COLLEGIO DI TORINO
composto dai signori:
(TO) LUCCHINI GUASTALLA Presidente
(TO) GRAZIADEI Membro designato dalla Banca d'Italia
(TO) FERRANTE Membro designato dalla Banca d'Italia
(TO) DALMOTTO Membro di designazione rappresentativa
degli intermediari
(TO) CATTALANO Membro di designazione rappresentativa
dei clienti
Relatore - EMANUELE CESARE LUCCHINI GUASTALLA
Seduta del 04/11/2020
FATTO
Parte ricorrente chiede la restituzione della somma di € 1.897,98, corrispondente all’importo di operazioni disconosciute eseguite fraudolentemente da terzi non autorizzati.
Più precisamente, parte ricorrente ha affermato che:
- dalla analisi dell’estratto conto della carta di credito emessa dall’intermediario resistente si è accorta di due prelievi disconosciuti avvenuti il 22/05/2020 e il 4/06/2020 di rispettivamente € 903,99 ed € 993,99;
- in data 29/06/2020 ha provveduto a bloccare la carta;
- ha chiesto il rimborso delle operazioni disconosciute ma le è stato negato in quanto l’intermediario ha affermato di averle inviato un sms contenente una password necessaria al completamento delle operazioni e che quindi le transazioni risultano regolari;
- non ha eseguito le operazioni e non ha ricevuto alcun sms.
La parte ricorrente ha chiesto il rimborso di € 1.897,98.
L’intermediario, nelle controdeduzioni, ha rappresentato:
- che la ricorrente si è resa conto della esecuzione di due operazioni poi disconosciute solo in data 29/06/2020;
- le due transazioni, una di 903,99 € e una di 993,99 €, risultavano essere state eseguite rispettivamente il 22/05/2020 e il 04/06/2020;
- la carta di credito è stata bloccata solo in data 29/06/2020;
- le operazioni disconosciute sono state autenticate, correttamente registrate e contabilizzate;
- si è trattato di transazioni online, con la digitazione dei dati della carta e del Cliente e l’inserimento nel sistema di codici OTP che vengono inviati via SMS al cellulare inserito nell’area riservata del portale dell’intermediario;
- che il numero di cellulare a cui sono state inviate le OTP appartiene alla ricorrente in quanto coincide con il numero inserito nel modulo di ricorso;
- ambedue le transazioni si sono concluse secondo le regole del 3D Secure;
- dalla documentazione prodotta si può concludere che:
x gli ignoti malfattori hanno potuto disporre di tutte le informazioni relative alla carta (numero, scadenza, dati della titolare della carta e il codice cvv
riportato sul retro della plastica);
x i codici OTP sono stati correttamente generati ed inviati al numero di telefono presente sul portale;
x le transazioni sono state validate dal Circuito Internazionale in quanto conformi ai protocolli;
x il sistema di monitoraggio delle transazioni, attivo 24h, non ha rilevato alcuna anomalia;
- “sull’origine della frode, possiamo ipotizzare che la cliente non abbia custodito a dovere la carta e le informazioni ad essa collegate e che qualcuno possa avergliela temporaneamente sottratta, insieme al telefono per cancellare gli sms ricevuti, per poi riporre il tutto prima che l’interessata se ne accorgesse”;
- che la seconda operazione fraudolenta è stata eseguita a distanza di due settimane dalla prima, pertanto è evidente che ove la ricorrente avesse monitorato il proprio estratto conto o l’App avrebbe potuto evitare quantomeno l’esecuzione della seconda operazione online.
L’intermediario resistente ha dunque concluso chiedendo il rigetto del ricorso.
DIRITTO
Prima di esaminare nel merito la controversia sembra opportuno riportare alcuni aspetti essenziali ai fini della decisione.
Le operazioni contestate sono disciplinate dal d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell’entrata in vigore (il 13/01/2018) del D.lgs. 15 dicembre 2017, n. 218, di recepimento della direttiva (UE) 2015/2366 (c.d. PSD2) relativa ai servizi di pagamento nel mercato interno, nonché adeguamento delle disposizioni interne al regolamento (UE) n.
751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.
Il sistema di autenticazione delle operazioni di pagamento adottato dall’intermediario è così dettagliato: inserimento dei dati del cliente e della carta di credito (numero, scadenza, CVV); inserimento di un codice OTP ricevuto via sms.
Sulla prova della corretta autenticazione delle operazioni contestate, l’intermediario ha prodotto idonee evidenze delle tracciature informatiche.
Inoltre, l’intermediario ha prodotto evidenza della attivazione del servizio di invio OTP tramite sms e di una videata a dimostrazione dell’invio dei codici OTP al numero di cellulare del ricorrente.
L’intermediario rileva che il numero di telefono a cui sono stati inviati gli sms coincide con quello indicato nel modulo del ricorso:
Non consta l’attivazione dell’sms alert e il ricorrente dichiara di avere avuto conoscenza della esecuzione delle due operazioni fraudolente successivamente alla lettura dell’estratto conto.
Non è stato prodotto il contratto relativo allo strumento di pagamento.
Dalla Denuncia e dalle dichiarazioni della parti emerge che:
x le due operazioni fraudolente sono state eseguite nelle date del 22/05/2020 e del 4/04/2020 e che il ricorrente ne sia venuto a conoscenza alla “fine di giugno”
(27/06/2020);
x l’intermediario contesta che l’omesso controllo del conto per un notevole lasso di tempo dovrebbe rilevare quale indice di prova della colpa grave del cliente, in quanto avrebbe impedito l’esecuzione della seconda operazione fraudolenta da parte degli ignoti malfattori;
x l’intermediario presume quanto segue: “sull’origine della frode, possiamo ipotizzare che la cliente non abbia custodito a dovere la carta e le informazioni ad essa
collegate e che qualcuno possa avergliela temporaneamente sottratta, insieme al telefono per cancellare gli sms ricevuti, per poi riporre il tutto prima che l’interessata se ne accorgesse”;
x le transazioni sono state validate dal Circuito Internazionale in quanto conformi ai protocolli;
x il sistema di monitoraggio delle transazioni, attivo 24h, non ha rilevato alcuna anomalia.
Si osserva che dalla lettura degli estratti conto prodotti dalle parti emerge un plafond mensile di € 1.300,00 che pertanto non risulta essere stato superato (le due operazioni sono state effettuate a fine maggio e inizio giugno).
Nel caso di specie, dalla documentazione versata agli atti il sistema di autenticazione per l’effettuazione delle operazioni di pagamento on-line è a due fattori.
Ebbene, così ricostruiti gli aspetti salienti della vicenda, non può che ricordarsi – come già si è avuto occasione di rilevare in altre occasioni – che è opinione assolutamente condivisa che sul cliente gravi l’onere di custodire con la massima diligenza i vari codici in suo possesso necessari per compiere operazioni bancarie di vario genere, siano esse prelievi per mezzo del servizio Bancomat, disposizioni di operazioni per mezzo di servizi on-line o pagamenti via Internet.
Il punto è essenziale per una corretta interpretazione del rapporto contrattuale, posto che, in linea generale, appare corretto affermare che al cliente sono opponibili le operazioni effettuate con la digitazione dei codici in suo possesso (indipendentemente da chi effettivamente le abbia disposte), proprio perché nell’utilizzo del servizio il cliente viene identificato esclusivamente mediante la verifica dei codici di sicurezza che gli sono stati assegnati.
Ora, come è noto, la diligenza professionalmente qualificata cui fa riferimento il secondo comma dell’art. 1176 cod. civ., deve essere parametrata alle specificità tecnico-scientifiche della professione esercitata, trattandosi di nozione superiore e più specifica di quella relativa al buon padre di famiglia, richiamata dal primo comma dello stesso articolo.
L’adempimento dell’obbligazione, quindi, deve avvenire con la diligenza “del regolato ed accorto professionista” (banchiere, nel caso che ne occupa), pena il risarcimento dei danni secondo i normali canoni della responsabilità contrattuale.
Per gli aspetti che qui interessano, tale parametro rileva in relazione alla specificità del servizio bancario oggetto di contestazione che implica l’utilizzazione del canale telematico e l’uso di codici dispositivi.
In particolare, la valutazione coinvolge l’adeguatezza - considerati gli standard esistenti - dei presidi tecnici adottati dall’intermediario per rendere sicure le transazioni on-line da attacchi di pirateria informatica.
Sui presidi di sicurezza più idonei a fronteggiare il fenomeno della pirateria informatica non c’è attualmente una specifica normativa vincolante, anche se esistono diversi documenti, sia a livello nazionale che internazionale, trattano della sicurezza dell’e-banking e, in particolare, della diversa efficacia dei vari meccanismi di autenticazione.
L’utente viene, infatti, autenticato attraverso la presentazione di credenziali. Generalmente si intende per “credenziale” uno o più dei seguenti elementi: qualcosa che l’utente “sa” (es.
la password); qualcosa che l’utente “ha” (es. il token, che può contenere un certificato digitale); qualcosa che l’utente “è” (in questo caso si parla di caratteristiche biometriche, es. le impronte digitali).
Quando l’autenticazione dell’utente utilizza congiuntamente due di questi sistemi, si parla di autenticazione “a due fattori”. Alcune modalità tecniche consentono già oggi, in associazione all’utilizzo di user-id e password, di effettuare una autenticazione a due fattori: si tratta soprattutto di “Segreti condivisi” e “Token”.
Nel caso in esame deve ritenersi che l’intermediario resistente abbia adempiuto con la dovuta diligenza ai propri obblighi. Questo ha, infatti, messo a disposizione del cliente un sistema per il compimento di operazioni on line, che è basato sull’utilizzo contemporaneo di più fattori, ossia quel tipo di sistema che sia questo Collegio sia il Collegio di coordinamento non ha mancato di considerare come (attualmente) il più sicuro e tale da assicurare la migliore tutela degli utilizzatori in base all’attuale stato della tecnica, anche se – giova ricordarlo – non esistono strumenti totalmente “sicuri” [cfr., sul punto, la
“Premessa” all’allegato tecnico (“Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza”) al Provvedimento Banca d’Italia dell’11.2.2011 “Diritti e Obblighi delle parti” (di attuazione del titolo II del D.lgs. n. 11/2010 relativo ai servizi di pagamento), ove si legge che “gli strumenti qualificati come “a maggior sicurezza” non vanno intesi come mezzi intrinsecamente sicuri, cioè privi di rischio, ma come strumenti che presentano un livello di rischio connesso con frodi o disconoscimenti inferiore rispetto agli altri strumenti di pagamento alla luce dell’evoluzione tecnologica”].
Ora, dal tipo di sistema di protezione adottato discende la presunzione certamente grave e rilevante che il cliente non abbia compiutamente custodito i dispositivi personali necessari per l’utilizzo del sistema di pagamento, cosicché pare dover essere esclusa la responsabilità dell’intermediario, dovendo il fatto ascriversi a colpa grave dell’utilizzatore ricorrente.
Dalle osservazioni che precedono, dunque, consegue necessariamente che il Collegio – pur prendendo atto della natura fraudolenta dell’operazione in questione – non può esimersi dal rilevare che il comportamento dell’utilizzatore appare connotato da una negligenza che si presenta rilevante, tale da poterla qualificare alla stregua della colpa grave. In tal caso, com’è noto, la colpa grave dell’utilizzatore esclude la responsabilità dell’intermediario.
P.Q.M.
Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
