Caller ID spoofing e colpa grave del cliente.



4 min read

Nota a ABF, Collegio di Milano, 17 febbraio 2021, n. 4033.

di Antonio Zurlo

 

Ai sensi degli artt. 10, 12, 12bis e 12ter del D.lgs. 27 gennaio 2010, n. 11, deve essere l’Intermediario a dover comprovare, oltre all’insussistenza di malfunzionamenti, autenticazione, corretta registrazione e contabilizzazione; tale prova non è, comunque, di per sé, sufficiente a dimostrare il dolo o la colpa grave dell’utilizzatore. Del resto, l’Arbitro Bancario Finanziario (ABF) non potrebbe desumere la sussistenza della frode, del dolo o della colpa grave dell’utente soltanto dalla prova della “regolarità formale” dell’operazione: di talché, deve essere l’Intermediario a dover provare tutti i fatti idonei a integrare la colpa grave dell’utilizzatore, unica ipotesi (oltre al dolo) in cui quest’ultimo può patire le conseguenze dell’utilizzo fraudolento dello strumento di pagamento.

In ogni caso, la valutazione della condotta dell’utilizzatore dello strumento di pagamento, ai fini dell’eventuale giudizio di colpa grave, deve fondarsi sulla considerazione del complesso di circostanze che caratterizzano il caso concreto. Con riferimento alla prova della contabilizzazione, della registrazione e dell’autenticazione delle operazioni, il Collegio premette che, nel caso di specie, il resistente abbia prodotto il log dell’operazione. Pur tuttavia, la mera produzione dei log delle operazioni contestate non è circostanza bastevole a considerare pienamente assolto l’onere probatorio posto a carico dell’Intermediario.

Ciò rilevato, il Collegio si sofferma sull’assolvimento dei requisiti richiesti per l’autenticazione forte, come previsto dall’art. 97 della Direttiva “PSD2”, dall’art. 10bis del D.lgs. 27 gennaio 2010, n. 11 e in linea con le ulteriori indicazioni fornite dal Regolamento delegato n. 2018/389. A tale ultimo riguardo, l’art. 4 del Regolamento statuisce testualmente che «Se i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente conformemente all’articolo 97, paragrafo 1, della direttiva (UE) 2015/2366, l’autenticazione si basa su due o più elementi che sono classificati nelle categorie della conoscenza, del possesso e dell’inerenza e comporta la generazione di un codice di autenticazione.». Precisa, inoltre, che «Il codice di autenticazione è accettato solo una volta dal prestatore di servizi di pagamento quando il pagatore lo utilizza per accedere al suo conto di pagamento online, disporre un’operazione di pagamento elettronico o effettuare qualsiasi azione tramite un canale a distanza che possa comportare un rischio di frode nei pagamenti o altri abusi.».

La Strong Customer Authentication (c.d. “SCA”) comporta la generazione, da parte degli intermediari di un codice di autenticazione “dinamico”, che possa essere utilizzato una sola volta per compiere (alternativamente) una di queste operazioni: 1) accedere al conto di pagamento online, anche tramite App; 2) disporre un’operazione di pagamento; 3) effettuare qualsiasi azione, tramite un canale a distanza, che possa comportare un rischio di frode nei pagamenti o altri abusi.

Nel caso di specie, la prova dell’autenticazione forte è stata pienamente fornita dall’Intermediario, che non solo espone di aver predisposto un livello di sicurezza rafforzato a più fattori, ma fornisce, altresì, evidenza del fatto che l’operazione fosse stata autenticata mediante l’inserimento del codice dinamico generato dal token.

Con precipuo riferimento alla prova della colpa grave, dalla dinamica delle circostanze fattuali si desume che il cliente sia stato vittima di un fenomeno di c.d. vishing: il cliente – ricorrente, invero, riferisce e comprova che il numero verde da cui era stato contattato coincidesse con quello dell’Intermediario convenuto (allegando, in tal senso, una schermata del proprio telefono). Trattasi, più nello specifico, di una fattispecie ascrivibile allo schema fraudolento del c.d. caller ID spoofing, consistente nell’effettuare chiamate scegliendo il numero con cui l’autore della telefonata intende presentarsi e capace di indurre il destinatario a credere che il numero sia realmente quello autentico.

Tutto ciò premesso, l’Arbitro perviene alla conclusione che sussistano profili di colpa grave del cliente (consistente, rinvenibili nell’avere dato seguito alle istruzioni del frodatore, nonostante la capillare campagna informativa posta in essere dall’Intermediario), tali da contribuire alla causazione dell’evento dannoso. Il Collegio ritiene, altresì, che la loro efficienza causale non sia esclusiva; il “caller ID spoofing” si discosta, infatti, dal vishing perpetrato attraverso modalità tipiche e ampiamente note, dove la colpa grave del cliente è causa sufficiente dell’evento dannoso, in quanto capace di deviare la catena causale che collega il comportamento illecito del frodatore e il concretarsi della frode (assorbendo il nesso di causalità). Per converso, nel caso in esame, il truffatore ha adottato un sistema tecnicamente più sofisticato, tale da concretare un’ipotesi di malfunzionamento del servizio di pagamento o altro inconveniente connesso al servizio di disposizione di ordine di pagamento, pur inteso in senso ampio, destinato a ricadere nella sfera del rischio di impresa dell’Intermediario. È, infatti, incontroverso che le operazioni siano un effetto di tale malfunzionamento, sul quale si innesta la colpa grave del cliente, che, a parere del Collegio, non è adeguata ad assorbire completamente il nesso di causalità (ma concorre nella misura di ½).

 

 

 

Qui la decisione.

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap