COLLEGIO DI TORINO
composto dai signori:
(TO) LUCCHINI GUASTALLA Presidente
(TO) GRAZIADEI Membro designato dalla Banca d'Italia
(TO) FERRANTE Membro designato dalla Banca d'Italia
(TO) DALMARTELLO Membro di designazione rappresentativa degli intermediari
(CO) ALVISI Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - CHIARA ALVISI
Seduta del 17/02/2021
FATTO
La società ricorrente lamenta di essere stata vittima di una truffa perpetrata a suo danno da ignoti secondo la modalità nota come SIM swap fraud. In data 6.04.2020 alle ore 17:18 la SIM associata all’operatività dell’home-banking del conto corrente intestato alla società veniva bloccata per furto, su richiesta di ignoti truffatori, i quali ricevevano dalla compagnia telefonica un duplicato della stessa. I truffatori procedevano poi a svuotare il conto corrente della società attraverso un’operazione di bonifico per Euro 14.390,00 e due operazioni di ricariche telefoniche dal valore complessivo di Euro 65,00.
La ricorrente riferisce che l’amministratore delegato della società veniva a conoscenza dall’avvenuta duplicazione della SIM solo in data 9.04.2020, quando si recava presso un centro di assistenza della compagnia telefonica. In pari data sporgeva querela sulla vicenda (cfr. all. 1 al ricorso) e comunicava alla banca il disconoscimento delle operazioni tramite pec (cfr. all. 2). L’istituto di credito forniva inizialmente un riscontro positivo alla richiesta di disconoscimento e rimborsava, in data 17.04.2020, l’intero importo dell’operazione disconosciuta. In data 31.07.2020, tuttavia, l’intermediario “senza preavviso e senza alcuna motivazione” addebitava nuovamente sul conto corrente della società l’importo Euro 14.390,00.
La ricorrente, avendo inutilmente proposto reclamo in data 7.08.2020, con l’odierno ricorso dd. 6.10.2020 lamenta che l’intermediario abbia stornato il rimborso dell’importo
dell’operazione disconosciuta pur in assenza di prove circa un ipotetico comportamento fraudolento della ricorrente stessa. Lamenta inoltre l’inadeguatezza dei sistemi di sicurezza adottati dall’intermediario per impedire simili operazioni fraudolente. Tutto ciò premesso, domanda all’arbitro “l’immediata restituzione sul c/c delle somme sottratte mediante le operazioni inesistenti segnalate, con storno delle operazioni negative imputate in ragione del saldo negativo di c/c”. Chiede, inoltre, “la trasmissione di copia dell’istruttoria e dell’esito negativo della pratica n. *****1”.
Con controdeduzioni dd. 12.11.2020 si costituisce l’intermediario convenuto, il quale riferisce di adottare un sistema di autenticazione a due fattori, c.d. forte, con password sia statiche sia dinamiche. L’ottenimento di un duplicato della SIM non sarebbe pertanto sufficiente a permettere a soggetti terzi di disporre operazioni di pagamento tramite la funzione di home-banking. Con riguardo al caso di specie, l’intermediario produce copia dei log di tracciatura informatica delle operazioni sul conto corrente della società ricorrente relativi alla data del 6.04.2020 (cfr. all. 2 alle controdeduzioni). Tali log riportano un accesso all’home-banking alle ore 17:21, previo inserimento del codice OTS ricevuto via SMS, e l’ordine di bonifico contestato, per l’importo di Euro 14.390,00, alle ore 17:23, anch’esso previo inserimento del codice OTS ricevuto via SMS. Per quanto riguarda invece le operazioni di ricarica telefonica, dalle risultanze dei log queste risulterebbero effettuate il giorno successivo, in data 7.04.2020: una prima operazione veniva disposta alle ore 12:56 per Euro 50,00 e una seconda operazione veniva disposta alle ore 18:19 per Euro 15,00, entrambe previo inserimento del codice OTS ricevuto via SMS.
L’intermediario asserisce che “gli accessi compiuti on-line sono stati posti in essere utilizzando le credenziali necessarie senza alcun errore”. Pertanto – secondo la ricostruzione dell’intermediario – si dovrebbe inferire che la ricorrente sia caduta vittima di phishing e che sia quindi venuta meno all’obbligo di diligente custodia delle proprie credenziali di accesso statiche, rivelandole ai truffatori,
Costituirebbe un indice di colpa grave della ricorrente, a dire del resistente, il breve lasso di tempo intercorso tra l’emissione del duplicato della SIM da parte del gestore telefonico (i.e. blocco alle ore 17:18 e duplicazione alle ore 17:20) e le operazioni fraudolente (i.e.
disposizione di bonifico delle ore 17:23). Sarebbe parimenti indice della colpa grave della ricorrente il ritardo con cui la stessa afferma di essersi attivata rispetto al malfunzionamento della SIM, rilevato secondo le affermazioni dell’amministratore delegato già in data 6.04.2020, ma verificato presso il centro assistenza dell’operatore telefonico solo tre giorni dopo, in data 9.04.2020. L’intermediario afferma che sull’avvenuta duplicazione della SIM la ricorrente non avrebbe fornito prove sufficienti. La banca eccepisce, inoltre, che la ricorrente avrebbe comunicato solo il disconoscimento dell’operazione di bonifico di Euro 14.390,00, mentre nel modulo inoltrato in data 9.04.2020 non avrebbe fatto riferimento alle due operazioni di ricarica telefonica. Deduce infine di aver comunicato alla ricorrente, con missiva dd. 31.07.2020 (prodotta sub all. 1 alle controdeduzioni), la decisione di ri-addebitare l’importo dell’operazione contestata, inizialmente rimborsata dall’intermediario.
Tanto premesso “essendo indubitabile che l’operazione abusiva contestata è stata resa possibile dal comportamento [della società ricorrente]”, l’intermediario convenuto chiede, in via principale, il rigetto del ricorso. In subordine, “nella denegata ipotesi in cui il Collegio, nonostante i richiamati orientamenti già espressi su analoghe fattispecie, ritenga di poter ravvisare profili di responsabilità nell’accaduto in capo a [intermediario]” chiede di “definire la ripartizione fra le parti del danno in esame, in misura proporzionale alle rispettive effettive responsabilità ed in particolare ai sensi dell’art. 1227, 1 e 2 comma c.c., al netto della franchigia prevista”.
Con repliche dd. 28.11.2020 parte ricorrente precisa di aver sporto denuncia-querela per la truffa subita, denunciando sia la duplicazione della SIM che la condotta del gestore telefonico. Riferisce, inoltre, che il malfunzionamento della SIM veniva rilevato solo alle ore 17:50 del 6.04.2020, quando comunque l’operazione di bonifico disconosciuta era già stata disposta e risultava impossibile ogni tentativo di reazione rispetto alla frode. La ricorrente eccepisce, inoltre, di non aver mai ricevuto la comunicazione dd. 31.07.2020 con cui la banca la informava della decisione di revocare il rimborso già effettuato.
Ribadisce, infine, l’inadeguatezza dei sistemi di rilevazione di anomalie delle operazioni di pagamento adottati dall’intermediario, atteso che il bonifico disconosciuto era di importo quasi pari all’intera liquidità del conto corrente e ciò risultava anomalo rispetto all’usuale operatività del conto attestata dallo storico.
Con controrepliche dd. 2.12.2020 l’intermediario convenuto rileva che la ricorrente, in sede di repliche, non avrebbe negato di essere caduta vittima di truffatori informatici che avrebbero carpito le credenziali statiche di accesso all’home-banking. Afferma, inoltre, di aver esercitato il proprio diritto contrattuale nel negare il rimborso dell’operazione disconosciuta. Nel confermare quanto già dedotto in fatto e in diritto, infine, eccepisce nuovamente che le affermazioni della ricorrente circa l’orario di duplicazione della SIM non risulterebbero supportate da alcuna evidenza probatoria.
DIRITTO
Con l’odierno ricorso la società ricorrente chiede all’intermediario convenuto la restituzione della somma di euro 14.455,00 corrispondente alla sommatoria delle operazioni di pagamento che la stessa ha disconosciuto in quanto eseguite con modalità fraudolente da terzi non autorizzati.
In tema di disconoscimento di operazioni di pagamento, l’art. 10 del d.lgs. n. 11/2010, come modificato dal d. lgs. n. 218/2017 in attuazione della Direttiva PSD2, pone sull’intermediario l’onere di provare che l’operazione disconosciuta sia stata autenticata, correttamente registrata e contabilizzata. Secondo il principio di diritto espresso da una recente pronuncia del Collegio di coordinamento tale onere “va interpretato nel senso che la produzione documentale volta a provare “l’autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione, dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente” (Collegio di Coordinamento, decisione 22745/2019). In particolare, il Collegio di Coordinamento, ha chiarito che “l’onere probatorio previsto nei commi 1 e 2 dell’art. 10 del decreto deve necessariamente essere assolto dal PSP con riguardo ad ambedue i profili (autenticazione ed esecuzione delle operazioni di pagamento nonché colpa grave dell’utilizzatore) da ritenersi necessari e complementari. Pertanto (…) il Collegio giudicante non potrebbe desumere la sussistenza della frode, del dolo o della colpa grave dell’utente soltanto dalla prova della ‘regolarità formale’ dell’operazione. Ne consegue che, nel caso in cui l’intermediario si limiti a produrre semplicemente il ‘log informatico’ relativo all’operazione contestata senza altra allegazione diretta a comprovare, in via presuntiva, l’apporto causale del ricorrente nel compimento dell’operazione stessa, senza condizionamenti, interferenze, deviazioni, hacker o altre anomalie risultanti dai sistemi antifrode o comunque dai dati conoscitivi in suo possesso, il Collegio dovrà ritenere non assolto l’onere probatorio ai sensi dell’art. 10, comma 2 del decreto e conseguentemente accogliere il ricorso”.
È poi orientamento consolidato dei Collegi ABF quello per cui, in mancanza della prova relativa all’autenticazione delle operazioni, l’intermediario sopporta, in ogni caso ed integralmente, le conseguenze delle operazioni disconosciute.
Venendo alla fattispecie di disconoscimento sottoposta a questo Arbitro, la ricorrente deduce di essere stata vittima della c.d. SIM Swap Fraud. Tale tipologia di frode informatica, di recente diffusione, ha una struttura articolata in più passaggi: (i) una volta individuata la vittima, i truffatori procedono all’acquisizione dei suoi dati e delle credenziali di home banking tramite tecniche di hacking o di social engineering; (ii) successivamente, anche attraverso l’utilizzo di documenti falsificati ad hoc, sostituiscono la SIM card della vittima richiedendo all’operatore telefonico una nuova sim con il pretesto di averla persa o danneggiata; (iii) attraverso lo stesso numero telefonico, ottengono dalla banca della vittima le autorizzazioni per operare sul conto corrente online.
Trattandosi di una frode informatica di particolare sofisticazione, secondo il costante orientamento dei Collegi (cfr. ex multis Collegio di Torino, decisione n. 7874 del 2020), anche qualora l’intermediario abbia offerto la prova dell’autenticazione delle operazioni contestate, la colpa grave del cliente non sussiste ogniqualvolta la frode si sia concretamente consumata con modalità tali da permettere di escludere una condotta gravemente negligente dello stesso. Rileva altresì che la condotta del cliente debba, in ogni caso, essere valutata alla luce della necessità di non far ricadere sullo stesso il rischio di impresa connesso alla decisione dell’intermediario di affidare parzialmente a terzi soggetti – le compagnie telefoniche – la procedura di autenticazione delle operazioni di pagamento attraverso l’invio dell’OTP tramite SMS su cellulare (cfr. Collegio di Napoli decisione n. 306 del 2021).
Nel caso di specie, le parti controvertono innanzitutto sul numero delle operazioni disconosciute. Dalla documentazione prodotta in atti risulta che le operazioni contestate dalla ricorrente sono tre: il bonifico di Euro 14.390,00 disposto alle ore 17:23 del 6.04.2020 e due ricariche telefoniche disposte in data 7.04.2020, rispettivamente alle ore 12:56 per Euro 50,00 e alle ore 18:19 per Euro 15,00. L’intermediario oppone che nel modulo di disconoscimento inoltrato con pec dd. 9.04.2020 (cfr all. 2 al ricorso), il cliente avrebbe disconosciuto esclusivamente il bonifico e non anche le ricariche telefoniche. Si rileva tuttavia che, col reclamo inoltrato tramite pec dd. 7.08.2020 (cfr. all. 5 al ricorso), la società ricorrente ha trasmesso all’intermediario anche copia della denuncia dd. 9.04.2020. Nella denuncia, cui la ricorrente rinvia nello stesso reclamo, la ricorrente dichiara la sua volontà di disconoscere – perché poste in essere da truffatori – anche le operazioni di ricarica telefonica. La ricorrente quantifica altresì, già in sede di denuncia, il danno complessivamente patito in Euro 14.455,00. Si può pertanto concludere che la banca ha ricevuto comunicazione della volontà della ricorrente di disconoscere anche le due operazioni di ricarica telefonica dd. 7.04.2020.
Venendo al profilo dell’autenticazione delle operazioni contestate, la ricorrente afferma che i sistemi adottati dall’intermediario non sarebbero sufficienti a tutelare i clienti in caso di duplicazione della SIM ad opera di malfattori. L’intermediario ipotizza che la società ricorrente sia caduta vittima di phishing ed abbia rivelato le proprie credenziali statiche a ignoti truffatori, poiché non risulterebbero errori di autenticazione nel sistema. In merito l’intermediario asserisce di aver dimostrato la corretta autenticazione delle operazioni contestate mediante la produzione sub all. 2 alle controdeduzioni delle griglie in formato Excel che riportano i log informatici delle operazioni svolte sul conto corrente della ricorrente. Tuttavia i log prodotti non sono pienamente attendibili come prova di autenticazione, non essendo i dati ivi riportati di immediata nè univoca interpretazione poiché sono sprovvisti di una legenda esplicativa. Peraltro, come già affermato in
qualora il resistente affermi che il cliente sia stato vittima di phishing, tale “mera allegazione” non può trovare un riscontro probatorio nella “formale corretta autenticazione, registrazione e contabilizzazione dell’operazione” (cfr. Collegio di Torino, decisione n.
21204 del 2020). Il Collegio rileva che l’intermediario convenuto non ha fornito idonea prova né dell’avvenuta corretta autenticazione delle operazioni né dell’affermazione secondo cui il sistema non avrebbe rilevato errori o anomalie. A ciò si aggiunga che il formato Excel è inidoneo ad offrire certezza circa la rispondenza dei dati riportati ad una produzione automatica ed immodificabile da parte del sistema di tracciamento.
Poiché l’intermediario non ha assolto l’onere sullo stesso incombente di dar prova dell’autenticazione ai sensi di cui all’art. 10 c. 1 del richiamato d.lgs. n. 11/2010, questo Collegio ritiene – costituendo detta prova un prius logico rispetto alla prova della colpa grave dell’utente – che la richiesta di rimborso avanzata dalla ricorrente sia da accogliere integralmente. La banca dovrà quindi corrispondere alla società ricorrente l’importo delle tre operazioni disconosciute, per complessivi Euro 14.455,00.
Per quanto riguarda, invece, l’ulteriore richiesta di rimborso relativa alle “operazioni negative imputate in ragione del saldo negativo di C/C”, il Collegio rileva la genericità della domanda avanzata dalla ricorrente, che non viene in alcun modo argomentata e deve, pertanto, essere respinta.
Risulta infine che la richiesta della documentazione relativa all’attività istruttoria svolta dalla banca in merito all’istanza di disconoscimento qui controversa è stata soddisfatta dalle produzioni documentali offerte dall’intermediario convenuto nell’ambito del presente procedimento dinnanzi all’ABF, cosicché in relazione ad essa deve dichiararsi cessata la materia del contendere.
PER QUESTI MOTIVI
Il Collegio accoglie parzialmente il ricorso ai sensi di cui in motivazione.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l'intermediario corrisponda alla Banca d'Italia la somma di € 200,00, quale contributo alle spese della procedura, e alla parte ricorrente la somma di € 20,00, quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
