, n.
11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366, relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2).
Occorre precisare che l’intermediario ha già provveduto al rimborso dell’importo complessivo di euro 384,76 (relativo alle operazioni realizzate su “siti non sicuri” per euro 279,45 e per euro 105,31), sicché il totale delle operazioni disconosciute, pertanto, ammonta ad euro 9.819.84.
Dalla documentazione in atti possono evincersi le seguenti circostanze.
Il ricorrente produce in atti l’articolata denuncia alle Autorità di Polizia presentata in data 22.4.2020, dopo essere stato contattato da un operatore della banca resistente che lo avvisava di un’operatività anomala sulla sua carta di credito. L’operatività contestata si sviluppa lungo un arco temporale piuttosto esteso, di circa due mesi, nel corso dei quali il ricorrente – come egli stesso precisa nella denuncia – aveva ravvisato il malfunzionamento della propria utenza telefonica che risultava, per tutto il periodo, a lui inattiva poiché era stata senza autorizzazione trasferita su altro device e ad altro provider telefonico. Il ricorrente lamenta pure l’accesso non autorizzato nell’area clienti riservata del sito dell’intermediario, con successiva modifica dei propri dati quali l’e-mail per le comunicazioni periodiche.
La questione del disconoscimento di operazioni di prelievo delle quali il ricorrente afferma il carattere fraudolento, più volte posta all’attenzione dell’Arbitro, va affrontata e risolta in base a due fondamentali elementi di giudizio: 1) la valutazione dell’adeguatezza sia degli standard di sicurezza del sistema adottato dall’intermediario sia dei segnali di eventuali anomalie, quali espressioni della sua diligenza professionale (ai sensi dell’art. 1176, comma 2, c.c.); 2) l’osservanza, da parte dell’utilizzatore dei servizi di pagamento, delle disposizioni previste dagli artt. 7 e 9, d.lgs. 11/2010.
Sotto il primo profilo, va ricordato il disposto dell’art. 10, comma 2°, d.lgs. 11/2010, secondo cui “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7. E' onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
La questione relativa all’onere – posto in capo all’intermediario dalla norma testé citata – di fornire la prova del dolo o della colpa grave dell’utilizzatore nei casi di utilizzo fraudolento di uno strumento di pagamento è stata recentemente affrontata dal Collegio di Coordinamento di questo Arbitro, nella decisione n. 22745/2019, stabilendo il seguente principio di diritto: “la previsione di cui all’art. 10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’autenticazione e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive
dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.
Ebbene, nel caso di specie, l’intermediario non ha fornito riferimenti in ordine al sistema di autenticazione che ha presidiato l’esecuzione delle operazioni contestate, limitandosi a segnalare di avere già provveduto al rimborso delle operazioni effettuate sui siti che non adottavano il protocollo con doppio fattore di autenticazione e rifiutando di riaccreditare le transazioni eseguite secondo il sistema “Full-3D secure”. La resistente non specifica, invece, il funzionamento di tale sistema di autenticazione e gli elementi richiesti; riferisce unicamente che tali operazioni sono autorizzate previo inserimento di una password usa e getta (OTP), che soltanto dalla documentazione allegata si evince essere stati inviati a mezzo SMS.
Neppure la resistente fornisce riscontri in merito agli accessi non autorizzati all’area clienti riservata del proprio sito: non produce traccia di tali accessi per confermare o confutare che, nel periodo di osservazione, siano effettivamente avvenute intrusioni, né chiarisce eventualmente quali modifiche siano state effettuate in tali occasioni; neppure precisa quale sia la procedura di autenticazione mediante la quale si consente all’utente di accedere in sicurezza nell’area personale: si limita a fare generico riferimento alla necessità di inserire dati nella esclusiva disponibilità del cliente. In ogni caso, non pare che l’eventuale accesso all’area riservata abbia avuto una qualche rilevanza causale rispetto all’esecuzione delle transazioni oggi in contestazione.
Tornando quindi alla questione dell’autenticazione delle operazioni di pagamento on line contestate, in mancanza di chiarimenti da parte dell’intermediario, sulla base delle informazioni pure desumibili al sito internet dello stesso si desume che il protocollo Full 3d Secure preveda al momento l’autenticazione attraverso l’inserimento dei dati statici della carta (numero e CCV2) e dell’OTP verosimilmente inviato a mezzo SMS sull’utenza cellulare del cliente.
Ebbene, siffatto modello, quanto meno a far data dal 14.9.2019 – e quindi in relazione a tutto il periodo di esecuzione delle operazioni disconosciute dall’odierno istante – deve ritenersi non più in linea con gli standard richiesti dalla normativa comunitaria, come definiti della opinion EBA del 21.6.2019, ove si rileva che i dettagli stampati sulla carta di pagamento non costituiscono né un elemento di possesso, né un elemento di conoscenza e che, malgrado la possibile flessibilità negli approcci di vigilanza fino al prossimo 31 dicembre 2020, la responsabilità “civile” degli intermediari inadempienti rispetto alla normativa – entrata in vigore il 14.9.2019 – rimane ferma.
Nel caso di specie, il Collegio ritiene quindi che l’intermediario non abbia provato, come richiesto dalle citate disposizioni del d.lgs. 11/2010 (novellate nel 2017 in attuazione della sopra citata direttiva europea), di aver adottato adeguate misure di sicurezza e protezione volte a prevenire il rischio, nella specie in esame materializzatosi, dell’accesso fraudolento al conto on line del ricorrente mediante la tecnica della c.d. sim swap. Ed invero, la documentazione prodotta non offre una traccia informatica integrale della procedura di autenticazione del titolare e di autorizzazione dei pagamenti.
In particolare, nella fattispecie in questione la frode di cui è stato vittima il ricorrente ha avuto luogo, con tutta probabilità, tramite un intervento sul numero di cellulare sul quale si fonda il sistema di autenticazione delle operazioni tramite home banking. Posto che la OTP è un sistema di controllo dell’identità dinamico e monouso, essa consiste generalmente in un codice alfanumerico – generato da un algoritmo – trasmesso all’utente su un canale fuori banda (nella specie, messaggistica SMS), per cui è sempre necessaria, ai fini della sua utilizzazione, una tecnologia supplementare (ITC mobile – come in questo caso – o token ecc.). Dalla descritta logica di autenticazione consegue che l’operazione di modifica dell’utenza telefonica sulla quale ricevere la OTP o la semplice possibilità di
venire a conoscenza del numero di telefono, può rischiare di svuotare la password dinamica della propria funzione protettiva di verificare la genuinità dell’operazione, e dunque costituisce di per sé un’operazione o una situazione anomala.
Anche sotto altro profilo il sistema in questione si rivela inadeguato.
La logica della cosiddetta strong customer authentication (SCA) sta nel consentire l’accesso al sistema del soggetto che effettua la transazione tramite l’inserimento non di uno, ma di almeno due elementi identificativi (password e OTP, nel caso in esame), per incrementare la sicurezza del servizio di pagamento.
Nella fattispecie in esame, la violazione di una singola misura di sicurezza ha probabilmente compromesso anche l’affidabilità dell’altra; là dove la piena operatività del sistema di autenticazione multifattore si fonda sull’indipendenza tra le singole misure di sicurezza.
L’esistenza di una relazione funzionale tra siffatte misure consente di eludere il doppio controllo delle credenziali, e rendere, nei fatti, il sistema di autenticazione (non più forte ma) debole (in tal senso v., ABF Napoli, n. 13889/2019; ABF Milano, n. 1066/2019; ABF Torino, n. 25065/2018).
Sennonché, se è vero che le deduzioni della resistente non sembrano idonee a dimostrare l’esistenza di una colpa grave del ricorrente nell’obbligo di custodire le proprie credenziali di accesso, non può però ignorarsi che l’istante ha omesso qualsiasi controllo, per un lungo periodo di tempo (di oltre un mese), sulla situazione contabile della propria carta di credito: omissione, questa, tanto più censurabile, in quanto il ricorrente era ben consapevole dei problemi occorsi sulla propria utenza telefonica collegata allo strumento di pagamento abusivamente utilizzato.
Sotto questo profilo, il ricorrente non può certo reputarsi immune da colpa, in quanto ha palesemente violato l’obbligo di comunicare senza indugio al prestatore dei servizi di pagamento l’uso non autorizzato dello strumento di pagamento, sancito dall’art. 7, comma 1°, lett. b, d.lgs. 11/2010. Ed infatti, lo strumento di pagamento risulta esser stato bloccato soltanto a distanza di oltre un mese da quando il suddetto disservizio si è manifestato.
In virtù dell’accertato concorso di colpa del ricorrente, ai sensi dell’art. 1227, 2° comma, c.c., che si ritiene di ravvisare nella misura del 50%, il Collegio accerta il diritto dell’istante ad un risarcimento del danno per l’importo di euro 4.909,92, oltre interessi dalla data del reclamo (al netto dell’importo relativo alle operazioni disconosciute già rimborsategli).
P.Q.M.
In parziale accoglimento del ricorso, il Collegio dichiara l’intermediario tenuto al risarcimento del danno per l’importo di € 4.909,92, oltre interessi legali dalla data del reclamo.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
