COLLEGIO DI BOLOGNA
composto dai signori:
(BO) MARINARI Presidente
(BO) BERTI ARNOALDI VELI Membro designato dalla Banca d'Italia
(BO) LOMBARDI Membro designato dalla Banca d'Italia
(BO) SOLDATI Membro di designazione rappresentativa
degli intermediari
(BO) CAPILLI Membro di designazione rappresentativa
dei clienti
Relatore GIOVANNA CAPILLI
Seduta del 06/07/2021
FATTO La ricorrente riferisce che:
è titolare del c/c n. ***764, acceso presso l’intermediario resistente;
in data 11.12.2020, verso le ore 12.00 mentre stava svolgendo alcune operazioni tramite il sistema di home banking, riceveva sul proprio cellulare una comunicazione proveniente dal numero dell’intermediario ufficialmente segnato nei cellulari come “Gruppo […]” con il quale le veniva comunicato che il suo conto era stato limitato (doc. 1);
poiché tale messaggio le veniva recapitato dal medesimo numero dal quale riceveva i codici OTP per le proprie operazioni e visto che in quel momento stava operando sul conto, ha cliccato su link e seguito le istruzioni;
immediatamente sono iniziati ad arrivarle una sequela di messaggi di errore per l’uso scorretto dell’home banking dai quali ha iniziato a sospettare che fosse in corso un attacco al suo home banking;
verso le ore 16:30, è arrivata una telefonata da un presunto operatore dell’intermediario;
richiamando tuttavia il numero verde della Banca le veniva comunicato che l’evento era anomalo e, pertanto, veniva bloccata sia la carta che il conto corrente (doc. 2);
in effetti, successivamente a tale evento si avvedeva che erano state poste in essere due operazioni non autorizzate per un totale di € 9.154,16 (incluse commissioni per € 3,87) e più precisamente:
una operazione pagamento di una bolletta per un valore di € 1.150,29 una operazione di pagamento di un bollettino premarcato di € 8.000,00.
Il giorno 15.12.2020, presentava formale denuncia-querela presso la Stazione dei Carabinieri (doc. 4);
successivamente, in data 17.12.2020, provvedeva ad inoltrare alla Banca formale richiesta di rimborso a seguito di disconoscimento di operazioni bancarie (doc. 5);
in detta sede veniva precisato che non aveva mai consegnato ad alcuno i codici OTP che le erano pervenuti sul cellulare;
effettuata la propria istruttoria sulle doglianze esposte, l’intermediario, dopo aver provveduto in un primo momento ad accreditare sul conto corrente gli importi disconosciuti, comunicava di non poter accogliere la richiesta di rimborso, provvedendo dunque a riaddebitare gli importi inizialmente corrisposti (doc. 6);
l’art. 10 del D.lgs. n. 11/2010 prevede che è esclusivamente onere dell’istituto di credito fornire la prova della frode, del dolo e della colpa grave dell’utente;
dalla ricostruzione sopra effettuata, si evince che a seguito dell’attività fraudolenta di phishing effettuata in data 11.12.2020, i delinquenti hanno carpito tutte le informazioni attinenti all’home banking;
non può esserci, pertanto, colpa grave laddove il soggetto sia stato vittima di una truffa così articolata, consistita nell’invio un messaggio fraudolento con intestazione “Gruppo […]”;
inoltre, il sistema di sicurezza dell’intermediario non appare adeguato a tutelare i correntisti dai casi di frodi;
infatti, si è resa conto delle operazioni sospette solo ed esclusivamente nel momento in cui ha informato la propria banca di quanto le era accaduto, non essendo stata avvertita di detti movimenti né da SMS né da altre comunicazioni di alcun tipo da parte dell’intermediario;
le disposizioni disconosciute erano da considerate anomale in quanto hanno quasi completamente svuotato il conto corrente, erano di importo cospicuo e sono state eseguite nel giro di pochi minuti in favore di soggetti che mai erano stati destinatari di disposizioni bancarie;
ulteriore prova della inefficienza dei sistemi di sicurezza della banca è data dal fatto che i messaggi di phishing provenivano dal sistema di messaggistica denominato “Gruppo […]”, canale ufficiale utilizzato dalla Banca per le comunicazioni di servizio.
L’intermediario eccepisce che:
- per accedere ai servizi online della Banca è richiesto l’inserimento simultaneo di password statiche e dinamiche, cioè il codice Titolare (password statica), il codice PIN (password statica) e il codice OTP (password dinamica);
- una volta collegati al servizio online, per autorizzare le operazioni dispositive è necessario il codice dinamico OTP che viene generato via software dall’APP, per i clienti che hanno attivato “O-Key Smart” oppure via SMS (inoltrato sul numero di telefono
certificato), per i clienti che hanno attivato “O-Key SMS”;
- in caso di smartphone o tablet con connessione dati assente o momentaneamente non funzionante, il codice OTP dinamico verrà inviato tramite SMS al numero di cellulare certificato;
- sia il servizio O-Key Smart che il servizio O-Key Sms sono conformi ai requisiti del Regolamento europeo 2018/389;
- per aumentare ulteriormente il livello di sicurezza di alcune disposizioni di pagamento, oltre alla consueta autenticazione e conferma con codice dinamico, è richiesto al cliente di rispondere alle domande di sicurezza precedentemente censite dal medesimo;
- per quanto concerne l’autenticazione delle operazioni, nel caso di specie, le operazioni sono state eseguite con le credenziali personali della cliente e confermate con il codice OTP; in particolare, dall’analisi dei log si evince che:
• la cliente accede in genere al proprio home banking mediante App dal proprio dispositivo Samsung identificato dalla chiave "****87d7" (Foglio accessi, colonne F e P);
• il giorno 11/12/2020 si riscontra un accesso da web (Foglio Tracciature, righe 6-14, colonna H), che viene portato a termine grazie alla conferma di una push da parte del device in utilizzo alla cliente (Foglio tracciatura, riga 13, colonna P);
• l’accesso viene comunicato tramite push (Foglio push, riga 2);
• alla cliente viene inoltre inviato, sempre tramite push, il seguente avviso: “E’ stato eseguito il 11/12.2020 alle 16:14 un accesso … da un browser non utilizzato ultimamente.
Non sei stato tu? Contatta la Filiale Online dalla sezione Parla con noi” (Foglio push, riga 3);
• in data 11/12/2020, alle ore 16:22:06 si evidenzia un accesso da APP e l’abilitazione dell’utenza di home banking su nuovo dispositivo Samsung identificato tramite chiave '***e3b3e90" (Foglio tracciatura, riga 81-90. colonne H e P);
• l’enrollment viene effettuato grazie all’SMS di attivazione (Foglio sms, riga 4) e comunicato attraverso l’invio di SMS (Foglio sms, riga 5);
• il giorno 11/12/2020 alle ore 16:42:41 si evidenzia la modifica del pin del contratto (Foglio Tracciatura. riga 135-139) di cui la cliente viene avvisala a mezzo sms (Foglio sms, riga 6);
• l’11/12/2020 viene disposto il pagamento di un bollettino di euro 1.150,19 (Foglio Tracciatura, righe 494-498);
• nella medesima giornata, alle ore 16:44:08 viene disposto il pagamento di un bollettino postale premarcato di euro 8.000,00 (Foglio tracciatura, riga 508-514).
- per quanto concerne la colpa grave del cliente, l’esecuzione delle operazioni disconosciute è imputabile esclusivamente alla condotta gravemente colposa della ricorrente come emerge dalle seguenti circostanze:
• la cliente dichiara di aver cliccato sul link indicato nel messaggio pervenuto sul proprio cellulare e seguito le istruzioni tra le quali l’inserimento delle credenziali per effettuare l’accesso al sistema di internet banking; successivamente, veniva contattata da un sedicente operatore dell’intermediario da un numero in alcun modo riconducibile alla banca;
• non si tratta di una truffa particolarmente sofisticata in quanto il messaggio ricevuto
dalla cliente presenta un link palesemente non riconducibile alla Banca;
• il sistema di autenticazione adottato dalla banca è a “due fattori”;
• la ricorrente non ha tenuto in considerazione gli SMS inoltrati al proprio numero di cellulare con i quali veniva informata dell’inserimento delle operazioni;
• la cliente stessa ritiene che le informazioni attinenti l’internet banking sono state carpite a seguito dell’attività fraudolenta di phishing;
- a sostegno, richiama molteplici decisioni dei Collegi ABF in tema di colpa grave del cliente caduto vittima di episodi di smishing e vishing;
Nelle repliche la parte ricorrente sottolinea:
- di aver effettuato l’accesso al proprio home banking alle ore 16:13 e che la truffa si è verificata proprio nel frangente in cui era intenta ad eseguire operazioni personali;
- che nella chiamata ricevuta dai truffatori, gli stessi, fingendosi operatori di banca si sono limitati a chiedere se fosse lei dentro il proprio profilo home banking, riattaccando una volta ricevuta la notizia;
- che i codici per l’attivazione dell’O-Key smart su un nuovo dispositivo sono stati puntualmente ignorati e non comunicati a terzi;
- di essersi resa conto che stava accadendo qualcosa nel momento in cui ha iniziato a ricevere ripetutamente messaggi che riportavano il testo “per motivi di sicurezza, non è stato possibile portare a termine l’operazione”, attivandosi immediatamente per provvedere a bloccare le proprie carte (cfr. e-mail inoltrata all’Ufficio frodi e riscontrata solo dopo tre giorni); pertanto, non può essere attribuita alcuna violazione dell’art. 7, c. 2, del D.
Lgs n.11/2010;
- che l’affermazione dell’intermediario secondo cui “tutte le operazioni sono state correttamente autenticate con inserimento dell’OTP” è assolutamente priva di riscontro probatorio: negli estratti prodotti dalla banca non risulta che sia stato mandato alcun messaggio OTP; ne consegue che le operazioni disconosciute sono state eseguire senza l’autenticazione a due fattori.
Nelle controrepliche l’intermediario deduce quanto segue:
- l’enrollment su nuovo dispositivo è stato reso possibile solo grazie alla collaborazione della ricorrente, che ha comunicato a terzi i codici di attivazione inviati tramite sms;
- il link non poteva essere riconducibile alla banca, il cui nominativo, tra l’altro, non era presente all’interno del dominio;
- la cliente ha preso contatti con la Filiale online della banca alle 18:30 a fronte di una operatività avvenuta nel lasso temporale 16:13-16:42;
- dalle tracciature risulta in maniera incontrovertibile che le operazioni disconosciute sono state correttamente autenticate con inserimento dell’OTP e non vi è stata alcuna anomalia operativa (cfr. Foglio tracciature, righe 498 e 510);
- l’ABF ha più volte ribadito che la truffa scaturita da un fenomeno di phishing e vishing innescato da un sms e avvalorato tramite contatto vocale telefonico, sia ormai modalità nota e non particolarmente sofisticata, tale da determinare in capo alla ricorrente un comportamento connotato da colpa grave.
Il ricorrente chiede il rimborso delle somme fraudolentemente sottratte per euro 9.154,16 oltre interessi e vittoria di spese del procedimento.
L’intermediario chiede di non accogliere il ricorso ed in subordine l’applicazione del disposto dell’art. 1227 comma 1 e 2 c.c.
DIRITTO
Il caso sottoposto all’attenzione del Collegio riguarda la richiesta di rimborso di somme relative ad operazioni disconosciute.
Le operazioni contestate sono state poste in essere sotto il vigore del d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n.
1093/2010, e abroga la direttiva 2007/64/CE, e di adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
La parte ricorrente disconosce due operazioni di pagamento compiute in data 11/12/2020 per l’importo complessivo di euro 9.154,16 (inclusivo delle commissioni addebitate per euro 3,87).
Dalle dichiarazioni rese dalla parte emerge che la ricorrente ha ricevuto un sms di phishing dal seguente tenore: “l’accesso al suo conto è stato limitato. Sblocchi la sua utenza alla seguente: https ://bit.ly/30BQQcg”; accedeva, dunque, al link riportato nel messaggio e seguiva le istruzioni; alle ore 16:19 perveniva sul cellulare della ricorrente il messaggio contenente il codice per attivare l’O-Key Smart (“Usa il Codice […] per attivare O-key Smart. Attenzione non fornire a nessuno questo codice! Usalo solo all’interno dell’App Mobile sul tuo telefono”); successivamente, veniva contattata da un sedicente operatore dell’intermediario il quale le chiedeva se “fosse lei dentro il proprio profilo home banking”.
L’intermediario sostiene che ambedue le operazioni contestate sono state effettuate mediante il corretto inserimento delle credenziali della cliente e del codice OTP e, pertanto, nell’ambito di un sistema di autenticazione a “due fattori”.
Dalla documentazione depositata dalla parte resistente si desume che per il compimento delle operazioni oggetto di disconoscimento è stato necessario: effettuare l’accesso all’internet banking mediante inserimento del codice PIN e del codice OTP generato a seguito di notifica push inviata al device della cliente; procedere all’installazione dell’App e all’attivazione del servizio okey smart su un nuovo device mediante inserimento di un codice OTP, evidentemente il codice trasmesso via sms all’utenza cellulare della ricorrente; effettuare la modifica del codice PIN e procedere, infine, all’autenticazione delle operazioni mediante inserimento del codice OTP generato dal dispositivo del phisher.
In considerazione di quanto sopra, sotto il profilo della conformità o meno di tale procedura di autenticazione ai requisiti della SCA, si rileva che secondo l’Opinion EBA del 21 giugno 2019, il codice OTP inviato tramite sms ovvero generato tramite token o push notification rientra nella categoria “possesso”, mentre il codice PIN rientra nella categoria
“conoscenza”.
Dal punto di vista del rilievo della colpa grave del ricorrente il Collegio di Coordinamento, n. 22745/19 ha fissato il seguente principio: “la previsione di cui all’art. 10, comma 2, del d.
lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’”autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.
Nel caso di specie l’intermediario, nelle proprie controdeduzioni, eccepisce che la cliente non ha adempiuto agli obblighi di custodia delle credenziali associate alla propria utenza di internet banking, avendole comunicate a terzi in risposta ad un sms di phishing.
Ed in effetti, il Collegio rileva che dai log depositati emerge che le operazioni sono state compiute con la cooperazione della ricorrente che da un lato ha cliccato su un link in alcun modo riconducibile all’intermediario e dall’altro ha ricevuto gli OTP cooperando nel consentire l’installazione dell’APP attraverso cui sono state effettuate le operazioni contestate.
PER QUESTI MOTIVI Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
