Ad impossibilia nemo (intermediari compresi) tenetur: sul disconoscimento di un bonifico tramite home banking.



16 min read

Nota a ABF, Collegio di Napoli, 19 novembre 2020, n. 20713.

di Antonio Zurlo

 

 

 

Vertendosi in materia di bonifici disposti tramite servizio home banking, l’Arbitro Bancario Finanziario (d’ora innanzi, ABF) muove dalla letteralità del D. lgs. n. 11/2011. In tal senso, in via preliminare, richiama i primi tre commi dell’art. 10bis, che dispongono testualmente: «1. Conformemente all’articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente quando l’utente: a) accede al suo conto di pagamento on-line; b) dispone un’operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi. 2. Nel caso dell’avvio di un’operazione di pagamento elettronico di cui al paragrafo 1, lettera b), per le operazioni di pagamento elettronico a distanza, l’autenticazione forte del cliente applicata dai prestatori di servizi di pagamento comprende elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico. 3. Conformemente all’articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento predispongono misure di sicurezza adeguate per tutelare la riservatezza e l’integrità delle credenziali di sicurezza personalizzate degli utenti di servizi di pagamento.».

Ad integrazioni di queste disposizioni, l’art. 1 del citato testo normativo precisa, inoltre, che: «Nel presente decreto legislativo si intendono per: […] q-bis) “autenticazione forte del cliente”: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione […].».

La ricaduta pratica di queste disposizioni, in termini di responsabilità per l’eventuale utilizzo non autorizzato di strumenti o servizi di pagamento, è sancita dall’art. 12, comma 2bis, D. lgs. n. 11/2010 per cui: «Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente.».

Ciò premesso, nella fattispecie posta a oggetto del ricorso, l’ABF non ravvisa responsabilità dell’intermediario resistente, avendo quest’ultimo predisposto, per i propri clienti, un servizio di home banking dotato di tecnologia multifattoriale “forte”, atteso che per accedervi erano necessari due fattori identificativi tra loro indipendenti; segnatamente:

  • per la fase iniziale: la digitazione congiunta del “Codice Cliente” e del “Codice di Decisione Sicurezza”, qualificabile come qualcosa che solo l’utente conosce;
  • l’inserimento di un codice OTP di tre cifre, ricavato tra quelli presenti sulla tessera personale, c.d. “Matrix Card”, in dotazione al correntista, ed ottenuto mediante la combinazione di due coordinate variabili, una orizzontale e una verticale, codice a sua volta qualificabile come qualcosa che solo l’utente possiede.

Inoltre, l’intermediario consentiva alla clientela, attraverso il previo inserimento di queste credenziali, la migrazione, per l’operatività in home banking, dal descritto sistema a quello definito “Digital Code”, a sua volta presidiato da autenticazione a due fattori autonomi.

Dopo aver immesso il Codice Cliente, il Codice di Sicurezza e quello generato per il tramite della Matrix Card, si poteva richiedere, avvalendosi della specifica app dell’intermediario (da scaricare su un dispositivo mobile del cliente), il passaggio al Digital Code per la cui attivazione era richiesta sia la predisposizione, da parte del cliente stesso, di un PIN, che l’inserimento della OTP comunicata, appositamente per tale migrazione, tramite sms presso un’utenza mobile ugualmente di titolarità del cliente interessato (essendo necessario che il titolare del servizio coincidesse con quello della sim card all’uopo utilizzata).

Operando con il Digital Code, le disposizioni di home banking venivano autorizzate attraverso l’utenza mobile del cliente su cui era attivata la relativa app (in possesso esclusivo del solo utente) e mediante l’inserimento del PIN da lui generato (anch’esso nella conoscenza esclusiva del solo utente); trattavasi, in altri termini, di un meccanismo tutelare assicurato da due credenziali, di diversa natura e funzionalmente autonome (carpire il PIN non comportava poter disporre della correlata utenza mobile e viceversa).

Quale presidio aggiuntivo per la tutela delle operazioni online, era stato anche predisposto un sistema di alert mediante mail, che, nel caso di specie, risulta aver funzionato correttamente. Invero parte resistente ha affermato di aver inoltrato alla ricorrente, per ciascuna operazione disconosciuta, una mail con cui veniva avvisata dell’esecuzione dei bonifici, provvedendo a depositare i rispettivi log recanti esito positivo, quanto alla ricezione.

Risultando conformi ai parametri di legge i sistemi di sicurezza approntati dall’intermediario per le operazioni bancarie online eseguite dal conto della ricorrente, il Collegio procede col verificare se, nella fattispecie, le parti si siano uniformate ai rispettivi obblighi normativi finalizzati a impedire violazioni di tali sistemi e, in caso di condotte colpose, ponderarne l’efficienza causale rispetto alla causazione delle operazioni fraudolente e dei danni a esse ricollegabili.

Anche in questo frangente, occorre muovere dal dato normativo. L’art. 7 D. lgs. n. 11/2010, rubricato “Obblighi a carico dell’utente dei servizi di pagamento in relazione agli strumenti di pagamento e alle credenziali di sicurezza personalizzate”, recita testualmente: «1. L’utente abilitato all’utilizzo di uno strumento di pagamento ha l’obbligo di: a) utilizzare lo strumento di Decisione N. 20713 del 19 novembre 2020 Pag. 8/11 pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso e che devono essere obiettivi, non discriminatori e proporzionati; b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza. 2. Ai fini di cui al comma 1, lettera a), l’utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate.».

Simmetricamente, dal versante dell’intermediario, viene, in rilievo, il successivo art. 8, per cui: «1. Il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l’obbligo di: a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest’ultimo ai sensi dell’articolo 7; b) astenersi dall’inviare strumenti di pagamento non richiesti, a meno che lo strumento di pagamento già consegnato all’utente debba essere sostituito; c) assicurare che siano sempre disponibili strumenti adeguati affinché l’utente dei servizi di pagamento possa eseguire la comunicazione di cui all’articolo 7, comma 1, lettera b), nonché, nel caso di cui all’articolo 6, comma 4, di chiedere lo sblocco dello strumento di pagamento o l’emissione di uno nuovo, ove il prestatore di servizi di pagamento non vi abbia già provveduto. Ove richiesto dall’utente, il prestatore di servizi di pagamento gli fornisce i mezzi per dimostrare di aver effettuato la comunicazione di cui all’articolo 7, comma 1, lettera b), entro i 18 mesi successivi alla comunicazione medesima; c-bis) fornire all’utente la possibilità di procedere alla comunicazione di cui all’articolo 7, comma 1, lettera b), a titolo gratuito, addebitandogli eventualmente solo i costi di sostituzione dello strumento di pagamento; d) impedire qualsiasi utilizzo dello strumento di pagamento successivo alla comunicazione di cui all’articolo 7, comma 1, lettera b). 2. I rischi derivanti dalla spedizione di uno strumento di pagamento o delle relative credenziali di sicurezza personalizzate sono a carico del prestatore di servizi di pagamento.».

Gli oneri probatori, circa l’eventuale inadempimento dei rispettivi obblighi, sono oggetto dell’art. 10, che testualmente dispone: «1. Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. 1-bis. Se l’operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l’onere di provare che, nell’ambito delle proprie competenze, l’operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato. 2. Quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.».

Nella fattispecie de qua, in via preliminare, risultava che gli accessi al servizio di home banking e le operazioni disposte suo tramite fossero avvenuti senza che, tanto da canale WEB quanto da canale mobile, si fossero registrate anomalie, compromissioni o violazioni dei sistemi informatici e di sicurezza. Le procedure di previa autenticazione all’home banking, successiva attivazione del Digital Code e, infine, quella di esecuzione dei bonifici online, avevano avuto luogo in modo formalmente corretto, essendo state espletate tutte le regolari fasi, come del resto confermato anche dai log delle relative operazioni depositate dall’intermediario e dalle corrispondenti registrazioni sul conto della ricorrente, da essa prodotte.

Tra queste fasi merita particolare attenzione, per la sua rilevanza causale, quella di invio del messaggio contenente il codice OTP utilizzato per l’attivazione del Digital Code con cui, mediante la specifica app, sono stati disposti i bonifici contestati. A giudizio del Collegio non è revocabile in dubbio che anche tale validazione si fosse svolta correttamente, essendo pacifico che il predetto SMS fosse stato inviato sull’utenza mobile di titolarità della ricorrente e presente nell’anagrafica bancaria (circostanza incontestata, oltre che comprovata dalla schermata depositata dall’intermediario, da cui risulta che tale invio fosse avvenuto presso la stessa utenza indicata dalla ricorrente nella denuncia – querela). In definitiva, quanto all’espletamento del complessivo e articolato procedimento telematico mediante cui sono erano state eseguite le operazioni disconosciute, risultava provato che la condotta della banca fosse esente da censure.

Sennonché, come statuito a più riprese dal Collegio di Coordinamento[1], a fronte del disconoscimento di operazioni di pagamento da parte dell’utilizzatore, l’intermediario non si libera dalla responsabilità provando la mera regolarità formale delle transazioni, dovendo, per converso, ai sensi di quanto espressamente previsto dal summenzionato art. 10, allegare la prova (anche presuntiva) della colpa grave (o del dolo) dell’utente. Di talché, deve, quindi, essere accertato a quale parte sia imputabile, in via esclusiva o, quantomeno, prevalente (e, comunque, determinante), la violazione dei sistemi di sicurezza posti a salvaguardia dell’operatività in home banking.

È premura dell’ABF rassegnare come molti tentativi di truffa realizzati a carico degli utilizzatori di servizi di pagamento online si svolgano secondo uno schema tipico e ampiamente noto, consistente nell’indurre, tramite telefono, e-mail, sms o altri strumenti di comunicazione, il titolare delle credenziali personalizzate a riferirle a terzi e/o a inserirle su dispositivi o piattaforme informatiche, spesso adducendo fasulli tentativi di accesso abusivo o più genericamente l’opportunità di verificare o implementare i sistemi di sicurezza. Il fenomeno è conosciuto come phishing che, se tradizionalmente prende le forme di una mail civetta, può tuttavia presentarsi anche mediante l’invio di sms – c.d. SMShing – o, come avvenuto nel caso di specie, l’effettuazione di chiamate vocali – c.d. vishing.

La diffusione del fenomeno de quo è di una portata e di una notorietà tale che, secondo l’unanime (e, invero, ormai piuttosto risalente) giudizio dei Collegi ABF, l’impiego di una media diligenza deve ritenersi sufficiente a scongiurare il pericolo e ad impedire la truffa. Ne deriva che le conseguenze dannose di un uso fraudolento dei servizi di pagamento online risulti imputabile all’utilizzatore degli stessi, con conseguente esonero dell’intermediario, ogniqualvolta venga provato che il primo sia rimasto «vittima di una colpevole credulità», risultando così «[…] colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di Internet»[2].

Ripercorrendo gli eventi per cui è causa:

  • risulta incontestato che le operazioni disconosciute dalla ricorrente fossero state eseguite per il tramite del sistema di home banking denominato Digital Code;
  • del pari, è pacifico che l’attivazione di tale sistema richiedesse, come rappresentato, l’inserimento di due credenziali, quali il Codice Cliente ed il Codice di Sicurezza, conosciute solo dalla correntista, oltre alla digitazione di un ulteriore codice selezionato fra quelli raffigurati su di una tessera plastificata, denominata Matrix Card, nell’esclusiva disponibilità della ricorrente;
  • è ugualmente certo che l’ulteriore codice necessario per attivare il Digitale Code (ossia l’OTP) fosse stato dapprima correttamente inviato sull’utenza mobile della ricorrente medesima e successivamente da questa divulgato a terzi via telefono.
  • Dopo aver manovrato la migrazione al sistema del Digital Code (se del caso facendo in modo che venisse attivato su di una app gestita da un proprio device anziché da quello della correntista) il presunto autore della frode ha potuto agevolmente operare tramite questo canale, eseguendo anche i bonifici disconosciuti.

Il Collegio ritiene sussistente un insieme di elementi fattuali particolarmente univoco e convergente, deponente nel senso di dover ritenere che l’utilizzo fraudolento del servizio di home banking sia essenzialmente riconducibile, sul piano causale, alla condotta colposa dell’utilizzatore. Nello specifico, l’intrusione non autorizzata nel sistema, lungi dall’essere causata da un insufficiente grado di protezione informatica del servizio offerto dall’intermediario, appare ascrivibile a colpa grave del cliente, con conseguente utilizzo abusivo delle sue credenziali di accesso. Tra le condotte ritenute pacificamente rivelatrici di una colpa grave dell’utilizzatore, vi è senz’altro la comunicazione delle proprie credenziali, o, comunque, di altri dati sensibili inerenti all’uso dello strumento di pagamento, in esito a uno dei summenzionati fenomeni di phishing, noti ormai da diversi anni e che l’ordinaria diligenza consente agevolmente di schivare.

Nel caso di specie, l’immissione del Codice Cliente e del Codice di Sicurezza deve ritenersi avvenuta con l’assenso della correntista, avendo l’intermediario espressamente dedotto questa circostanza nelle controdeduzioni, basandola sul mancato rilevamento di compromissioni dei propri sistemi informatici, senza che la ricorrente abbia obiettato alcunché nelle successive repliche. Pur tuttavia, anche laddove l’autore della truffa avesse violato i primi livelli di sicurezza del sistema e, in tal modo, ghermito il Codice Cliente ed il Codice di Sicurezza della cliente, l’attivazione del Digital Code richiedeva, in ogni caso, il previo inserimento di altri due codici, la cui divulgazione non può che imputarsi alla ricorrente. Il primo, secondo il loro ordine di inserimento, di questi due ulteriori codici, era estratto fra quelli raffigurati su di una tessera plastificata di cui la ricorrente aveva la custodia piena ed esclusiva: era, pertanto, tutelato da un presidio fisico, materiale, non digitale e/o virtuale e, comunque, non carpibile attraverso intrusioni telematiche nel sistema gestito dall’intermediario. La sua diffusione deve, quindi, necessariamente imputarsi alla ricorrente, quantomeno per omessa custodia della citata tessera su cui erano impresse le cifre. Peraltro, la stessa ricorrente ammette di aver riferito a terzi rimasti ignoti, l’altro codice occorrente per la migrazione al Digital Code (ossia l’OTP trasmesso via SMS), dando seguito a una richiesta telefonica che, invece, avrebbe dovuto disattendere, se avesse agito con ordinaria diligenza.

A tale ultimo riguardo, non può addursi quale esimente l’eventuale circostanza che la richiesta de qua fosse pervenuta dal numero del servizio clienti della Banca, considerato che nel messaggio ricevuto dalla ricorrente prima di questa telefonata, veniva specificato in modo univoco, come documentato dalla relativa schermata prodotta, che il codice OTP comunicato fosse «[…] da inserire solo nell’app […]», implicitamente raccomandando di non farne altri usi.

È, d’altronde, comunemente noto, quantomeno per gli utilizzatori di media esperienza dei servizi di home banking, e così deve qualificarsi la ricorrente (data la sua natura imprenditoriale), che gli intermediari non richiedono le credenziali personali via telefono, né le stesse vanno comunicate in questo modo, proprio per scongiurare abusive intrusioni nei sistemi online. Appare, dunque, marchiana e determinante la colpevole leggerezza commessa dalla ricorrente nel divulgare quel codice OTP, in quanto sottratto attraverso un raggiro decisamente banale e manifesto, nondimeno obiettivamente schivabile dispiegando un minimo di diligenza.

In altri termini, la comprovata condotta colposa della ricorrente risulta assorbente rispetto alla verificazione dell’evento dannoso, avendo avuto un’efficienza causale autonoma e prevalente nel processo attraverso il quale si è verificato l’illecito produttivo di quell’evento; le rappresentate circostanze del caso concreto inducono a ritenere che la colpevole credulità della ricorrente, l’avrebbe indotta a fornire qualunque credenziale richiesta, vanificando così la predisposizione di qualsivoglia meccanismo di sicurezza da parte dell’intermediario.

Ad impossibilia nemo (intermediari compresi) tenetur.  

Tutto ciò considerato, in base alle peculiari circostanze fattuali e allo stato delle risultanze agli atti, deve affermarsi che parte ricorrente sia incorsa nella violazione degli obblighi prescritti dall’art. 7 del D. Lgs. n. 11/2010, di diligente custodia dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, quali tessere materiali e OTP; violazione che ha avuto efficienza causale indipendente e determinante nella produzione del danno. Al contempo, deve altresì ritenersi assolto l’onere probatorio che l’art. 10, commi 1 e 2, del citato decreto, pone a carico dell’intermediario, con riguardo sia al profilo dell’autenticazione ed esecuzione delle operazioni di pagamento, che della colpa grave dell’utilizzatore, profili da ritenersi tra loro necessari e complementari.

Da ultimo, non può addebitarsi alcuna responsabilità alla Banca resistente per il mancato recupero delle somme sottratte alla ricorrente, in quanto le disposizioni fraudolente di pagamento sono state eseguite tramite bonifico c.d. istantaneo e la consumazione della truffa si è palesata alle parti solo due giorni dopo, come risultante dalla denuncia – querela, allorché l’operazione bancaria era definitivamente compiuta e non più retrattabile. Anche con riferimento a questo ultimo aspetto, devesi, per converso, riscontrare un’ulteriore negligenza in capo alla ricorrente che, ignorando la telefonata sospetta con cui le si chiedeva il codice OTP (a seguito della quale avrebbe potuto, ad esempio, contattare la Banca per chiedere chiarimenti), ha concesso un ampio margine temporale  (precisamente circa 20 ore) ai truffatori per operare, perpetrando nella sua negligenza ignorando anche le mail di alert (grazie alle quali avrebbe potuto avere immediata contezza delle manovre fraudolente e revocare tempestivamente i bonifici).

Da quanto diffusamente esposto e argomento, nonché in precipua considerazione di quanto previsto dall’art. 1227 c.c., il Collegio conclude per l’esclusione di ogni onere risarcitorio/restitutorio dell’intermediario nei confronti della ricorrente, con rigetto del ricorso sul relativo capo.

 

 

Qui la decisione.


[1] V. ex multis ABF, Collegio di Coordinamento, n. 22745/2019.

[2] Cfr. ABF, Collegio di Coordinamento, 26 ottobre 2012, n. 3498.

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap