La responsabilità della banca a proposito di phishing.



4 min read

Nota a ABF, Collegio di Bari, 4 aprile 2022, n. 5460.

di Donato Giovenzana

 

La controversia attiene al disconoscimento di tre operazioni non autorizzate dal ricorrente.

Le operazioni sono state eseguite sotto il vigore del d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), entrato in vigore il 13/01/2018. La disciplina richiamata prevede che il rischio di utilizzazione fraudolenta degli strumenti di pagamento ricada, in prima battuta, sull’intermediario, il quale può sottrarsi all’obbligo di rimborso delle somme fraudolentemente sottratte fornendo la prova del dolo ovvero della colpa grave dell’utilizzatore, ai sensi del combinato disposto degli artt. 7 e 12, co. 4, d. lgs. n. 11/2010, e della Sez. IV, § 2, del Provvedimento Banca d’Italia 5.7.2011.

In particolare, ai sensi dell’art. 10, d. lgs. n. 11/2010, “qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento HҒ stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”. Il secondo comma del medesimo art. 10 precisa, inoltre, che, ove l’utilizzatore neghi di avere autorizzato un’operazione di pagamento eseguita, “l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non HҒ di per sHғ necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o piXҒ degli obblighi di cui all’articolo 7“ (i.e., obblighi di custodia e di corretta utilizzazione dello strumento di pagamento). Nello stesso comma è altresì precisato che “è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente”.

L’intermediario afferma che le operazioni controverse sono state effettuate tramite l’app e sono state autorizzate mediante l’utilizzo del “codice xxxxID” in app. In particolare, dichiara che l’autenticazione delle operazioni controverse si è articolata in due fasi: preliminarmente, l’installazione dell’applicazione dell’intermediario su smartphone, con onboarding dello strumento di pagamento e configurazione del ****ID all’interno dell’app; a seguire, la disposizione delle operazioni fraudolente tramite inserimento del codice ****ID in app. L’intermediario fornisce altresì un’articolata spiegazione generale del meccanismo di funzionamento delle procedure di installazione e configurazione, nonché delle modalità di funzionamento nel perfezionamento della transazione con il dispositivo *****ID, allegando alle controdeduzioni un documento denominato La soluzione *****ID in ottica strong customer authentication e un dettagliato schema di funzionamento del sistema.

Secondo il Collegio barese non consta una posizione condivisa dai Collegi in merito alla conformità del sistema di autenticazione adottato dall’intermediario rispetto all’esigenza di garantire la Strong Customer Authentication (SCA) ai sensi della vigente disciplina; tuttavia, è evidente che in ogni caso, ai fini della prova della regolare autenticazione, esecuzione e contabilizzazione delle operazioni contestate, non è sufficiente la descrizione in astratto del processo, ma occorre che l’intermediario fornisca prova specifica di come le operazioni si sono svolte (cfr. ex multis Coll. Bari, dec. n.20583/2021).

Ora, nel caso di specie le allegazioni versate in atti dall’intermediario resistente non paiono – secondo il Collegio pugliese – sufficienti a ritenere adempiuto l’onere probatorio.

Nello specifico, non sono presenti i log delle operazioni contestate, dai quali possa evincersi il funzionamento, nel caso concreto, della modalità autorizzativa pur astrattamente descritta (negli stessi termini Coll. Milano, dec. n. 14699/2021 e Coll. Bari, dec. n. 14232/2021). Il mancato assolvimento dell’onus probandi da parte dell’intermediario rende superfluo l’accertamento in ordine ai profili di colpa grave ascrivibili alle parti. L’Abf barese si limita a rilevare, incidentalmente, la mancata prova dell’attivazione del meccanismo di alert, che a detta dell’intermediario verrebbe fornito di default nell’APP di home banking (e v. Coll. Coordin., dec. n. 24366/2019) e che avrebbe potuto impedire l’esecuzione del secondo giroconto, compiuto il giorno successivo al primo. In assenza di prova dell’autenticazione, corretta registrazione e contabilizzazione delle operazioni contestate, l’intermediario sopporta – in ogni caso – integralmente il peso economico delle operazioni disconosciute, peraltro senza possibilità di applicazione della richiesta franchigia, dal momento che l’art. 12, comma 3, del D.lgs. 27 gennaio 2010, n. 11, come modificato dal D.lgs. 15 dicembre 2017, n. 218, prevede una franchigia a carico del cliente di € 50,00 soltanto in caso di “operazioni di pagamento non autorizzate derivanti dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita”, dovendosi dunque ritenere esclusa in fattispecie diverse di utilizzo illecito, come quella oggetto del presente ricorso (si veda, tra le molte, Collegio di Bari, decisione n. 5298/2020).

Alla luce delle considerazioni svolte, il Collegio arbitrale ha accolto la domanda del ricorrente con la conseguenza che l’operazione debba restare integralmente a carico dell’intermediario.

 

Qui la decisione. 

Seguici sui social:

Ricerca avanzata


  • Categorie

  • Autori

  • Seleziona il periodo

Copy link
Powered by Social Snap