COLLEGIO DI NAPOLI composto dai signori:
(NA) CARRIERO Presidente
(NA) SANTAGATA DE CASTRO Membro designato dalla Banca d'Italia
(NA) FEDERICO Membro designato dalla Banca d'Italia
(NA) MIOLA Membro di designazione rappresentativa
degli intermediari
(NA) GIGLIO Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - GIUSEPPE GIGLIO
Seduta del 26/01/2021
FATTO
La parte ricorrente rappresenta con il ricorso che avendo visionato in data 14/7/2020 in modalità telematica l’estratto conto del conto corrente acceso presso la filiale di OMISSIS, ha riscontrato delle rilevanti anomalie e/o irregolarità.
Nello specifico, dal suindicato estratto conto risultano numerosi bonifici effettuati dal conto corrente nel periodo luglio 2019 - luglio 2020 che in realtà non ha assolutamente effettuato.
Il ricorrente, di conseguenza, disconosce espressamente le operazioni, evidenziando che in riferimento a tali pagamenti non ha ricevuto il c.d. S.M.S. Alert sul suo cellulare e – quindi - non essendo stato avvertito in tempo reale non ha potuto contestare immediatamente le operazioni.
Ha chiesto quindi di ottenere dalla convenuta gli importi relativi alle operazioni in frode.
L’intermediario afferma nelle controdeduzioni che:
il ricorrente è intestatario del conto corrente n. XXXXX, acceso presso la filiale OMISSIS al quale è collegato il servizio "Rapporti a distanza tra Banca e Cliente", c.d. home banking, che consente ai clienti di effettuare le operazioni di inquiry e dispositive sui conti correnti personali a loro riferibili utilizzando il telefono cellulare o Internet;
il cliente ha altresì attivato il servizio SMS Alert dal 25.9.2009, come da evidenza allegata (all. 5);
il servizio "Rapporti a distanza tra Banca e Cliente" prevede l'accesso alle funzioni di inquiry e dispositive mediante un sistema di autenticazione "forte" che include:
inserimento delle credenziali di accesso (numero cliente + PIN) per effettuare il login;
inserimento di PIN + One Time Password (OTP) per disporre le operazioni; il codice OTP è generato da Mobile Token.
Pertanto, se in fase di login al sito o all'APP della banca per accedere a tutte le funzioni di inquiry è indispensabile digitare l'identificativo cliente più il PIN, per le operazioni dispositive (bonifici, ecc.) è necessario inserire il codice PIN (codice statico - noto solo al cliente) e una terza credenziale OTP (One-Time Password), codice dinamico monouso o temporizzato, generato dalla specifica funzionalità dell'App (Mobile Token), assicurando così un'autentificazione forte (a due fattori);
l'attivazione del Mobile Token è resa possibile esclusivamente attraverso la digitazione delle credenziali di sicurezza (numero cliente+ PIN) e del codice OTP inviato al cliente via SMS al cellulare collegato all’home banking.
Ciò premesso, l’intermediario asserisce che, nel caso specifico, come dimostrato nel dettaglio degli SMS prodotto (all. 6), in data 11.9.2019 il ricorrente ha richiesto l'attivazione del Mobile Token; a fronte di tale richiesta, la banca, alle ore 12:44, ha inoltrato al cellulare del cliente (n. 339-XXXX706) un SMS avente il seguente contenuto: "Hai chiesto l'attivazione del Mobile Token. Inserisci il codice RISERVATO •*******. NON COMUNICARLO MAI a nessuno, personale … incluso. lnfo ….
L’intermediario aggiunge che, come noto, gli strumenti di sicurezza devono restare di uso strettamente personale del cliente, che non può cederli a terzi e per ragioni di sicurezza detti strumenti non devono essere conservati insieme;
che al fine di prevenire possibili frodi in danno alla clientela, la banca da tempo raccomanda la massima attenzione e cautela nell'utilizzo dei canali telematici, pubblicando avvisi specifici nella pagina di accesso al portale … (all. 7), sull'App e sugli schermi degli ATM, nei quali si avverte la clientela anche del fatto che nessun dipendente della Banca chiederà mai le credenziali di sicurezza, che sono strettamente personali e che, pertanto, non devono essere comunicate a terzi;
la banca non conosce le credenziali dei clienti, ad eccezione del Numero Cliente/Id Utente, che viene assegnato in fase di sottoscrizione del servizio Rapporti a Distanza tra Banca e Cliente;
che il sistema di autenticazione "a due fattori" come quello adottato in questo caso è riconosciuto come un sistema forte anche dall'orientamento dei Collegi ABF;
che in presenza di un sistema in astratto valutabile come sicuro, come quello adottato dalla Banca e in assenza di particolari anomalie di sistema, si deve presumere che ci sia stata una negligenza dell'utente nella custodia delle credenziali necessarie per utilizzare i servizi di pagamento; inoltre, dalla denuncia depositata in copia dal cliente si evince il notevole ritardo (circa 20 giorni) con il quale il ricorrente monitora il proprio estratto conto e/o la corrispondenza che la banca gli invia ovvero consulta il sito …; a fronte di ciascuna delle operazioni contestate, la banca ha inviato all'indirizzo del ricorrente, lo stesso riportato nel ricorso, la contabile di ogni singola operazione; le operazioni sono, altresì, riportate nei rispettivi estratti contro trimestrali che pure vengono inviati con periodicità trimestrale al cliente.
La banca segnala, infine, la reticenza del ricorrente sia in sede di denuncia, che di reclamo, che di ricorso, nella descrizione dei fatti che possono aver portato ad una eventuale frode a suo danno (cfr. sul punto Collegio di Roma – decisione n.1386/20 ) e osserva che:
nella denuncia non viene menzionato il bonifico di euro 200,00 del 22.4.2020, disconosciuto in sede di reclamo e di ricorso;
a fronte di ciascuna delle operazioni, la banca ha puntualmente inviato al cliente il relativo
comunicata l'esecuzione del bonifico di euro 2.680,00 il cliente si fosse tempestivamente attivato, rivolgendosi alla banca, avrebbe quanto meno evitato le operazioni successive, limitando il danno;
dalle verifiche effettuate non è emerso alcun malfunzionamento o compromissione dei sistemi, le operazioni risultano correttamente autenticate, registrate e contabilizzate (così come previsto dall'art. 10 del D. Lgs. n. 11/2010), come dimostrano le evidenze LOG;
il beneficiario del bonifico di euro 200,00 del 22.4.2020 è persona ben conosciuta al ricorrente in quanto, analizzando la movimentazione del conto corrente …, sono stati rilevati diversi movimenti di cui la beneficiaria è ordinante (cfr. e/c relativo al I trimestre 2020 - all. 9);
il beneficiario degli altri 3 bonifici risulta essere OMISSIS che potrebbe essere il Consorzio OMISSIS avente sede in provincia di OMISSSIS e quindi non un Ente di fantasia (e il ricorrente risiede in altra città della stessa Regione).
La banca precisa, infine, di essere venuta a conoscenza del disconoscimento delle operazioni solo in occasione del reclamo, ad agosto 2020, quasi un anno dopo la prima operazione e quatto mesi dopo l'ultima, e, quindi, di non aver avuto alcuna possibilità di intervento presso i beneficiari dei bonifici.
Il ricorrente ha replicato alle controdeduzioni, sostenendo tra l’altro che non ha ricevuto le lettere contabili richiamate dalla banca e non ha ricevuto l messaggi di allerta, per un presumibile problema tecnico.
L’intermediario ha ulteriormente replicato, depositando i LOG relativi alle altre tre operazioni contestate e precisando che:
anche per tali operazioni dalle verifiche effettuate non è emerso alcun malfunzionamento o compromissione dei sistemi e le operazioni risultano correttamente autenticate, registrate e contabilizzate (cfr. LOG);
l’accesso al sito XXXX nonché l’effettuazione di operazioni dispositive da sito XXXX vengono sempre autorizzate con Strong Customer Authentication - Pin + codice OTP generato da Mobile Token attivato sull’App;
le operazioni oggetto di ricorso sono state eseguite nell’arco di ben 7 mesi, senza che il cliente ne prendesse visione e sono state tutte autorizzate con il medesimo dispositivo
“Galaxy A3 2017” che il cliente anche in sede di replica non disconosce.
Quanto alle contestazioni sollevate in sede di replica dal ricorrente, l’intermediario osserva che le missive inviate per posta ordinaria non sono passibili di tracciatura, ma il cliente ben poteva fare le opportune verifiche sul conto on line; la mera asserzione di non avere ricevuto alcun SMS Alert contrasta con quanto documentato dalla banca.
DIRITTO
Ricorre in ABF la parte istante al fine di ottenere gli importi corrispondenti a 4 bonifici non autorizzati.
Il ricorrente ha prodotto copia della denuncia presentata all’Autorità in data 4.8.2020, con indicazione di tre delle quattro operazioni contestate con il ricorso.
Nel reclamo, invece, il cliente ha contestato anche una quarta operazione; le operazioni risultano eseguite in un arco temporale di circa 7 mesi; il reclamo e la denuncia sono stati presentati dopo circa 3 mesi dall’ultima operazione non autorizzata.
L’intermediario riferisce nelle controdeduzioni che tutte le operazioni contestate sono state autorizzate mediante inserimento del codice OTP generato dalla specifica funzionalità dell’APP (Mobile token).
L’intermediario ha depositato i LOG delle operazioni contestate, osservando che da tale LOG risultano anche operazioni non disconosciute, per le quali pure compare il
“DeviceName” Galaxy A3 2017 e - nella colonna “DescrizioneDevice” - il codice SM- A320FL (cioè gli stessi dettagli associati all’operazione contestata, che, secondo quanto affermato dall’intermediario , riferibili al device del cliente).
Nella legenda fornita dall’intermediario viene descritta la colonna “DeviceName”, mentre non risulta indicata la colonna “DescrizioneDevice”.
Rileva il Collegio che risulta documentato che tutte le operazioni sono state effettuate con inserimento di OTP generata da Mobile Token con il dispositivo Galaxy A3 2017 (risultante del cliente).
Con riferimento al sistema di sicurezza adottato per l’attivazione del servizio Mobile Token su device, l’intermediario riferisce che essa è possibile solo digitando PIN e codice OTP inviato al cliente a mezzo SMS al cliente.
Risulta poi con l’attivazione del servizio di sms alert, anche l’avvenuta consegna al cliente del codice per l’attivazione del Mobile Token.
Quanto al servizio di sms alert, l’intermediario ha depositato prova atta a dimostrare che il servizio era attivo sul numero di cellulare 339XXXX706 (TIM), che – tra l’altro - corrisponde a quello indicato dal ricorrente in ricorso.
Dirimente per il Collegio è la seguente circostanza: l’intermediario ha depositato l’elenco degli sms consegnati a tale numero di cellulare, con evidenza, tra l’altro, di quelli inviati in occasione dei bonifici contestati; il ricorrente, sia in sede di denuncia all’Autorità (cfr.) che in sede di repliche, ha affermato di non aver mai ricevuto tali messaggi; non ha invece invocato malfunzionamenti della linea telefonica, che risulta ancora a lui riferibile, come da numero di cellulare nel modulo di ricorso.
In ordine poi al pagamento di € 200,00, non indicato tra quelli disconosciuti in sede di denuncia (cfr.), l’intermediario ha prodotto e/c del primo trimestre 2020 del conto corrente intestato al ricorrente, evidenziando che la beneficiaria di tale pagamento figura come ordinante di alcuni pagamenti a favore del ricorrente; il ricorrente non ha replicato sul punto.
Si aggiunga che il sistema di autenticazione "a due fattori", come quello adottato in questo caso, è riconosciuto come un sistema forte anche dall'orientamento consolidato dei Collegi ABF e che in assenza particolari anomalie di sistema, nonché la prova della corretta registrazione delle operazioni fanno presumere che ci sia stata una negligenza dell'utente nella custodia delle credenziali necessarie per utilizzare i servizi di pagamento
A fronte di tutti gli elementi forniti dall’intermediario ritiene il Collegio sussistere la colpa grave del cliente, aggiungendo che questi ha “tollerato” operazioni in frode per ben 7 mesi, anche alla luce degli orientamenti condivisi dai Collegi, nelle contestazioni di utilizzi fraudolenti on line di strumenti di pagamento in cui:
l’intermediario ha offerto la prova dell’autenticazione delle transazioni disconosciute;
il sistema di pagamento risulta conforme alla Strong Customer Authentication (SCA);
non risultano indici di anomalia delle operazioni e/o ulteriori elementi;
le mancate allegazioni del cliente sulla frode che afferma di aver patito, rappresentano elementi da cui il Collegio può trarre il proprio convincimento, insieme ad altre circostanze, circa la colpa grave del ricorrente medesimo.
P.Q.M.
Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
