COLLEGIO DI BARI
composto dai signori:
(BA) TUCCI Presidente
(BA) CAMILLERI Membro designato dalla Banca d'Italia
(BA) TOMMASI Membro designato dalla Banca d'Italia
(BA) APPIO Membro di designazione rappresentativa
degli intermediari
(BA) LIPANI Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - SARA TOMMASI Seduta del 26/10/2021
FATTO
Il ricorrente riferisce di essere stato vittima di una truffa online, a seguito della quale venivano eseguiti all’estero, in data 22/04/2021, dieci pagamenti online non autorizzati.
Chiede dunque il rimborso della somma portata dalle predette operazioni.
Costituitosi, l’intermediario fa preliminarmente presente che l’oggetto della controversia concerne la richiesta di rimborso della somma complessiva di € 420,91, relativa a dieci operazioni effettuate con l’utilizzo della carta intestata al cliente attraverso il servizio
*****Pay.
Eccepisce che, in sede di denuncia, il ricorrente dichiarava di aver inserito in data 22/04/2021 l’annuncio di vendita di un bene su un noto sito online e di essere stato contattato da una sedicente acquirente. Una volta accordati sul prezzo di acquisto, seguiva le indicazioni contenute in un SMS pervenuto sul proprio cellulare, recante la richiesta di cliccare sul link ivi contenuto e di inserire i dati della carta; poco dopo, riceveva un secondo SMS contenente “un codice di verifica dell’acquisto”. A quel punto, avvedutosi della truffa, il ricorrente richiedeva il blocco dello strumento di pagamento e apprendeva che erano state disposte le dieci operazioni non autorizzate.
Tanto premesso in fatto, l’intermediario afferma che il cliente, fornendo i dati relativi alla propria carta, ha di fatto consentito al frodatore di attivare il servizio di *****Pay, attraverso il quale è possibile utilizzare i dispositivi compatibili per effettuare pagamenti in modalità contactless e online sui siti abilitati; specifica che, per l’esecuzione delle operazioni con
*****Pay, è necessario registrare la carta e, successivamente, confermare la registrazione
medesima inserendo una OTP inviata “tramite SMS al numero di cellulare indicato dal cliente nella sezione anagrafica dell’area riservata oppure tramite la App”.
Rappresenta che, nel caso di specie, la registrazione dello strumento è stata effettuata in data 22/04/2021 alle ore 21:28 e che l’autorizzazione è avvenuta mediante l’inserimento di un codice OTP inviato al recapito cellulare indicato dal cliente nella sezione anagrafica dell’area riservata; alle ore 21:29, il ricorrente ha poi ricevuto un ulteriore SMS con il quale veniva informato dell’avvenuta registrazione della carta al servizio *****Pay (poi cancellata in pari data, alle ore 22:02).
Versa in atti i log relativi alle operazioni contestate, da cui si evince l’esecuzione delle medesime tramite un doppio fattore di autenticazione ed in modalità online.
Ritiene ravvisabile, nel caso di specie, la colpa grave del ricorrente che, “con la propria condotta attiva ed il proprio contributo”, ha reso possibili il perpetrarsi della truffa e l’esecuzione di tutte le operazioni contestate.
DIRITTO
La controversia in oggetto attiene alla responsabilità per l’esecuzione fraudolenta di dieci transazioni online eseguite in data 22/04/2021 per l’importo complessivo di € 420,91, effettuate tramite un sistema di pagamento del tipo “digital wallet” (“**** Pay”).
Le operazioni contestate sono state eseguite sotto il vigore del d.lgs. 27 gennaio 2010, n.
11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), entrato in vigore il 13/1/2018.
La disciplina richiamata prevede che il rischio di utilizzazione fraudolenta degli strumenti di pagamento ricada, in prima battuta, sull’intermediario, il quale può sottrarsi all’obbligo di rimborso delle somme fraudolentemente sottratte fornendo la prova del dolo ovvero della colpa grave dell’utilizzatore, ai sensi del combinato disposto degli artt. 7 e 12, co. 4, d. lgs.
n. 11/2010, e della Sez. IV, § 2, del Provvedimento Banca d’Italia 5.7.2011. In particolare, ai sensi dell’art. 10, d. lgs. n. 11/2010, “qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Il secondo comma del medesimo art. 10 precisa, inoltre, che, ove l’utilizzatore neghi di avere autorizzato un’operazione di pagamento eseguita, “l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7.” (i.e., obblighi di custodia e di corretta utilizzazione dello strumento di pagamento). Nello stesso comma è altresì precisato che “è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente”.
Al riguardo, il Collegio di Coordinamento ha, in più occasioni, precisato che la disciplina in esame istituisce “un regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori, i quali sono, dunque, tenuti al semplice disconoscimento delle operazioni di pagamento contestate, mentre è onere del prestatore dei servizi di pagamento provare che l’operazione disconosciuta sia stata autenticata, correttamente registrata e contabilizzata e che la sua patologia non sia dovuta a malfunzionamenti delle procedure
esecutive o ad altri inconvenienti del sistema […]. Neanche l’apparentemente corretta autenticazione dell’operazione è necessariamente sufficiente a dimostrarne la riconducibilità all’utilizzatore che la abbia disconosciuta, cosicché la responsabilità dell’utilizzatore resta circoscritta ai casi di comportamento fraudolento del medesimo ovvero al suo doloso o gravemente colposo inadempimento degli obblighi previsti dall’art.7 del decreto sopra menzionato. Laddove una simile responsabilità non possa essere dimostrata dall’intermediario prestatore del servizio, pertanto, l’utilizzatore non sarà tenuto a sopportare le conseguenze dell’uso fraudolento, o comunque non autorizzato, dello strumento di pagamento (se non nei limiti, eventualmente stabiliti dall’intermediario, di una franchigia non superiore a 50 euro). La ratio di tale scelta legislativa è fin troppo notoriamente quella […]
di allocare sul fornitore dei servizi di pagamento il rischio d’impresa, essendo quest’ultimo in grado di parcellizzare, distribuendolo sulla moltitudine dei clienti, il rischio dell’impiego fraudolento di carte di credito o di strumenti di pagamento” (Coll. Coord., decisione n. 3947 del 24.6.2014. In senso conforme: Coll. Coord. Decisione n. 3498/2012; Coll. Coord., decisione n. 991 del 21.2.2014. Da ultimo, cfr. Coll. Coord., decisione n. 22745/19, per quanto riguarda, in particolare, l’insufficienza della prova della regolarità formale dell’operazione contestata, ai fini dell’assolvimento dell’onere della prova gravante sull’intermediario, ex art. 10, co. 2, d. lgs. n. 11/2010).
L’orientamento di questo Arbitro ha trovato riscontro nella sentenza della Corte di Cassazione, 3.2.3017, n. 2950, la quale ha statuito che la disciplina speciale, in tema di strumenti di pagamento, ha esplicitato il principio generale, in tema di onere probatorio a carico del debitore professionale, nelle azioni di risoluzione contrattuale, risarcimento del danno o adempimento, “in quanto si è ritenuto che non può essere omessa la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio […]; infatti la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (Cass., n. 2950/17, sulla scia di Cass., 12.6.2007, n. 13777. In senso conforme, cfr. Cass.,12.4.2018, n. 9158; Cass., 26 novembre 2020, n. 26916, anche per l’importante statuizione, secondo cui “al fine di garantire la fiducia degli utenti nella sicurezza del sistema (il che rappresenta interesse degli stessi operatori), è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento -prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente - la possibilità di un’utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”).
Tanto premesso in termini generali rileva il Collegio che le operazioni contestate risultano effettuata tramite un sistema di pagamento del tipo “digital wallet” (App “G**** Pay”), mediante POS in presenza di cellulare. L’utilizzo di tale tecnologia si articola in due fasi: (i) registrazione dello strumento di pagamento nel portafoglio virtuale (il c.d. digital wallet; (ii) successiva autorizzazione delle singole operazioni dispositive.
Secondo la ricostruzione fornita dall’intermediario, il frodatore avrebbe utilizzato i dati forniti dal ricorrente per installare e configurare l’app della carta e, tramite apposita funzione presente sulla stessa, attivare il Wallet G**** Pay, poi utilizzato per effettuare l’operazione.
In particolare, parte resistente riferisce che, per poter procedere, il truffatore è riuscito a carpire sia i dati statici della carta da utilizzare per eseguire il pagamento, sia la password dinamica “usa e getta” (c.d. OTP: one time password), inviata tramite SMS sul numero di cellulare appositamente rilasciato dal cliente all’intermediario. Lo stesso ricorrente conferma di aver ricevuto il messaggio contenente il codice OTP.
L’intermediario allega documentazione attestante la registrazione dello strumento di pagamento nel portafoglio virtuale in data 22/04/2021 alle ore 21:28. Risultano inoltre in atti
le tracciature degli SMS inviati il 22/04/2021 al numero di cellulare certificato del ricorrente (coincidente con quello riportato nella denuncia e nel modulo di ricorso); in particolare, alle ore 21:28 questi riceveva il messaggio contenente il codice OTP necessario per aggiungere la carta al servizio ****pay e alle ore 21:29 un secondo SMS con l’informativa dell’avvenuta registrazione della carta.
Tanto premesso, il Collegio ritiene che, nel caso di specie, l’intermediario non abbia fornito la prova della regolarità formale delle operazioni, sotto il profilo della “autenticazione forte del cliente”, ai sensi della richiamata disciplina. Al riguardo, mette conto richiamare la
“Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2” del 21/06/2019, nella quale l’Autorità Bancaria Europea ha preso in considerazione specifici esempi di soluzioni tecniche e chiarito quali elementi possono considerarsi conformi a ciascuna delle tre categorie (inerenza, possesso e conoscenza), che rilevano ai fini della sussistenza di una autenticazione forte. In particolare, nella citata Opinion(§28 e §33) è chiarito che, mentre l’OTP ricevuto tramite sms ovvero prodotto da token integrerebbe un elemento di possesso, i dati identificativi della carta e il codice di sicurezza stampati sulla stessa non costituirebbero un affidabile elemento, di cui l’utilizzatore abbia il possesso o la conoscenza.
In base al quadro normativo sopra delineato, così come corredato dagli interventi dell’EBA, non può che confermarsi che spetta all’intermediario la prova dell’intervenuta autenticazione forte delle operazioni di pagamento. Il fatto che la fase relativa alla disposizione di pagamento tramite carta digitalizzata sia gestita dal Wallet provider non esime il prestatore di servizi di pagamento dalla piena responsabilità per quanto attiene all’adozione delle prescritte misure di sicurezza in tale fase e quindi per la conformità delle modalità di autenticazione delle operazioni di pagamento ai requisiti della SCA. Ciò implica che l’intermediario debba fornire la prova che le operazioni di pagamento siano state disposte con modalità di autenticazione forte, non potendosi ritenere ciò implicito dal fatto che le transazioni risultino autorizzate o comunque dalla sola evidenza che siano state effettuate in modalità contactless (cfr. Collegio di Coordinamento, decisione n. 21285/21).
Ebbene, nella specie, questo Collegio osserva che dalla documentazione versata in atti risulta che nella fase iniziale di installazione del wallet sul device il sistema predisposto dall’intermediario non richiede una autenticazione forte. Dalla documentazione in atti si evince, infatti, unicamente l’invio al ricorrente del messaggio contenente il codice OTP necessario per digitalizzare la carta e di quello recante l’informativa circa l’avvenuta registrazione dello strumento al servizio *****pay. Non viene tuttavia indicato un ulteriore fattore di autenticazione. Lo stesso intermediario, peraltro, nulla prova con riferimento alla regolare autenticazione delle singole operazioni (cfr. Collegio di Bari, decisione n. 8831/21).
Per le suesposte ragioni, ritiene il Collegio che l’intermediario non abbia fornito la prova della regolare autenticazione, ai sensi delle richiamate disposizioni normative (cfr., in senso conforme, Collegio di Bari, decisione n. 11729/20). Il ricorso è, pertanto, meritevole di accoglimento.
PQM
Il Collegio, in accoglimento del ricorso, dispone che l’intermediario corrisponda al ricorrente l’importo di € 420,91.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura, e al ricorrente la somma di € 20,00, quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
