Disconoscimento di operazioni di bonifico online da parte del correntista ed esonero da responsabilità della Banca.



4 min read

Nota a ABF, Collegio di Bologna, 17 aprile 2020, n. 7258.

di Donato Giovenzana

 

Le circostanze fattuali.  

La ricorrente disconosce quattro operazioni di bonifico effettuate online dell’importo complessivo di 26.550,00 euro, come risulta dall’estratto conto prodotto dalla stessa e dal dettaglio della tracciatura informatica prodotta dalla Banca.   Nel ricorso e nella denuncia la ricorrente ammette di aver ricevuto una mail apparentemente proveniente dall’intermediario e di aver inserito i propri codici di accesso (codice titolare codice PIN), negando tuttavia di aver inserito gli specifici codici dispositivi della quattro operazioni di bonifico, in relazione alla ricezione dei quali si limita a dichiarare di aver dovuto desistere dalle operazioni di verifica del conto corrente a causa di un malfunzionamento della linea telefonica. La ricorrente sembra dunque prospettare l’ipotesi di clonazione della propria linea telefonica, in particolare allorquando dichiara di aver riscontrato delle anomalie nell’utilizzo del proprio cellulare subito dopo aver effettuato le operazioni richieste nella mail truffaldina, ma non fornisce tuttavia elementi dai quali sia possibile ricostruire le circostanze o le modalità attraverso le quali tale truffa sarebbe stata perpetrata e le credenziali necessarie per effettuare le operazioni sarebbero state carpite da terzi.   Dal canto suo l’intermediario eccepisce che le operazioni di pagamento contestate risultano disposte previa diretta ed immediata autenticazione da parte del legittimo titolare e mediante il sistema dinamico di autenticazione messo a disposizione dall’intermediario, che prevede l’inserimento del codice di accesso personale, del codice dispositivo OTP generato dal token e del codice OTS inviato tramite sms sul numero di cellulare fornito dalla cliente. L’intermediario fornisce la prova della corretta autenticazione mediante la tracciatura informatica allegata alle controdeduzioni, dalla quale si evince che i codici OTP e OTS relativi a ciascuno dei quattro bonifici risultano correttamente inviati “delivered” al numero di cellulare corrispondente a quello indicato dalla ricorrente come proprio recapito in sede di denuncia, che l’operazione di cui trattasi è stata autenticata, correttamente registrata e contabilizzata e che, in relazione alla stessa, non si sono verificati malfunzionamenti del sistema ovvero altre anomalie, come richiesto dal citato art. 10 del d. lgs. 11/2010. L’intermediario documenta altresì di aver inviato, in data 3 luglio 2019 alle ore 17:52 in occasione dell’apertura di una breve sessione in cui non era stata posta in essere alcuna attività dispositiva, all’app mobile della cliente una push notification che rilevava l’accesso al sito web della banca da “browser non utilizzato ultimamente”; il medesimo alert veniva inviato anche in data 5 luglio 2019 alle ore 11:20 a seguito di accesso effettuato da IP non utilizzato in altre circostanze.  

 

La decisione del Collegio.  

La summenzionata prova, unita al fatto che la ricorrente ha ammesso di aver comunicato i codici di accesso al proprio conto online e non è, per contro, stata in grado di fornire alcuna prova in ordine alle circostanze specifiche nelle quali sarebbe avvenuta l’asserita clonazione della SIM del cellulare che avrebbe reso possibile le operazioni online fraudolente, impone al Collegio Abf di considerare le operazioni in argomento come autorizzate dalla ricorrente e, pertanto, a lei opponibili, benché dalla medesima disconosciute.   Infatti, secondo i Collegi ABF, l’adozione di un sistema “a due fattori” induce a ritenere, in assenza di ulteriori indici di anomalia dell’operazione, da un lato, che la banca abbia assolto all’onere di provare l’adempimento degli obblighi su di essa gravanti ai sensi dell’art. 8 del d. lgs. n. 11/2010 e, dall’altro lato, che il cliente si sia reso gravemente inadempiente all’obbligo di custodia degli strumenti e dei codici di accesso che consentono l’utilizzo del servizio online (cfr. ex multis le decisioni ABF, Collegio di Milano, n. 7131/2017; Collegio di Bologna, nn. 11284/2019). In analoghi casi i collegi ABF hanno infatti ritenuto che la corretta adozione e utilizzo del sistema “a due fattori”, caratterizzato da un livello elevato di capacità protettiva, fonda una presunzione di colpa grave in capo al cliente, consistente nel non aver custodito con la dovuta diligenza i dispositivi personali necessari per l’utilizzo del sistema di pagamento (si vedano le decisioni ABF, Collegio di Bologna, n. 16070/2017, Collegio di Napoli, nn. 7483/2017 e 11189/2016, Collegio di Milano, nn. 9817/2017 e 7922/2017). Presunzione che può essere vinta solo fornendo elementi utili ad individuare le modalità con le quali è stata realizzata a suo danno la truffa informatica.   Da quanto sin qui detto consegue, dunque, che, ai sensi dell’art. 12, commi 3 e 4, del richiamato decreto legislativo e secondo il consolidato orientamento seguito dall’Abf, la richiesta di rimborso della somma indebitamente utilizzata deve essere respinta.   In buona sostanza e conclusivamente, la decisione in commento si colloca nell’ambito di quell’orientamento che esclude la responsabilità dell’intermediario, quando quest’ultimo dimostri di aver adottato un sistema di autenticazione “forte” o a due fattori (mediante password statiche e dinamiche) che, allo stato dell’attuale progresso tecnologico, è il più sicuro possibile. Pertanto, una volta che l’intermediario abbia fornito prova dell’attuazione di tale sistema, può ragionevolmente ritenersi che la verificazione dell’evento dannoso si sia resa possibile solo attraverso la cooperazione colposa del cliente che abbia, pur inconsapevolmente, reso accessibili all’esterno le predette credenziali.

 

Qui la decisione.

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap