COLLEGIO DI TORINO
composto dai signori:
(TO) LUCCHINI GUASTALLA Presidente
(TO) GRAZIADEI Membro designato dalla Banca d'Italia
(TO) FERRANTE Membro designato dalla Banca d'Italia
(TO) BUONINCONTI Membro di designazione rappresentativa degli intermediari
(CO) ALVISI Membro di designazione rappresentativa
dei clienti
Relatore - CHIARA ALVISI
Seduta del 21/10/2020
FATTO
Il ricorrente deduce di essere titolare presso l’intermediario convenuto del conto corrente n. ***39, cui è associata una carta di credito, e di essere stato vittima di una truffa avvenuta tramite disposizioni di bonifico istantaneo online. Il ricorrente riferisce, in particolare, che in data 23.07.2019, tra le ore 15.32 e le ore 15.39 (quindi in soli 7 minuti), degli ignoti addebitavano sul predetto conto corrente 16 bonifici istantanei, da € 900,00 ciascuno, a favore di un sedicente sig. R***. Tali pagamenti, per un totale di € 14.400,00 venivano disconosciuti dal ricorrente con i reclami dd. 2.08.2019 e 13.09.2019.
L’intermediario tuttavia rifiutava il rimborso delle operazioni contestate e delle commissioni (pari a € 2,00 per ciascun bonifico istantaneo).
Circa le modalità di svolgimento della truffa a suo danno il ricorrente deduce quanto segue. Due settimane dopo aver comunicato all’intermediario convenuto il cambio del numero della propria utenza telefonica mobile (n. xxxxxx569), il ricorrente riceveva sul nuovo numero del cellulare un SMS (cfr. doc. 1 ricorrente), proveniente da un numero apparentemente riferibile alla banca, con cui gli veniva richiesta la conferma della nuova utenza telefonica mobile attraverso un link. Il link conduceva a una pagina web – anch’essa apparentemente riferibile all’intermediario – in cui gli veniva richiesto di confermare l’utenza telefonica mobile inserendo il nuovo numero di telefono mobile
informazioni, il ricorrente veniva rinviato a una nuova pagina web che richiedeva l’inserimento dei dati relativa alla carta di credito associata al conto corrente: in particolare, il numero della carta, la data di scadenza della stessa e il CCV. Il ricorrente allora si insospettiva e chiudeva la pagina web senza comunicare i dati relativi alla carta di credito.
Subito dopo il ricorrente riceveva sul cellulare una telefonata da un sedicente operatore dell’intermediario convenuto, che chiedeva di ultimare a voce la conferma della nuova utenza telefonica mobile. In particolare, il sedicente operatore riferiva al ricorrente che avrebbe ricevuto dalla banca un codice OTP tramite SMS, cosa che effettivamente avveniva. Il ricorrente comunicava al sedicente operatore il codice OTP ricevuto e, conclusa la telefonata, si collegava al proprio home-banking. Si accorgeva così che il saldo del conto n. ***39 diminuiva rapidamente e, pertanto, alle ore 15:35 chiamava il numero verde dell’intermediario (cfr. tabulati telefonici prodotti sub doc. 4 dal ricorrente) per ottenere il blocco dell’operatività sul conto corrente, che però avveniva solo alle 15:39 a seguito di una nuova telefonata al direttore della filiale di appoggio del suo conto corrente.
Con l’odierno ricorso, presentato in data 29.05.2020, il ricorrente deduce che non può essergli imputata alcuna colpa grave, atteso che il messaggio che lo ha condotto sul sedicente sito internet dell’intermediario, in realtà gestito dai truffatori, gli è stato inviato dopo che aveva effettivamente comunicato alla banca la variazione della propria utenza telefonica mobile. Da tale circostanza il ricorrente inferisce che ci sarebbe stata una
“indebita divulgazione, evidentemente ad opera del personale della banca, dei dati relativi al cambio di utenza telefonica del cliente” o quantomeno una negligente custodia degli stessi da parte dell’intermediario.
Il ricorrente deduce, inoltre, che l’intermediario non ha predisposto strumenti idonei a rilevare e/o bloccare automaticamente la serie di operazioni sospette, atteso che i malfattori effettuavano in soli 7 minuti ben 16 bonifici e che tali disposizioni provenivano da
“un indirizzo IP mai utilizzato in precedenza” dal ricorrente.
Il ricorrente lamenta, altresì, che per nessuna delle operazioni disconosciute riceveva un
“SMS alert”, contrariamente a quanto previsto dal servizio a pagamento attivo sul conto n.
***39 ed in violazione di quanto prescritto dall’art. 8 d.lgs. n. 11 del 2010.
Il ricorrente lamenta, infine, che il blocco dell’operatività dell’home-banking da parte dell’intermediario avveniva con ritardo rispetto alla sua segnalazione ex art. 7.1.b) d.lgs.
11/2010 (avvenuta alle h. 15:35:33, cfr. doc. 4 ricorrente), tant’è che dalle ore 15:35:33 alle ore 15:39 i malfattori disponevano altri 9 bonifici istantanei. Pertanto, secondo il disposto degli “artt. 12.1 e/o 12.2, D.Lgs. 11/2010” la banca dovrebbe essere considerata responsabile “quanto meno delle operazioni successive alle ore 15:35:33 (ora della prima comunicazione ex art. 7.1.b), per non avere impedito l'ulteriore utilizzo dello strumento ex art. 8.1.d e/o per non avere messo a disposizione mezzi adeguati ex art. 8.1.c”.
Tanto premesso, il ricorrente chiede all’Arbitro di “condannare l’intermediario a rimborsare in suo favore la somma di € 14.332,00, detratta la franchigia di € 150,00, fraudolentemente distratta dal proprio conto, oltre a interessi legali dal 23/07/2019. Con il favore delle spese”.
Con le controdeduzioni dd. 17.07.2020 si costituiva nel presente procedimento l’intermediario convenuto, rappresentando che il servizio di internet banking collegato al conto corrente n. ***39 di cui il ricorrente è titolare prevede che il login avvenga mediante
“inserimento delle credenziali di accesso (numero cliente + PIN se l’accesso viene effettuato da telefono cellulare)” mentre “per disporre le operazioni” oltre al PIN occorre inserire anche una “One Time Password (OTP)”, la quale può essere generata dalla specifica funzionalità dell’App (Mobile Token). Per l’attivazione del mobile token è richiesta l’istallazione dell’APP tramite la digitazione delle credenziali statiche (codice cliente e PIN) e del codice OTP inviato al cliente tramite SMS.
Con riguardo al caso di specie, l’intermediario deduce che, in data 23.07.2020, venivano inviati al ricorrente n. 2 “SMS alert”, rispettivamente alle ore 15:20 e alle ore 15:23, aventi il seguente contenuto: “Hai chiesto l'attivazione del Mobile Token. Inserisci il codice RISERVATO ********. NON COMUNICARLO MAI a nessuno, personale [nome intermediario] incluso” (cfr. all. 2 dell’intermediario).
Nel merito, l’intermediario deduce la conformità alle normative vigenti del sistema di sicurezza adottato, trattandosi di un sistema di autenticazione forte. Riferisce, inoltre, di avvisare regolarmente i propri clienti delle truffe più comuni e delle regole di condotta da seguire per garantire la sicurezza dei sistemi di pagamento (cfr. all. 3 dell’intermediario).
L’intermediario eccepisce, quindi, la colpa grave del ricorrente in relazione ai fatti occorsi, in quanto egli avrebbe imprudentemente inserito nella pagina web fraudolenta le proprie credenziali statiche di accesso, venendo meno ai propri obblighi di custodia delle stesse, ed avrebbe altresì imprudentemente comunicato il codice OTP al sedicente operatore bancario, contravvenendo agli avvertimenti ricevuti.
L’intermediario produce sub doc. 4 i log relativi alle operazioni di bonifico istantaneo contestate, i quali dimostrerebbero la regolarità formale dell’autenticazione del cliente per le operazioni contestate. Tanto premesso l’intermediario chiede il rigetto di tutte le domande ex adverso formulate.
DIRITTO
La vicenda portata all’attenzione di questo Collegio con l’odierno ricorso attiene ad un caso di spoofing (secondo la definizione che ne dà l’EPC Mobile Payments White Paper, 1st edition, p. 41), con delle specificità, atteso che le credenziali carpite al ricorrente sono state poi utilizzate dai truffatori per attivare sul loro device il mobile token collegato al conto corrente online del ricorrente. In particolare, al ricorrente sono state carpite le credenziali correlate alla funzione dispositiva del suo home-banking con le modalità tipicamente corrispondenti allo spoofing: il ricorrente ha infatti trasmesso ai truffatori le credenziali statiche (ID e PIN che consentivano il login al suo home banking) rispondendo ad un SMS apparentemente proveniente dall’intermediario, che a sua volta lo rinviava ad un sito web apparentemente dell’intermediario. Lo stesso ricorrente ha poi comunicato l’OTP a seguito di una telefonata proveniente da un sedicente operatore bancario, che plausibilmente l’ha utilizzato per attivare su uno o più devices il mobile token collegato all’home banking del ricorrente. Tutto ciò avveniva in concomitanza ed in collegamento con l’effettiva richiesta rivolta dal ricorrente al proprio intermediario di variare la propria utenza telefonica mobile associata al proprio account di home-banking.
Il ricorrente ha disconosciuto 16 bonifici istantanei addebitati sul suo conto corrente dagli ignoti truffatori con le modalità descritte (dalle ore 15:32:45 alle ore 15:39:45 del 23.07.2019), chiedendo il rimborso dell’importo totale di € 14.332,00, vale a dire la somma dei sedici bonifici istantanei disconosciuti (pari a 900 € cadauno) maggiorata dell’importo delle commissioni (pari a € 2,00 per ciascun bonifico istantaneo addebitato dalla banca), dedotta la franchigia prevista dall’art. 12.3 d.lgs. n. 11 del 2010, oltre agli interessi dal 23.07.2019 e al favore delle spese.
L’intermediario ha versato in atti il log delle operazioni disconosciute (cfr. doc. 4 dell’intermediario) onde assolvere all’onere di provare, ex art. 10 d.lgs. 11 del 2010, che le operazioni di pagamento disconosciute sono state “autenticate, correttamente registrate e contabilizzate” (corrispondendo alle stesse l’identificativo cliente del ricorrente). Tuttavia proprio il log prodotto dall’intermediario conferma che ben 16 (rectius 17) bonifici istantanei, dello stesso importo e a favore del medesimo beneficiario, sono stati disposti nell’arco di 7 minuti tramite APP, dalle ore 15:32:45 alle ore 15:39:45. È poi lo stesso intermediario ad affermare che mentre per le operazioni dispositive aveva approntato un sistema di autenticazione forte a due fattori con password dinamica (OTP), l’accesso all’home banking (login) poteva invece avvenire tramite la digitazione di credenziali statiche (ID e PIN). L’intermediario non contesta inoltre di avere ricevuto al suo numero verde, alle ore 15:35:33 del 23 luglio 2019, la telefonata del ricorrente con richiesta di blocco delle operazioni di bonifico disconosciute ed ammette di non averle potute bloccare immediatamente “tenuto conto della modalità ‘bonifico istantaneo’ che rende le somme immediatamente disponibili sul conto del beneficiario”. Neppure viene contestato dall’intermediario l’omesso invio al ricorrente di SMS alert a fronte di ciascun bonifico istantaneo disconosciuto, essendosi l’intermediario limitato a produrre (sub all. 2) i due sms alert delle h. 15,20 e 15,23 con i quali il ricorrente veniva informato della richiesta di attivazione del Mobile Token ed invitato a non comunicare “a nessuno”, incluso il personale della banca, il codice riservato che avrebbe ricevuto a tal fine, cosa che invece avvenne di lì a qualche minuto.
Si premette che, in applicazione del principio di corrispondenza tra chiesto e pronunciato di cui all’art. 112 c.p.c., cui questo Arbitro è sottoposto (cfr. Collegio di Coordinamento, decisione n. 10929/2016; Collegio di Roma, decisione n. 5542/2017; Collegio di Bologna, decisioni nn. 24149/2019, 11565/2018 e 4265/2017), la domanda del ricorrente viene valutata nei limiti del quantum richiesto (i.e. la restituzione dell’importo corrispondente a n.
16 bonifici istantanei contestati, oltre alle commissioni e agli interessi, detratta la franchigia).
Tanto premesso, sulla base di quanto dedotto dalle parti e della documentazione versata in atti, risulta provato che, per quanto con modalità particolarmente insidiose e sofisticate, i truffatori sono riusciti a carpire le credenziali statiche e dinamica del ricorrente per il fatto che egli stesso le ha imprudentemente comunicate, così contravvenendo al proprio obbligo di diligente custodia delle credenziali sancito dall’art. 7, comma 2 d.lgs. n. 11 del 2010. Questo Collegio non può dunque accogliere la richiesta di rimborso integrale dei pagamenti disconosciuti dall’utente in quanto a ciò osta la considerazione che senza la colposa cooperazione dell’utente non si sarebbe potuta perpetrare la truffa da lui subita,
cosicché la sua imprudenza ha avuto un’efficacia causale sul danno poi lamentato (cfr. in senso conforme Collegio di Bologna n. 7106 del 2020).
Questo Collegio ritiene tuttavia che la colpa del cliente non abbia avuto un’efficienza causale esclusiva, avendo concorso alla causazione del danno, nella dimensione complessiva lamentata dal ricorrente, anche alcune inadempienze dell’intermediario di cui vi è evidenza in atti.
Innanzitutto il login all’homebanking del ricorrente era possibile sulla base di un sistema di autenticazione debole. È vero che solo in data 14.09.2019 sarebbero entrate in vigore “le norme tecniche di regolamentazione per l’autenticazione forte del cliente” di cui al Regolamento delegato UE 2018/389, tuttavia è altresì vero che l’art. 10bis, comma 1, lett.
a) d.lgs. 11 del 2010, ivi introdotto dal d.lgs. n. 281 del 2017 dispone che “conformemente all’articolo 98 della direttiva UE 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente quando l’utente: a) accede al suo conto di pagamento online (…)”. Conseguentemente, la giurisprudenza di questo Arbitro da tempo ritiene che la mancata predisposizione di un sistema di autenticazione forte per l’accesso al conto di pagamento online sia idonea ad escludere la gravità della colpa del cliente ove abbia reso possibile o comunque agevolato la macchinazione fraudolenta di cui lo stesso sia stato vittima (cfr. Collegio di Bologna, decisione n. 6987/2017). Infatti, se anche il semplice accesso al portale titolari non consente di svolgere operazioni di tipo dispositivo, attraverso il log in nel portale è tuttavia possibile, ad esempio, modificare l’utenza telefonica associata al conto per l’invio delle password OTP con l’effetto di
“[azzerare] di fatto la protezione della chiave dinamica mediante OTP da utilizzare per la fase dispositiva” (cfr. ancora Collegio di Bologna, decisione n. 6987 del 2017; in senso conforme cfr. Collegio di Napoli, decisine n. 17416 del 2017; Collegio di Milano decisione n. 16579 del 2019). Nel caso di specie non ci sono evidenze che consentano di affermare che la mancanza di un sistema di autenticazione forte a due fattori con password dinamica per l’accesso all’homebanking tramite APP abbia reso di per sé possibile la truffa lamentata. Tuttavia, la circostanza riferita dall’intermediario fonda la presunzione che la truffa ne sia stata agevolata, rendendo agevole ai truffatori l’accesso all’informazione sul cambio di utenza telefonica dell’utente in costanza della quale è stato attuato lo spoofing.
Una seconda circostanza che evidenzia un profilo di negligenza dell’intermediario attiene, poi, all’anomalia dei pagamenti disconosciuti. Gli ignoti truffatori hanno disposto ben 16 bonifici istantanei (dunque non revocabili) nell’arco di soli 7 minuti, dalle ore 15.32 alle ore 15.39, direttamente tramite l’APP che gli stessi hanno scaricato sul proprio apparecchio telefonico grazie all’inserimento di un’unica OTP (quella comunica dal ricorrente): ciò risulta provato dai log prodotti dall’intermediario sub doc. 4, dove per ciascuno dei bonifici contestati alla voce “nome del canale ***” è riportata la dicitura “application”, ovvero la disposizione tramite APP dei pagamenti istantanei. Poiché il bonifico istantaneo consiste in un trasferimento immediato di danaro, non più revocabile, del tutto equivalente all’operazione di pagamento tramite una carta di pagamento, si ritiene che possa trovare applicazione analogica al caso di specie il disposto dell’art. 8 D.M. 30 aprile 2007, n. 112 del Ministero dell’economia e delle Finanze (Regolamento di attuazione della L. 17 agosto 2005, n. 166, recante Istituzione di un sistema di prevenzione delle frodi sulle carte di
pagamento) giusta il quale “si configura il rischio di frode di cui all’art. 3, comma 1 della legge, quando viene raggiunto uno dei seguenti parametri: (…) 1) sette o più richieste di autorizzazione nelle 24 ore per una stessa carta di pagamento (…)” (art. 8, comma 1, lett.
b), n. 1).
Secondo quanto ritenuto dal Collegio di coordinamento, “di fronte ad un rischio di frode normativamente tipizzato l’intermediario era dunque senz’altro tenuto ad attivarsi per elidere detto rischio, mentre risulta essere rimasto totalmente inerte. (…) Detto comportamento [inerte] non può che far carico – secondo la disciplina della ripartizione del rischio che sopra si è ricordata, nonché secondo la disciplina generale dettata dall’art.
1227 c.c. in materia di concorso colposo del creditore nella causazione dell’evento – all’intermediario resistente, cosicché lo stesso deve essere condannato a restituire al ricorrente la somma di danaro sottrattagli a seguito delle operazioni successive alla settima” (decisione n. 3947 del 2014; in senso conforme Collegio di Bologna, n.
3403/2017; Collegio di Torino, n. 3229 del 2018; Collegio di Torino n. 10530 del2017;
Collegio di Torino, n. 3251 del 2018; Collegio di Torino n. 6438 del 2018; Collegio di Milano n. 3940 del 2019; Collegio di Roma n. 21704 del 2019).
Nel caso di specie sono dunque nove i bonifici istantanei disconosciuti dal ricorrente, che i truffatori non avrebbero potuto effettuare ove l’intermediario avesse predisposto un sistema di monitoraggio e blocco delle operazioni anomale, tali dovendosi ritenere le operazioni di pagamento successive alla settima fino alla sedicesima, per un importo di € 8.100.000, cui devono aggiungersi € 18,00 a titolo di commissioni, per un totale di € 8.118.
Una terza circostanza – non controversa tra le parti – da cui emerge una condotta negligente dell’intermediario attiene alla mancata attivazione del servizio SMS alert. Sul punto si segnala quanto deciso dal Collegio di Coordinamento, il quale ha affermato che
“[f]ra i doveri di protezione dell’utente gravanti sull’intermediario rientra l’onere di fornire il servizio di sms alert o assimilabili da cui l’intermediario può essere esonerato solo dimostrando l’esplicito rifiuto dell’utente ad avvalersene. Gli effetti della mancata adozione del servizio di alert dovranno essere valutati alla stregua delle circostanze di fatto del caso concreto” (Collegio di Coordinamento, decisione n. 24366 del 2019).
Nel caso di specie risulta provato il mancato funzionamento del servizio di alert con riguardo ai 16 bonifici istantanei contestati (cfr. all. 2 dell’intermediario), nonostante il servizio fosse stato attivato a pagamento dal ricorrente (circostanza che il ricorrente deduce e l’intermediario non contesta). È ragionevole supporre che l’effettiva ricezione degli SMS avrebbe permesso al ricorrente di accorgersi delle operazioni fraudolente più celermente e, conseguentemente, di attivare ancora prima le procedure volte a ottenere il blocco dell’operatività dell’home-banking. Ciò avrebbe indubitabilmente avuto un impatto sull’ammontare sottratto, consentendo al ricorrente di attivarsi ancora prima per chiedere il blocco del conto.
Si consideri infine che il ricorrente deduce e prova di aver contattato il numero verde dell’intermediario, alle ore 15:35:33 del 23 luglio 2019 (all. 4 del ricorrente) per segnalare l’anomala operatività del conto e chiederne il blocco immediato, così ottemperando anche all’obbligazione prevista dall’art. 7.1.b) d.lgs. 11 del 2010. Cosicché è stato il ritardo dell’intermediario nel procedere al blocco, in violazione delle obbligazioni che su di lui incombono ai sensi dell’art. 8.1, lett. c) e d) d.lgs. n. 11 del 2010, a consentire agli ignoti
tuffatori di procedere con ulteriori nove bonifici, di cui deve pertanto essere accordato il rimborso al ricorrente, oltre alle commissioni e agli interessi legali dal 23.07.2019.
Accertati i suddetti inadempimenti della banca, questo Collegio rileva, in conclusione, che la sola condotta del ricorrente non è stata sufficiente a cagionare il danno per come si è concretamente verificato – quantomeno sotto il profilo del numero complessivo di operazioni abusive effettuate – e che sussiste un concorso di colpa tra l’intermediario e il ricorrente. Questo Collegio ritiene, pertanto, di ripartire tra le parti la responsabilità per il danno occorso al ricorrente e di condannare l’intermediario a rifondere l’importo sottratto con le operazioni di bonifico istantaneo dall’ottava fino alla sedicesima, oltre alle commissioni, per un totale di € 8.118, da cui deve essere sottratta la franchigia di € 50,00.
Si precisa che lo stesso ricorrente, nel formulare la propria domanda di rimborso (totale o, in subordine, parziale) all’Arbitro, domanda la detrazione della franchigia - senza distinzione in rapporto a tutte le fattispecie invocate (artt. 12.1, 12.2, 12.2ter, 12.3 d.lgs. 11 del 2010) - , da quantificarsi correttamente in € 50,00 in virtù della novella introdotta con il d.lgs. n. 218 del 2017. Tale richiesta non può che rilevare nella valutazione sull’applicabilità dell’istituto che – nelle parole del Collegio di Coordinamento – è “rimessa alla valutazione dell’organo giudicante” (cfr. Collegio di Coordinamento, decisione n.
24366 del 2019). A ciò si aggiunga che la stessa pronuncia rimarca che la franchigia è
“prevista solo con riguardo a “perdite” conseguenti a furto, smarrimento o appropriazione indebita dello strumento di pagamento, dovendosi ritenere esclusa in fattispecie diverse di utilizzo illecito”. Orbene le circostanze della truffa di cui si tratta, per come emergenti dalle deduzioni delle parti nel corso dell’odierno procedimento, permettono di ravvisare nella vicenda che ci occupa una caso di appropriazione indebita del mobile token del ricorrente.
Infatti, una volta venuti in possesso delle credenziali del ricorrente (per imprudenza di quest’ultimo), i truffatori hanno potuto duplicare sul proprio telefono, grazie all’unica OTP loro comunicata dal ricorrente, il token mobile collegato al conto corrente online di quest’ultimo, token mobile di cui si sono di fatto impossessati posto che, da quel momento, ha generato le 16 (rectius 17) password OTP direttamente sul device dei truffatori (benché corrispondente ad un IP e ad un’utenza telefonica del tutto diversa) consentendo loro di effettuare un numero potenzialmente illimitato di operazioni dispositive fraudolente sul conto corrente del ricorrente.
Infine, con riguardo alla richiesta di rimborso delle spese sostenute dal ricorrente per l’assistenza di un professionista nel procedimento dinnanzi all’ABF, questo Collegio rileva che tale domanda risulta infondata poiché priva di alcun supporto probatorio. Infatti, per consolidata giurisprudenza dell’Arbitro, la domanda di risarcimento delle spese legali deve essere supportata dalla produzione di fatture o altri documenti relativi all’effettivo esborso sopportato dai ricorrenti per le spese difensive (cfr. Collegio di Coordinamento, decisione n. 6174 del 2016), mancando nel procedimento davanti all’ABF una previsione corrispondente alla regola della soccombenza vigente nel processo civile.
PER QUESTI MOTIVI
Il Collegio accoglie parzialmente il ricorso e dispone che l'intermediario corrisponda alla parte ricorrente la somma di € 8.068,00, oltre interessi legali dal reclamo al saldo.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l'intermediario corrisponda alla Banca d'Italia la somma di € 200,00, quale contributo alle spese della procedura, e alla parte ricorrente la somma di € 20,00, quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
