Phishing, autenticazione a due fattori e colpa grave del cliente.



Nota a ABF, Collegio di Bari, 12 agosto 2019, n. 19356.

di Antonio Zurlo

 

 

 

 

L’Arbitro Bancario Finanziario (d’ora innanzi, ABF), con la decisione in oggetto, rileva come, nel caso in cui l’Intermediario finanziario abbia efficacemente adottato un sistema di sicurezza c.d. “a due fattori” e abbia, al contempo, comprovato l’invio (e la ricezione) dell’one-time password (OTP) all’utenza telefonica del cliente, su quest’ultimo ricada presuntivamente la colpa grave e, quindi, la responsabilità per eventuali operazioni fraudolente.

************************************

Nel caso di specie, la controversia concerneva un caso classico di phishing realizzato mediante invio di un SMS all’utenza telefonica del ricorrente. Le operazioni contestate erano state poste in essere sotto il vigore del D.lgs. 27 gennaio 2010, n. 11, di attuazione della Direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno (c.d. PSD), così come modificato dal D.lgs. 15 dicembre 2017, n. 218.

Dalla documentazione versata in atti risultava che:

  • il mittente dell’sms, apparentemente genuino, contenente la richiesta di aggiornamento dei dati, fosse effettivamente riconducibile all’Intermediario resistente, al contrario del link di reindirizzamento, risultato del tutto estraneo a quest’ultimo;
  • i messaggi relativi alle transazioni oggetto di contestazione fossero stati trasmessi dallo stesso mittente che aveva inviato i codici utilizzati per altre operazioni e che aveva provveduto ad inviare la nuova password di accesso a seguito della truffa;
  • la data e gli orari di invio delle password dinamiche corrispondessero a quelli delle due transazioni disconosciute.

L’intermediario aveva allegato il log relativo ai due pagamenti online contestati, al fine di comprovare l’evidenza del fatto che le transazioni fossero state correttamente processate e autenticate, specificando, a tal riguardo, che l’apposizione della “spunta verde” indicasse che “le operazioni [fossero] risultate regolarmente autorizzate al primo tentativo” e che non vi [fosse] stato “l’insorgere di richieste negate (eventualmente contrassegnate da una “X” rossa)”.

Lo stesso resistente aveva allegato anche:

  • l’inquiry del log delle transazioni disconosciute, con l’indicazione dell’ora “italiana” effettiva in cui le stesse erano state eseguite (la prima operazione, infatti, è stata eseguita all’estero), nonché evidenza dell’avvenuta digitazione manuale da parte del cliente del codice PAN.
  • l’avvenuto enrollment della carta di pagamento al sistema autorizzativo di tipo dinamico, nonché l’invio, tramite sms, del codice OTP (evidenziando come il numero di telefono corrispondesse a quello indicato dal ricorrente nel modulo del ricorso e che, parimenti, la data e l’orario di invio dell’sms coincidessero con quelli delle transazioni disconosciute).

In ragione di tutte le descritte evidenze, il Collegio, sottolineando che, nel caso di specie, il sistema di sicurezza utilizzato dall’Intermediario fosse “a due fattori”, rileva il corretto e diligente adempimento da parte dello stesso resistente degli obblighi normativamente impostigli, dal momento che aveva fornito la prova dell’invio e della recezione dell’sms con l’OTP all’utenza telefonica del ricorrente. In tal guisa, una volta che il sistema OTP sia stato chiaramente offerto al cliente e che questi se ne sia avvalso, l’eventuale intrusione fraudolenta di un terzo soggetto debba ragionevolmente ricadere nella pur ristretta area di rischio che la legge pone a carico dell’utente[1].

In altri termini, le circostanze fattuali rassegnate, hanno indotto l’ABF a ritenere che l’Intermediario avesse indicato elementi di comportamento tali da lasciar supporre, presuntivamente, la sussistenza di una colpa grave in capo al ricorrente, ai sensi di quanto testualmente disposto dall’art. 10, secondo comma 2, D.lgs. n. 11/2010 (per cui «quando l’utilizzatore di servizi  di  pagamento  neghi  di  aver autorizzato un’operazione di pagamento eseguita,  l’utilizzo  di  uno strumento di  pagamento  registrato  dal  prestatore  di  servizi  di pagamento non è di per sé necessariamente sufficiente a  dimostrare che l’operazione sia stata  autorizzata  dall’utilizzatore  medesimo, né che questi abbia agito in modo fraudolento o non abbia  adempiuto con  dolo  o  colpa  grave  a  uno  o  più degli  obblighi  di  cui all’articolo 7[2].»), ovverosia di non aver custodito, con la dovuta diligenza, i dispositivi personali necessari per l’utilizzo del sistema di pagamento[3].

Ciò dedotto e rilevato, non può che conseguirne il rigetto della domanda risarcitoria[4].

Il Collegio, da ultimo, evidenzia come neppure l’eventuale attivazione del sistema di sicurezza sms alert avrebbe potuto avere una qualche rilevanza causale nella vicenda in esame, in quanto le due operazioni contestate erano state poste in essere in un intervallo di tempo irrisorio (circa a un minuto di distanza l’una dall’altra), rendendo, di fatto, inefficace ogni segnalazione, per quanto tempestiva[5].

 

Qui il testo integrale della decisione.


[1] Cfr. ABF, Collegio di Coordinamento, dec. n. 3498/2012; ABF, Collegio di Bari, dec. n. 8191/2019.

[2] Art. 7 D.lgs. n. 11/2010: «1. L’utilizzatore abilitato all’utilizzo di uno strumento di pagamento ha l’obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso; b) comunicare senza indugio,  secondo  le  modalità  previste  nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da  questo  indicato  lo  smarrimento, il  furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne  viene a conoscenza. 2. Ai fini di cui al comma 1, lettera a), l’utilizzatore, non appena riceve uno strumento di pagamento, adotta le misure idonee a garantire la sicurezza dei dispositivi personalizzati che ne consentono l’utilizzo.».

[3] In senso conforme, ex multis, ABF, Collegio di Milano, dec. n. 142/2017.

[4] V. ABF, Collegio di Bari, dec. n. 24398/2018.

[5] Sul punto, ABF, Collegio di Coordinamento, dec. n. 8553/2019.

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap