Man in the browser e colpa grave del pagatore.



3 min read

Nota a ABF, Collegio di Roma, 17 dicembre 2020, n. 23093.

di Antonio Zurlo

 

Il ricorso de quo aveva per oggetto la richiesta di rimborso dell’importo di due ordini di bonifico, disposti a favore di un beneficiario errato, a valere sul conto della ricorrente. L’intermediario resistente produceva l’evidenza contabile dei due bonifici, che affermava di avere disposto secondo le indicazioni forniti dalla ricorrente.

In via preliminare, l’Arbitro Bancario Finanziario (ABF) osserva che dalle evidenze prodotte non sia possibile verificare se i bonifici fossero stati effettuati secondo le indicazioni e gli input forniti dalla ricorrente al momento della compilazione. Invero, non è possibile nemmeno risalire all’IBAN del beneficiario dei bonifici, ma unicamente ai nomi associati nella rubrica della ricorrente. È lo stesso resistente a presentare evidenza che i riferimenti dei beneficiari, inseriti nella rubrica “[Cognome Nome]” e “Condominio […]”, erano associati agli IBAN corretti, come evidenziato dalle ricevute presentate dalla ricorrente, e non a quelli ai quali sono stati invece effettuati i bonifici oggetto della controversia. Non vi era, pertanto, alcuna evidenza a sostegno della tesi che la ricorrente avesse selezionato erroneamente i beneficiari dalla rubrica, né, tantomeno, l’intermediario ha fornito alcuna evidenza che controparte avesse deliberatamente inserito un IBAN diverso da quello associato ai riferimenti, dopo averli selezionati. In altri termini, nel caso di specie, il resistente non ha presentato alcuna evidenza sufficiente a escludere che la ricorrente abbia indicato un IBAN corretto, variato fraudolentemente nella fase di predisposizione dell’ordine o nella fase di ricezione del medesimo.

Tale ipotesi non è incoerente con la tesi che la ricorrente sia stata oggetto di una frode attuata attraverso la sovrascrittura dei dati inseriti, al fine di dirottare il bonifico verso un IBAN diverso da quello originariamente designato. A tal riguardo, il Collegio di Roma[1] ha, recentemente, avuto occasione di evidenziare come «[i]l regime probatorio in materia di autenticazione ed esecuzione di operazioni di pagamento contestate dal pagatore è disciplinato dall’art. 10, comma 1, del d.lgs. 11/2010 (così come modificato dal d.lgs. 218/2017, che ha recepito la Direttiva 2015/2366/UE, c.d. PSD2), ai sensi del quale “[q]ualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Inoltre, ai sensi dall’art. 10, comma 2, d.lgs. 11/2010 “[q]uando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento […] non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art. 7. È onere del prestatore di servizi di pagamento […] fornire la prova della frode, del dolo o della colpa grave dell’utente.».

Analogamente al caso oggetto di tale richiamata decisione, anche nel caso in esame emergono indizi di una possibile frode informatica in fase di esecuzione del bonifico, riconducibile alla fattispecie del c.d. “man in the browser”, che, come evidenziato, non trovano smentita nelle controdeduzioni o nella documentazione prodotta dall’intermediario. L’intermediario, inoltre, non ha adempiuto al proprio onere probatorio, ex art. 10, secondo comma, D. lgs. n. 11/2010, non avendo prodotto evidenze di inadempimenti dolosi o gravemente colposi del pagatore ai propri obblighi (derivanti dall’art. 7 dello stesso decreto) né, tantomeno, di comportamenti fraudolenti.

Da ultimo, secondo la costante giurisprudenza arbitrale, in presenza di una frode riconducibile alla fattispecie del c.d. “man in the browser”, ovverosia di interposizione di un malware in grado di operare tra il sistema centrale dell’intermediario e quello del singolo utente, non è ravvisabile una condotta gravemente colposa del pagatore[2].

Per i motivi esposti sopra, il Collegio accoglie il ricorso.

 

 

Qui la decisione.


[1] Il riferimento è alla decisione n. 6226/2020.

[2] Cfr. ex multis ABF, Collegio di Roma, n. 12501/2019; ABF, Collegio di Napoli, n. 8400/2019.

Ricerca avanzata


  • Categorie

  • Autori

  • Seleziona il periodo

Copy link
Powered by Social Snap