COLLEGIO DI NAPOLI
composto dai signori:
(NA) CARRIERO Presidente
(NA) SANTAGATA DE CASTRO Membro designato dalla Banca d'Italia
(NA) GATT Membro designato dalla Banca d'Italia
(NA) GENOVESE Membro di designazione rappresentativa
degli intermediari
(NA) GIGLIO Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - GIUSEPPE GIGLIO Seduta del 17/11/2020
FATTO
La ricorrente, intestataria di un conto acceso presso l’intermediario convenuto (nella nota di reclamo e più sinteticamente nel ricorso) rappresenta di essersi resa conto in data 2/3/2020 di un’operazione non autorizzata (postagiro con clausola acconto club) in favore di un soggetto sconosciuto, per un importo complessivo di € 1.450,00.
Recatasi presso una filiale della convenuta, le veniva comunicato dagli operatori che si trattava di un’operazione effettuata a chiusura dell’ufficio.
Afferma dunque di essere stata vittima di una truffa online sulla carta n.
5xxxxxxxxxxxx529, di cui è intestataria insieme all’aderente al ricorso.
Lamenta il fatto che il sistema di sicurezza approntato dall’intermediario non si è rivelato adeguato; pertanto, insoddisfatta dell’interlocuzione avuta con la resistente nella fase prodromica al ricorso, si rivolge all’Arbitro per ottenere il rimborso della somma fraudolentemente sottratta, pari a euro 1.450,00.
Allega, tra l’altro, documentazione contenente una denuncia all’autorità di pubblica sicurezza non leggibile.
Parte resistente si è costituita riferendo che dalle verifiche svolte è emerso che la suddetta transazione è stata legittimamente eseguita dall’Applicazione di pagamento dell’intermediario.
Afferma altresì che la ricorrente si è correttamente autenticata con le proprie credenziali nella data indicata e che la transazione è stata eseguita con un sistema dinamico di autenticazione, in quanto, avendo la resistente messo a disposizione uno strumento di pagamento rispondente agli attuali standard tecnologici, la sua esecuzione ha necessitato l’utilizzo del codice xxxID sull’App.
A tale riguardo, descritto il sistema di autenticazione adoperato per l’esecuzione di operazioni tramite canale on line, specifica che la transazione firmata viene sottoposta a controllo da parte del framework Identità Digitale della resistente (IDP); in caso di esito positivo di tale controllo, viene trasmessa al cliente una notifica push che comporta l’inserimento del PIN tramite App e di una password dinamica OTP; il server di firma verifica la coerenza dei dati inseriti a ulteriore riprova della correttezza nell’autenticazione delle operazioni disposte.
Deduce che le evidenze elettroniche attestano che la transazione fraudolenta è stata effettuata da App per la cui installazione e configurazione dispositiva degli strumenti di pagamento, è necessario conoscere:
le credenziali di accesso ai servizi di internet banking;
i dati della carta utilizzata per effettuare i pagamenti online (ossia PAN, CVV2 e data di scadenza);
la password dinamica “usa e getta” inviata sul numero di cellulare rilasciato dalla cliente all’intermediario, necessaria per impostare il “codice xxxID” per autorizzare le successive disposizioni di pagamento da App.
Ciò posto, ad avviso della resistente, attesa la complessità del sistema di autorizzazione adoperato, deve ritenersi che l’esecuzione delle operazioni sia stata resa possibile solo tramite la comunicazione di tutti i codici sopra specificati da parte della ricorrente, che avrebbe così di fatto causato la violazione del sistema informatico c.d. “a due fattori”, attualmente reputato più sicuro e affidabile.
L’intermediario afferma che, sebbene non ammesso dalla controparte, necessariamente la stessa deve essere stata vittima di fishing e deve avere fornito i propri dati rispondendo ad una mail o ad un messaggio, la qual cosa avrebbe potuto evitare utilizzando la diligenza media, dato che l’interlocuzione dell’intermediario con la clientela avviene solo tramite canali ufficiali e mai con la richiesta di dati relativi agli strumenti di pagamento. Di ciò la resistente rende edotti da tempo i propri clienti; a conferma allega una schermata rappresentativa della campagna di informazione dalla stessa posta in essere.
Sulla base di quanto prodotto, l’intermediario ritiene inoltre che non possa trattarsi di un caso di SIM swap e che tale circostanza non possa essere neanche dedotta presuntivamente; tale ipotesi infatti avrebbe comportato il malfunzionamento dell’utenza telefonica, circostanza che la resistente afferma non essere stata denunciata ai preposti organi giudiziari. Essendo la clonazione di SIM basata necessariamente su altri reati (falsificazione di documenti o convenzionamento di un punto vendita disonesto) sarebbe stato invero interesse della ricorrente denunciare tali fatti.
La responsabilità della frode sarebbe dunque imputabile esclusivamente alla ricorrente che, con il suo comportamento gravemente colposo avrebbe favorito l’indebito utilizzatore, consentendogli di adottare un comportamento analogo a quello dell’utente in buona fede.
Ritiene quindi parte resistente di aver adempiuto all’obbligo di custodia dei patrimoni della propria clientela, con la diligenza professionale prevista dall’art. 1176, comma 2, c.c., predisponendo un sistema di protezione idoneo ad evitare gli accessi fraudolenti di terzi non autorizzati.
Allega a sostegno schermate anch’esse non chiaramente leggibili.
DIRITTO
La ricorrente chiede all’Arbitro di condannare l’intermediario alla restituzione di € 1.450,00, importo corrispondente ad una operazione on line disconosciuta effettuata a mezzo App mobile.
L’intermediario chiede all’Arbitro di respingere la richiesta avanzata dalla ricorrente; in subordine chiede di applicare la franchigia prevista.
Le controversie riguardanti l’utilizzo fraudolento di strumenti di pagamento richiedono la valutazione, da un lato, della condotta del cliente in relazione al rispetto degli obblighi di diligenza nella custodia dello strumento di pagamento e dei dispositivi collegati e, dall’altro, della condotta dell’intermediario il quale è chiamato ad adempiere al mandato secondo la diligenza professionale e qualificata di cui all’articolo 1176 c.c., adottando misure di protezione adeguate rispetto agli standard esistenti, sotto il profilo dei presidi tecnici impiegati.
Precisa il Collegio che l’operazione contestata è stata eseguita sotto il vigore del d.lgs.
11/2010, come modificato dal d.lgs. n. 218/2017 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), entrato in vigore il 13/1/2018.
Trattandosi di operazioni online poste in essere in data successiva al 14/9/2019, si applicano alla fattispecie le previsioni relative all’autenticazione forte del cliente del Regolamento UE n. 2018/389 che integra la direttiva (UE) 2015/2366 del Parlamento europeo e del Consiglio.
La ricorrente rappresenta che il 2/3/2020 si è resa conto dell’operazione di pagamento da lei non effettuata (in data 28/2/2020) in favore di un soggetto sconosciuto, affermando di essere stata vittima di una frode online e limitandosi a disconoscere l’operazione in oggetto, senza specificare altro.
Dalla documentazione allegata, seppur in parte illeggibile, nonché soprattutto dai riferimenti di controparte contenuti nelle controdeduzioni, risulta essere stata sporta denuncia all’autorità competente.
Dal canto suo la resistente ha prodotto il dettaglio della transazione in oggetto, disposta in data 28/2/2020; nello stesso dettaglio non è evincibile, tra l’altro, l’orario in cui l’operazione è avvenuta.
A fronte del disconoscimento dell’operazione di pagamento da parte dell’utente, incombe sul prestatore di servizi di pagamento l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata ai sensi dell’art. 10, commi 1 e 2 del d.lgs. 11/2010.
Nel caso in esame, trova applicazione l’art. 10-bis, comma 1, del suddetto d.lgs., come modificato, il quale statuisce che i prestatori di servizi di pagamento applichino l’autenticazione forte del cliente qualora l’utente:
a) acceda al suo conto di pagamento online;
b) disponga un’operazione di pagamento elettronico;
c) effettui qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.
Secondo quanto rappresentato dall’intermediario, le operazioni risultano effettuate tramite l’App e sono state autorizzate mediante l’utilizzo del “codice [xxxx]ID” in App.
La frode quindi sarebbe stata compiuta attraverso due passaggi:
l’installazione e configurazione dispositiva dell’App;
il pagamento con il “codice xxxxID”.
L’intermediario sostiene che il processo di installazione dell’App sul cellulare e di configurazione dispositiva dello strumento di pagamento all’interno dell’App stessa può avvenire soltanto previo inserimento delle credenziali di accesso ai servizi di internet banking, dei dati della carta utilizzata per effettuare i pagamenti online (ossia PAN, CVV2 e data di scadenza) e della password dinamica “usa e getta” inviata sul numero di cellulare rilasciato dalla cliente all’intermediario, necessaria per “impostare” il “codice xxxxID” con il quale è stata autorizzata la disposizione di pagamento effettuata da App.
Secondo l’intermediario, la ricorrente avrebbe comunicato tutti i codici sopra specificati, causando di fatto la violazione del sistema di autenticazione informatica c.d. “a due fattori”, attualmente reputato più sicuro ed affidabile.
Rileva il Collegio che l’intermediario dichiara di riportare specifica evidenza che attesta l’avvenuta iscrizione (enrollment) della carta di titolarità della parte ricorrente al sistema autorizzativo di tipo dinamico, funzionante mediante invio con sms della password dinamica al numero di cellulare indicato dalla ricorrente nella denuncia.
Afferma che, nel caso di specie, al truffatore risultava indispensabile la ricezione anche di una sola OTP, necessaria ai fini dell’onboarding della Carta e della configurazione del [xxxxID] all’interno dell’App.
Il pagamento successivo, disconosciuto dalla ricorrente, è stato infatti disposto tramite [xxxx]ID”.
A tal proposito riporta la tracciatura del messaggio in discorso a riprova dell’impiego del c.d. sistema di autenticazione “a due fattori”: evidenzia tuttavia il Collegio che essendo parzialmente illeggibile la tracciatura depositata non si è potuto effettuare un riscontro certo sul punto.
Inoltre, dalla tracciatura prodotta, non sembra evincersi univocamente che il messaggio inviato alla ricorrente contenesse la password OTP necessaria sia per l’“onboarding” della carta sia per la configurazione del codice “[xxxx]ID” all’interno dell’App presumibilmente scaricata sul device del truffatore.
Osserva ancora il Collegio che il numero di telefono cellulare al quale risulta consegnato il messaggio pare coincidere (anche se non è chiaramente leggibile) con quello indicato in sede di denuncia.
Non è stato però possibile verificare se tale messaggio (il cui stato risulta “consegnato”) sia stato o meno inviato, precedentemente a quando si è perfezionata l’operazione fraudolenta, non essendo leggibile l’orario di inoltro del messaggio, né per quanto sopra specificato l’orario di esecuzione della transazione.
D’altra parte, l’App dispositiva parrebbe poter essere installata su qualsiasi device, per cui l’inserimento dell’OTP rimane l’unico elemento di controllo dell’inerenza del device al titolare della carta.
Con riferimento al pagamento, l’intermediario afferma che la schermata riportata dimostrerebbe che la ricorrente si è correttamente autenticata con le proprie credenziali nella data indicata e che l’operazione è stata eseguita con sistema dinamico di autenticazione, avendo l’esecuzione della stessa necessitato l’utilizzo del codice xxxID nell’App.
Ad avviso del Collegio dalla ricostruzione ricavabile dalle controdeduzioni resta in dubbio se la password dinamica OTP (“usa e getta”) inviata sul dispositivo della ricorrente sia servita solamente per installare e configurare la App e per impostare il codice “[xxxx]ID”
sul dispositivo mobile del frodatore, o anche per autorizzare l’operazione, la quale sarebbe quindi stata disposta con un sistema autorizzativo a due fattori (possesso del dispositivo mobile + codice [xxxx]ID) ormai nella disponibilità del malintenzionato.
In definitiva, ad avviso del Collegio, la convenuta non ha fornito in modo incontestabile la prova della colpa grave del cliente.
La stessa attrice, però, non ha fornito elementi tali da far ritenere che l’operazione contestata sia stata effettuata solo in virtù delle carenze di funzionamento del sistema di sicurezza dell’intermediario, anzi, dalla descrizione del modus operandi non può escludersi che la condotta della ricorrente sia esente da censura: la denuncia esibita, per esempio, è illeggibile, il che non ha permesso al Collegio di verificare se vi siano stati contatti con terzi da parte dell’’istante.
Lo stesso sistema di autorizzazione adoperato non porta ad escludere in assoluto che l’esecuzione delle operazioni sia stata resa possibile per una incauta custodia delle credenziali di accesso.
In conclusione, dopo aver esaminato i documenti allegati, i fatti e le contrastanti ricostruzioni della parti, il Collegio reputa definibile la questione con un concorso di colpa tra le parti al 50%.
P.Q.M.
In parziale accoglimento del ricorso, il Collegio dichiara l’intermediario tenuto al risarcimento del danno per l’importo di € 725,00, oltre interessi dalla data del reclamo.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
