Fenomeno di phishing: concorso colposo prevalente del cliente/ricorrente.



6 min read

Nota a ABF, Collegio di Milano, 1 ottobre 2020, n. 16841.

di Donato Giovenzana

 

Il Collegio milanese, rilevato che alla operazione contestata, effettuata nel dicembre 2019, si applica il D.lgs. n. 11/2010, come modificato dal D.lgs. n. 218/2017, di attuazione della Direttiva 2015/2366/EU (PSD II), richiama

  • l’art. 8 del suddetto decreto, secondo il quale il prestatore dei servizi di pagamento che emette uno strumento di pagamento ha, tra gli altri, “l’obbligo di assicurare che i dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento non siano accessibili a soggetti diversi dall’utilizzatore legittimato ad usare lo strumento medesimo, fatti salvi gli obblighi posti in capo a quest’ultimo dall’art. 7”;
  • l’art. 10, comma 1, a tenore del quale, in caso di disconoscimento di un’operazione da parte dell’utente, è onere del prestatore di tali servizi “provare che, nell’ambito delle proprie competenze, l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti […]”;
  • l’art. 10 bis, comma 1, secondo cui “i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente quando l’utente: a) accede al suo conto di pagamento on-line; b) dispone un’operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”;
  • gli artt. 11, comma 1, e 12, comma 4, i quali, rispettivamente, dispongono che quando l’operazione di pagamento non sia stata autorizzata, il prestatore di servizi di pagamento deve rimborsarla immediatamente fatto salva l’ipotesi in cui l’utente “abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all’articolo 7, con dolo o colpa grave”, nel qual caso, questi “sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”.

Sulla base della normativa sopra riportata – precisa l’Abf – è l’intermediario a dover provare l’insussistenza di malfunzionamenti dei dispositivi di pagamento, nonché l’autenticazione, la corretta registrazione e contabilizzazione della operazione disconosciuta, prova comunque di per sé non sufficiente a dimostrare il dolo o la colpa grave dell’utente. Il Collegio di Coordinamento, nella decisione n. 22745/19, ha infatti affermato il principio di diritto secondo cui:

la previsione di cui all’art. 10, comma 2, del d.lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’’autenticazione’ e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente“.

Con riguardo alla fattispecie in esame il Collegio rileva che parte resistente ha prodotto evidenze dell’operazione disconosciuta, idonee a comprovare che è stata posta in essere mediante i codici identificativi statici e i dispositivi di sicurezza dinamici affidati al cliente, per mezzo dei quali è stata resa possibile la transazione e la contestuale autenticazione ad opera dell’utente.

In particolare, produce una prima evidenza interna dalla quale si evince che l’operazione è stata posta in essere tramite canale internet (tipologia 3D secure), con la digitazione del codice a tre cifre posto sul retro della carta e il corretto inserimento dell’OTP ricevuto tramite sms, ma senza la digitazione del codice pin; produce poi l’evidenza dell’invio al cliente del sms contenente il codice OTP con il testo che informa che il codice è necessario per completare l’operazione disconosciuta, sul sito estero a favore del quale è avvenuta (il cliente allega l’evidenza del ricevimento del medesimo sms); produce poi una ulteriore evidenza, relativa ai log, che attesterebbe la corretta autenticazione dell’operazione (in particolare il rispetto dei protocolli di sicurezza con riferimento alle operazioni 3D secure).

Quanto al livello di diligenza del cliente, si evidenzia che è lo stesso a riferire di aver ricevuto un SMS, all’apparenza proveniente dall’intermediario convenuto, che lo invitata a contattare l’ufficio prevenzione frodi ad un numero specificamente indicato; di aver effettuato la telefonata e di essere stato informato che stavano per essere compiuti acquisti a favore di beneficiari esteri per cui era necessario bloccare la carta; di avere quindi fornito all’interlocutore il codice OTP ricevuto sul proprio cellulare. In proposito, si osserva che quello descritto è uno degli schemi tipici e ricorrenti di frodi informatiche, consistenti nell’indurre il titolare di una carta di pagamento, a seconda dei casi tramite telefono, e-mail, sms, a comunicare e/o a inserire su dispositivi o piattaforme informatiche le proprie credenziali personalizzate, solitamente adducendo falsamente l’esistenza di tentativi di accesso abusivo o più genericamente l’opportunità di verificare o implementare caratteristiche di sicurezza, contattando gli appositi uffici,  ovviamente inesistenti. Nella specie il sms era chiaramente fraudolento, anche perché significativamente rimandava non un “numero verde” ma al numero di un telefono fisso, tenutosi altresì conto che il reale numero di telefono del servizio clienti è diverso; non si è potuto, d’altra parte, confrontare tale sms con altri messaggi precedenti al fine di valutare una sua eventuale confondibilità, in assenza di documentazione in merito, pur richiesta in via integrativa.

Trattandosi di fenomeni ormai noti, la cui pericolosità è ben evidenziata dagli stessi intermediari, l’impiego di una media diligenza da parte dei clienti sarebbe sufficiente a scongiurare il pericolo e ad impedire le truffe.

Alla luce di quanto sopra esposto e considerato lo svolgimento dei fatti come descritto dalle parti, Il Collegio meneghino ritiene che l’operazione fraudolenta sia stata resa possibile da un comportamento gravemente colpevole del ricorrente, caduta vittima di un fenomeno di phishing.

Occorre peraltro altresì rilevare che nella causazione dell’evento pregiudizievole ha in parte concorso anche il comportamento dell’intermediario il quale non ha in alcun modo dato rilievo al carattere anomalo dell’operazione, quantitativamente esorbitante e con operatore sito in un paese estero, rispetto a quelle usuali del cliente, come anche si evince dal suo estratto conto. In proposito si ricorda, infatti, che gli Orientamenti finali dell’EBA “sulla sicurezza dei pagamenti via internet” (richiamati anche dalla Circolare n. 285 del 2013 della Banca d’Italia, come da ultimo aggiornata nel marzo 2019, alla Parte Prima, Titolo IV, Capitolo 4, sez. VII) prevedono che gli intermediari adottino sistemi di monitoraggio delle operazioni sospette basate, tra l’altro, sull’analisi dei “modelli di comportamento anomalo del cliente”, in relazione, per esempio, alle “categorie di operatori commerciali online atipici per un cliente specifico o transazioni con dati anomali”. In questa prospettiva, laddove, come nella specie, l’intermediario non abbia predisposto un sistema automatico di evidenziazione e di blocco di operazioni decisamente non in linea con l’usuale agire del proprio cliente, può ravvisarsi un comportamento dello stesso non conforme allo standard di diligenza professionale richiesto dall’art. 1176 c.c.

In definitiva, l’Abf milanese ritiene che nella causazione del danno abbia contribuito anche la condotta colposa dell’intermediario, in concorso con quella già accertata in capo al ricorrente; tenuto conto delle rispettive responsabilità, si considera congruo, in applicazione dell’art. 1227 c.c., riconoscere al ricorrente il diritto alla restituzione di un quarto della somma fraudolentemente sottrattagli.

 

 

Qui la decisione.

Ricerca avanzata


  • Categorie

  • Autori

  • Seleziona il periodo

Copy link
Powered by Social Snap