COLLEGIO DI BOLOGNA
composto dai signori:
(BO) MARINARI Presidente
(BO) BERTI ARNOALDI VELI Membro designato dalla Banca d'Italia
(BO) MAIMERI Membro designato dalla Banca d'Italia
(BO) PASQUARIELLO Membro di designazione rappresentativa degli intermediari
(BO) PETRELLI Membro di designazione rappresentativa
dei clienti
Relatore GIOVANNI BERTI ARNOALDI VELI
Seduta del 19/04/2022
FATTO Il ricorrente deduce:
- di essere titolare di una carta bancomat rilasciata dall’intermediario resistente;
- che in data 5.11.2021, alle ore 16 circa, durante un soggiorno in Turchia, tentava di effettuare invano un prelievo presso un ATM, che tratteneva lo strumento di pagamento;
- che, poco dopo, rilevava movimenti fraudolenti effettuati con la carta, che provvedeva a bloccare immediatamente;
- che con la carta sono stati compiuti sei movimenti fraudolenti per l’ammontare complessivo di 1.747,42 euro;
- di non avere rivelato il PIN a terzi né di averlo custodito incautamente;
- che la sottrazione dello strumento di pagamento è avventa ad opera dell’ATM, presso cui ha inserito la carta per prelevare del denaro contante;
- di avere inserito la carta nell’ATM, digitato il PIN: sul display è quindi comparso un messaggio incomprensibile in lingua turca, che lo ha indotto ad annullare l’operazione;
tuttavia la carta non è stata restituita dall’ATM;
- che, dopo vani tentativi di recuperare la carta, ritornava in albergo per fruire della connessione internet ivi disponibile, scoprendo delle operazioni fraudolente grazie alle notifiche push;
- che, come si evince nel verbale della denuncia sporta presso le autorità turche, è verosimile che la conoscenza del PIN da parte dei malfattori sia stata ottenuta con il supporto di strumentazione informatica finalizzata a carpire la carta e il PIN della stessa, così come già avvenuto in casi analoghi accaduti attraverso ATM manomessi;
- di evidenziare l’anomalia determinata dal compimento di tre delle sei operazioni fraudolente in un’altra città, Bursa (alle ore 16:29, 16:30 e 16:31), posta a oltre 150 km di distanza da Istanbul, in un lasso temporale di pochi minuti rispetto alle altre tre operazioni fraudolente effettuate ad Istanbul (alle ore 16:21, 16:23 e 16:24);
- di avere sporto denuncia presso le competenti autorità turche nonché presso le competenti autorità italiane;
- di avere inoltrato reclamo in due distinte date (17.11.2021 e 22.12.2021), senza ottenere il rimborso delle operazioni contestate.
Su queste premesse, il ricorrente chiede il “rimborso delle somme … sottratte in maniera fraudolenta”.
L’intermediario resistente ha depositato le proprie controdeduzioni, chiedendo il rigetto della domanda della parte ricorrente, eccependo:
- che dalle verifiche effettuate emerge la legittima esecuzione e sostanziale regolarità delle operazioni disconosciute, che risultano essere state effettuate tramite la lettura del chip della carta originale;
- che, come si ricava dalla documentazione informatica prodotta, le operazioni truffaldine sono state autenticate correttamente;
- che le tracciature informatiche mostrano che le transazioni risultano regolarmente autorizzate al primo tentativo senza essere state precedute da autorizzazioni negate per errato inserimento del PIN;
- che da tale circostanza inferisce che il cliente non ha tenuto una condotta diligente nella conservazione delle sue credenziali personali, essendo i malfattori venuti a conoscenza del PIN.
DIRITTO
L’intermediario resistente ha eccepito e documentato – producendo i relativi log – che, dalle verifiche effettuate, è risultato che le operazioni di pagamento sono state effettuate con utilizzo della carta originale, con la corretta digitazione del relativo numero segreto al primo tentativo ed in assenza di alcuna anomalia, e che la carta era dotata di microchip.
Segnatamente, parte resistente ha documentato l’autenticazione delle operazioni previa corretta lettura del microchip della carta bancomat e autorizzazione tramite riconoscimento avvenuto con digitazione del codice segreto PIN, aggiungendo che le Tracciature informatiche prodotte mostrano che le transazioni risultano regolarmente autorizzate al primo tentativo senza essere state precedute da autorizzazioni negate per errato inserimento del pin: infatti il codice “116” che appare nelle schermate è riconducibile esclusivamente a fondi insufficienti.
Sulla base della documentazione allegata dall’intermediario, le operazioni contestate risultano quindi correttamente eseguite ed autorizzate.
Il fatto che gli utilizzi fraudolenti siano avvenuti con successo in un arco temporale di pochi minuti dal furto è stato ritenuto incompatibile con l’eventualità che il ladro abbia potuto procedere a digitare il PIN per tentativi, denotando invece – al contrario – la sua necessaria conoscenza (Collegio di Coordinamento ABF, decisione n. 5304/2013).
Ancorchè le circostanze, riferite dal ricorrente, della perdita del possesso della carta appaiano inspiegabili, e comunque non sono provate, rimane il fatto che la carta è stata utilizzata da qualcuno che ne aveva il possesso fisico e conosceva il PIN segreto.
Pertanto, in assenza di prova sulle modalità e sulle dinamiche della sottrazione della carta, trattandosi di carta dotata sia di microchip che di PIN e risultando correttamente digitato il codice, senza anomalie, si deve concludere che l’unica plausibile spiegazione per l’effettuazione delle operazioni contestate risieda nella incauta custodia delle credenziali da parte del titolare della carta.
Non sussistono, peraltro, elementi idonei a far ritenere che il codice segreto sia stato appreso tramite modalità diverse.
In merito alla violazione, da parte del cliente, degli obblighi di custodia della carta e delle credenziali della stessa si possono richiamare in termini, fra le tante, le decisioni di questo Collegio n. 3481/2019, 12982/2018, 10508/2018, 10276/2018, 8638/2018, 16081/2017, 15531/2017, 10216/2017, 8356/2017, 7665/2017 e 3992/2017.
In forza di quanto sopra osservato, anche tenuto conto del livello di sicurezza adottato dall’intermediario (carta di pagamento con tecnologia microchip più PIN), si deve
concludere che sussiste in capo alla parte ricorrente l’elemento soggettivo della colpa grave per non avere osservato gli obblighi di custodia dei numeri segreti della carta.
Infatti, anche alla luce di una disciplina chiaramente di favor per l’utilizzatore dello strumento di pagamento, quale è quella dettata dal d.lgs. n. 11/2010, quest’ultimo può ritenersi indenne da responsabilità solo se dal suo comportamento risulti l’adempimento degli obblighi sullo stesso incombenti ai sensi dell’art. 7 del citato decreto ovvero se il mancato rispetto degli stessi è dipeso da causa non imputabile all’utilizzatore medesimo (caso fortuito o forza maggiore), il che non può dirsi verificato nella fattispecie, quanto meno per il PIN. Per converso, non risulta provato alcun inadempimento del prestatore dei servizi di pagamento alle obbligazioni sul medesimo incombenti ai sensi dell’art. 8 del citato decreto, tale da interrompere il nesso causale fra i prelievi fraudolenti lamentati dall’utilizzatore e la sua stessa colpa grave (cfr. le decisioni del Collegio di Coordinamento ABF n. 5304/2013, e del Collegio ABF di Roma n. 7166/2015 e 9854/2016).
L’art. 10 del decreto codifica l’inversione dell’onere della prova: «1. Qualora l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. - 2. Quando l'utilizzatore di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7».
Come è stato osservato dal Collegio di Coordinamento ABF con la decisione n.
5304/2013, la descritta allocazione, fra prestatore e utilizzatore, del danno conseguente al fraudolento utilizzo di mezzi di pagamento risponde alla ratio stessa sottesa alla normativa comunitaria, di cui il d.lgs. n. 11/2010 costituisce attuazione, “che, se da un lato intende incentivare l’utilizzo di questi strumenti di pagamento, dall’altro impone che ciò avvenga nel rispetto dei presidi di sicurezza che siano in grado di preservare l’utilizzatore da impieghi fraudolenti, scoraggiando condotte negligenti che favoriscano pratiche illegali ad opera di terzi (considerazioni che trovano ulteriore applicazione relativamente ai regime di responsabilità ed alla conseguente ripartizione dell’onere probatorio tra utilizzatore e prestatore di uno strumento di pagamento). In relazione ai suddetti obblighi incombenti sull’utilizzatore, la stessa disciplina di diritto positivo fa discendere un duplice ed alternativo regime di responsabilità: una prima responsabilità limitata, che opera rispetto alle operazioni poste in essere prima della tempestiva comunicazione al prestatore dei servizi e nei limiti della franchigia di euro 150,00 [ora, come detto, di 50 euro]; la seconda, di natura illimitata, che opera ogni qualvolta la violazione di tali obblighi sia imputabile ad un comportamento (oltre che fraudolento) doloso o gravemente colposo dell’utilizzatore”.
Inoltre, con la decisione n. 22745/2019, il Collegio di Coordinamento ABF, pronunciandosi su quesiti interpretativi in tema di onere della prova del dolo o della colpa grave dell’utente, posto a carico del prestatore di servizi di pagamento, ha formulato il principio interpretativo secondo il quale “la produzione documentale volta a provare l’autenticazione e la formale
regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente ad indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.
Nel caso specifico, le modalità esecutive dell’operazione convergono a far ritenere, in via presuntiva, che il titolare della carta non abbia custodito con la necessaria cautela le credenziali di accesso al proprio strumento di pagamento.
Ciò detto, si osserva che nella fattispecie risulta integrato uno degli indici di anomalia di cui all’art. 8 del d.m. n. 112/2007, indicatori del rischio di frode attraverso le carte di pagamento, il quale dispone che “si configura il rischio di frode di cui all’art. 3, co. 1, della legge, quando viene raggiunto uno dei seguenti parametri: a) con riferimento ai punti vendita di cui all'art. 7, lett. b): 1) cinque o più richieste di autorizzazione con carte diverse, rifiutate nelle 24 ore, presso un medesimo punto vendita; 2) tre o più richieste di autorizzazione sulla stessa carta, effettuate nelle 24 ore, presso un medesimo punto vendita; 3) richiesta di autorizzazione, approvata o rifiutata, che superi del 150% l'importo medio delle operazioni effettuate con carte di pagamento, nei tre mesi precedenti, presso il medesimo punto di vendita; b) riguardo alle carte di pagamento sottoposte a monitoraggio di cui all'art. 7, lett. c): 1) sette o più richieste di autorizzazione nelle 24 ore per una stessa carta di pagamento; 2) una ovvero più richieste di autorizzazione che nelle 24 ore esauriscano l'importo totale del plafond della carta di pagamento; 3) due o più richieste di autorizzazione provenienti da Stati diversi, effettuate, con la stessa carta, nell'arco di sessanta minuti”.
La norma citata identifica i casi di frode che, ai fini della normativa stessa, vanno segnalati all’Ufficio Centrale Antifrode dei Mezzi di Pagamento del Ministero dell’Economia e delle Finanze, per consentire un monitoraggio del mercato delle carte di pagamento.
Seppure tali previsioni (sinora mai modificate, anche a fronte della significativa evoluzione degli strumenti di pagamento) non abbiano un valore precettivo diretto, esse cionondimeno rappresentano utili indicatori per identificare anomalie e scenari di frode anche ai sensi dell’art. 2 del Regolamento EBA n. 2018/389, in base al quale gli intermediari sono tenuti a predisporre meccanismi in grado di rilevare le operazioni di pagamento non autorizzate o fraudolente.
Con riferimento all’indice di anomalia di cui all’art. 8, lett. a), n. 2), si osserva che, in un caso, tre operazioni di pagamento sono state compiute presso il medesimo esercente in un intervallo temporale compreso tra le ore 16:21 e 16:23 e che, nell’altro caso, tre operazioni di pagamento sono state compiute presso il medesimo esercente in un intervallo temporale compreso tra le ore 16:29 e 16:31.
La mancata attivazione, da parte dell’intermediario, in occasione del terzo prelievo nelle 24 ore presso il medesimo punto vendita, in entrambe le occasioni, rileva quindi – nella fattispecie concreta – come comportamento gravemente negligente dell’intermediario, che ha colpevolmente ignorato l’indicatore di anomalia, che invece avrebbe dovuto indurlo al blocco della carta o, quanto meno, a segnalare la circostanza al titolare della carta richiedendo una immediata verifica e la conferma dell’operazione.
Questo Collegio ritiene, in conformità peraltro all’orientamento anche degli altri Collegi ABF, che la mancata attivazione dell’intermediario in ipotesi che configurano un rischio di frode secondo l’art. 8 del d.m. n. 112/2017 costituisce una disfunzione organizzativa che implica l’addebito della responsabilità per le operazioni non autorizzate (cfr. decisione n.
3634/2018): deve essere quindi dichiarata la responsabilità dell’intermediario per non avere attivato, in presenza dell’indice di rischio, i dovuti presidi di sicurezza che la frequenza e la peculiarità dei prelievi avrebbe imposto di immediatamente attivare.
In forza di quanto sopra, devono essere rimborsati al ricorrente gli importi delle terze operazioni, nelle due occasioni di prelievo, pari rispettivamente a 198,81 e 178,95 euro, per complessivi € 377,76.
Si precisa che, trattandosi di ricorso presentato successivamente all’entrata in vigore, in data 1.10.2020, delle nuove “Disposizioni sui sistemi di risoluzione stragiudiziale delle controversie in materia di operazioni e servizi bancari e finanziari” della Banca d’Italia, ai sensi di quanto previsto nella nota 3 di pagina 25 delle predette, l’importo contenuto nelle pronunce di accoglimento è arrotondato all’unità di euro (per eccesso, se la prima cifra dopo la virgola è uguale o superiore a 5; per difetto, se la prima cifra dopo la virgola è inferiore a 5).
PER QUESTI MOTIVI
Il Collegio – in parziale accoglimento del ricorso – dichiara l’intermediario tenuto in favore della parte ricorrente alla restituzione dell’importo complessivo di euro 378,00 (trecentosettantotto/00).
Dispone, inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di Euro 200,00 (duecento/00) quale contributo alle spese della procedura e alla parte ricorrente quella di Euro 20,00 (venti/00) quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
