COLLEGIO DI PALERMO
composto dai signori:
(PA) MAUGERI Presidente
(PA) MIRONE Membro designato dalla Banca d'Italia
(PA) SCANNELLA Membro designato dalla Banca d'Italia
(PA) PERRINO Membro di designazione rappresentativa
degli intermediari
(PA) PLATANIA Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - MICHELE PERRINO
Seduta del 24/06/2021
FATTO
Dopo aver invano esperito la fase di reclamo, parte ricorrente si è rivolta all’Abf rappresentando di essere titolare del conto corrente n. ***159 (a cui è associata la carta di credito n. ***291) e di essere stata vittima di una operazione fraudolenta, per complessivi euro 1.300,00, perpetrata da terzi ignoti. In particolare, la ricorrente riferisce:
- che in data 2/10/2020, alle ore 16:17, riceveva sul cellulare un messaggio in cui le veniva comunicato che, alle ore 16:16, vi era stato un accesso tramite App sul suo account da un nuovo dispositivo e di contattare l’intermediario resistente in caso di disconoscimento del predetto accesso;
- di essersi immediatamente messa in contatto con l’intermediario resistente, tuttavia senza esito, sicché prendeva contatti con la sua filiale all’esito dei quali veniva informata del fatto che, alle ore 16:24 del 2/10/2020, era stato effettuato, presso un ATM ubicato in un diverso comune, un prelievo “cardless” di euro 1.300,00 dal suo conto corrente;
- che prima dell’operazione de qua i malfattori avevano innalzato il plafond del suo strumento di pagamento da euro 1.000,00 ad euro 1.300,00;
- di aver sporto denuncia il medesimo giorno dell’operazione fraudolenta, nonché di aver presentato, in data 8/10/2020, istanza all’intermediario resistente di disconoscimento dell’operazione di prelievo, tuttavia da quest’ultimo non accolta.
Tanto premesso, parte ricorrente ritiene che l’intermediario non abbia posto in essere appropriate ed idonee misure di sicurezza per scongiurare la frode in parola e chiede la sua condanna alla restituzione di euro 1.300,00, oltre spese di giudizio.
Costituitosi, l’intermediario, nel confermare la correttezza del proprio operato, afferma che:
- per accedere ai servizi online è necessario l’inserimento simultaneo di password statiche e dinamiche, cioè il codice titolare, il codice pin ed il codice o-key, nonché, una volta collegati al servizio online, il codice dinamico Otp per autorizzare operazioni dispositive;
- è fornita alla clientela ampia informativa in ordine alle tecniche di difesa da tentativi di truffa;
- nel caso in esame l’operazione disconosciuta dalla cliente è stata eseguita dopo essere stata autenticata, correttamente registrata e contabilizzata e non ha subito le conseguenze del malfunzionamento delle procedure.
Entrando più nel dettaglio dell’operazione contestata, l’intermediario rappresenta che in data 29/9/2020 veniva eseguito l’enrollment di un nuovo dispositivo e l’attiviazione di O- key Smart, mediante l’inserimento di un codice di sicurezza Otp inviato al numero di telefono della cliente. Precisa, poi, che l’accesso da parte di un nuovo device sull’internet banking veniva notificato sia al truffatore che alla cliente via push. Alla cliente veniva altresì inviato, oltre al codice per attivare l’O-Key Smart, anche la conferma dell’avvenuta attivazione dell’O-Key sull’altro device inoltrata alle ore 15:30 del 29.9.20. Alle ore 16:10 del 2/10/2020, veniva effettuato il prelievo “cardless” di euro 1.300,00 con lo smartphone del truffatore. Per validare l’operazione veniva inviato, al numero di cellulare della cliente, un sms contenente il codice necessario per autorizzare l’operazione (OTS). L’operazione contestata, pertanto, veniva confermata tramite OTP virtuale sul device del truffatore ed autorizzata con l’inserimento dell’OTS inviato alla cliente. L’operazione disconosciuta veniva correttamente autenticata con l’inserimento del Otp e anche del codice di sicurezza Ots senza alcuna anomalia.
Fatte le superiori premesse, pertanto, parte resistente conclude per la colpa grave della ricorrente, atteso che l’enrollment dell’app sul cellulare del malfattore si rendeva possibile a seguito di cessione dei codici della cliente al truffatore. Senza le credenziali, infatti, il truffatore non avrebbe potuto attivare sul proprio cellulare il servizio di O-Key Smart ed effettuare l’operazione. Peraltro l’intermediario evidenzia che il prelievo “cardless” si rendeva possibile perché la cliente trasmetteva al truffatore il codice di validazione dell’operazione inoltratogli dall’intermediario. In questo senso ritiene parte resistente che l’accaduto non possa considerarsi una truffa particolarmente sofisticata, bensì un phishing classico. Chiarisce, infine, che il messaggio ricevuto dalla cliente e descritto nel ricorso e nella denuncia, è successivo a tutta l’operazione descritta, sicché non ha nulla a che vedere con l’operazione disconosciuta.
Sulla base di tali premesse, pertanto, conclude per il rigetto del ricorso.
In sede di repliche, parte ricorrente nega di aver ricevuto sul proprio cellulare alcun messaggio tra quelli indicati dall’intermediario atteso che il 2/10/2020 riceveva un solo sms alle ore 16:17. Afferma, pertanto, che tutti i messaggi citati in sede di controdeduzioni dall’intermediario giungevano solo sul device del truffatore e non anche sul suo, non potendo così far nulla per evitare la truffa. Afferma altresì che l’uso della carta di credito è stato effettuato senza il suo consenso. Riferisce, infine, di aver fatto affidamento sugli strumenti di tutela approntati dall’intermediario, con la conseguenza che la responsabilità di quanto accaduto è unicamente a lui imputabile.
Parte resistente, in sede di controrepliche, ribadisce che la ricorrente ha ceduto al truffatore il codice di sicurezza OTS necessario per attivare O-Key Smart su un nuovo dispositivo e che l’invio di tale codice è stato effettuato alle ore 15:28 del 29/9/2020 sul numero di cellulare certificato del cliente. Ribadisce che anche l’enrollment del nuovo dispositivo è stato notificato alla ricorrente con messaggio Push inviato sul device della stessa oltre che su quello del truffatore. Ribadisce che parte ricorrente cedeva al truffatore anche il codice OTS, inviato sul suo cellulare alle ore 16:10 del 2/10/2020 e necessario per autorizzare l’operazione di prelevamento “cardless”. Ritiene pertanto provata la colpa grave dell’utente posto che, senza la cessione dei suddetti codici, inviati esclusivamente sul telefono cellulare della cliente, il truffatore non avrebbe potuto compiere nessuna operazione.
DIRITTO
La controversia in esame attiene all’accertamento del diritto della ricorrente al rimborso, da parte dell’intermediario resistente, del controvalore di un addebito sul conto corrente della prima, per un importo complessivo di euro 1.300,00, relativo ad un prelevamento
“cardless”, su un ATM ubicato in un diverso comune da quello dove si trovava la ricorrente e da quest’ultima disconosciuto in quanto frutto di una truffa dalla stessa subita da parte di ignoti e per la quale successivamente sporgeva denuncia.
Tanto premesso, si osserva che l’operazione in esame è disciplinata dal d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell’entrata in vigore (il 13/01/2018) del D.lgs. 15 dicembre 2017, n. 218, di recepimento della direttiva (UE) 2015/2366 (c.d. PSD2), relativa ai servizi di pagamento nel mercato interno, nonché di adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
Come è noto, l’art. 10 del decreto legislativo citato, al comma 1, prevede in capo al prestatore di servizi (nel caso di specie l’intermediario) l’onere della prova dell’autenticità delle operazioni di pagamento, della correttezza della loro registrazione e contabilizzazione, nonché dell’assenza di malfunzionamenti ovvero altri inconvenienti nelle procedure necessarie per la loro esecuzione. Al successivo comma 2, lo stesso art. 10 dispone poi che “Quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”, e che “è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell'utente”.
Il successivo art. 10 bis, poi, regola la strong customer authentication (cd. SCA), la cui disciplina è pure rinvenibile negli artt. 97 e 98 della PDS2, nelle norme tecniche di regolamentazione emanate dall’EBA e recepite con Regolamento Delegato Ue 2018/389 della Commissione Europea, applicabile a far data dal 14 settembre 2019, nonché nei criteri interpretativi forniti dall’EBA.
Sulla base di tali disposizioni, l’autenticazione forte del cliente consiste in una procedura basata sull’impiego di due o più dei seguenti elementi - classificati nelle categorie della conoscenza, del possesso e dell’inerenza: i) qualcosa che solo l’utente conosce, per esempio una password statica, un codice, un numero di identificazione personale; ii) qualcosa che solo l’utente possiede, per esempio un token, una smart card, un cellulare;
iii) qualcosa che caratterizza l’utente, per esempio una caratteristica biometrica, quale può essere un’impronta digitale. Inoltre, gli elementi selezionati devono essere reciprocamente indipendenti, ossia la violazione di un elemento non compromette l’altro o gli altri. Almeno uno degli elementi dovrebbe essere non riutilizzabile e non replicabile (eccettuata la categoria dell’inerenza) e non atto a essere indebitamente carpito via Internet.
Il successivo art. 11 del D. lgs. n. 11/2010, infine, precisa che nel caso in cui una operazione non sia stata autorizzata, il prestatore di servizi di pagamento è tenuto a rimborsare immediatamente al pagatore (nel caso di specie il ricorrente) l’importo dell’operazione, potendo tuttavia dimostrare, anche in un momento successivo, che l’operazione de qua era stata autorizzata.
Tanto precisato, dagli atti del procedimento emerge che l’operazione contestata (per euro 1.300,00) veniva eseguita in data 2/10/2020 alle ore 16:24 e segnatamente trattasi di un prelievo “cardless”, eseguito da truffatori presso uno sportello ATM, ubicato in un diverso comune rispetto a quello in cui si trovava parte ricorrente, mediante l’utilizzo della tecnologia “O-Key Smart” (servizio che consente di autorizzare le operazioni bancarie attraverso lo smartphone). Secondo parte ricorrente, poi, i malfattori, prima di procedere con l’operazione contestata, avrebbero innalzato il plafond del suo strumento di pagamento, per poi procedere al prelevamento dell’importo oggi richiesto in restituzione.
Ora, in ordine alle modalità della truffa, non emergono dagli atti del procedimento elementi idonei a comprovare il preventivo innalzamento del plafond, lamentato dalla ricorrente.
Tale circostanza, unita agli altri elementi caratterizzanti la truffa, così come verificati dal Collegio, inducono a ritenere nel caso di specie insussistente un rischio di frode (ex D.M.
30 aprile 2007, n. 112) che un efficiente sistema di monitoraggio avrebbe potuto intercettare e valutare al fine di un tempestivo blocco dell’operatività. Quest’ultima, peraltro e come emerge dagli atti del procedimento, non si verificava neppure in seguito all’operazione contestata.
L’intermediario resistente, che provvedeva in prima battuta a rimborsare “salvo buon fine”
alla cliente l’importo contestato – salvo poi, espletate le relative verifiche, procedere allo storno dello stesso – ha fornito evidenza in ordine al fatto che il truffatore effettuava l'enrollment dell’app dell’intermediario resistente e del servizio di “O-Key Smart” sul suo smartphone per ivi per generare codici OTP dispositivi. Risulta dagli atti che, a tal fine, il truffatore utilizzava un codice OTS trasmesso, in data 29/9/2020, dalla banca al numero certificato della ricorrente. A questo punto, in data 2/10/2020, il malvivente procedeva con il prelevamento controverso attraverso il proprio cellulare, servendosi di un secondo codice OTS dispositivo, inviato tramite sms, alle ore 16:10, sempre sul numero di cellulare della cliente.
Quest’ultima nega la ricezione di tali messaggi, affermando che l’unico sms ricevuto sarebbe quello delle ore 16:17, mediante il quale veniva comunicato che alle ore 16:16 vi era stato un accesso tramite App da un nuovo dispositivo e in cui veniva invitata a contattare l’intermediario in caso di suo disconoscimento. Tuttavia, l’intermediario ha fornito evidenze sul fatto che tale sms nulla ha a che vedere con l’operazione disconosciuta dalla cliente.
Alla luce delle superiori evidenze documentali, si rileva che la truffa subita dalla cliente non può qualificarsi come particolarmente sofisticata, rientrando invero in una attività abbastanza usuale di phishing.
Emerge, poi, la colpa grave della cliente, atteso che l’enrollment dell’app dell’intermediario resistente sullo smartphone del truffatore, oltre all’enrollment del servizio di “O-Key Smart”, si rendevano possibili solo dopo che la cliente, incautamente, cedeva al malvivente i suoi codici di accesso. Senza queste credenziali, infatti, il truffatore non avrebbe potuto attivare sul proprio cellulare il servizio “O-Key Smart” ed effettuare l’operazione oggi contestata,
peraltro autorizzata attraverso l’ottenimento, ancora una volta con l’incauto concorso della ricorrente, del codice OTS dispositivo, inviatole al suo numero certificato di utenza mobile.
In definitiva, l’intermediario ha dimostrato, in ossequio alla normativa sopra richiamata, di aver adottato un sistema forte di autenticazione (strong customer authentication) delle operazioni dispositive bancarie, mediante l’utilizzo di elementi tra loro indipendenti, in modo tale che la violazione di uno di essi non potesse compromettere l'affidabilità degli altri (cfr. art. 9 del Regolamento delegato n. 2018/389. Di contro, come sopra cennato, è emerso l’incauto comportamento della ricorrente, la quale ha condiviso i suoi codici di accesso e finanche il codice OTS dispositivo, inviato al suo numero certificato di telefonia mobile, con il malvivente che poi materialmente procedeva con il prelevamento contestato.
Per tali ragioni, pertanto, il ricorso non può trovare accoglimento.
PER QUESTI MOTIVI Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
