Nota a ABF, Collegio di Milano, 1 luglio 2022, n. 9974.
Massima redazionale
In apertura, il Collegio rileva come l’art. 12 D.lgs. n. 11/2010, che regola il regime della responsabilità dell’intermediario per l’utilizzo non autorizzato dall’utente di strumenti e servizi di pagamento, ascriva la responsabilità in capo al prestatore dei servizi di pagamento in tutte le ipotesi di uso non autorizzato, a meno che non vi sia evidenza della frode dell’utente ovvero del dolo o della colpa grave di quest’ultimo nell’adempiere gli obblighi di cui all’art. 7 (ovverosia, gli obblighi di custodia e di corretta utilizzazione dello strumento di pagamento).
L’art. 10 alloca sull’intermediario l’onere di provare “che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”, precisando, al secondo comma, che “l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7”, gravando sull’intermediario “la prova della frode, del dolo o della colpa grave dell’utente”.
Da questo complesso di disposizioni si ricava, come chiarito dal Collegio di Coordinamento[1], che, per un verso, è onere dell’utente il solo disconoscimento dell’operazione di pagamento non autorizzata, mentre, per non incorrere nella responsabilità, di cui all’art. 12, va tenuto conto del principio interpretativo secondo il quale “la previsione di cui all’art. 10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’”autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.
Venendo ai fatti oggetto del ricorso, parte ricorrente disconosceva un bonifico istantaneo. Ciò premesso, il sistema di autenticazione delle operazioni di pagamento adottato dall’intermediario è multifattoriale: più nello specifico, comprende l’uso di password statiche, conosciute dal titolare (Codice Titolare e codice PIN), e di password dinamiche, inserite via app, alle quali si può aggiungere, al fine di garantire un ulteriore livello di sicurezza, una password dinamica inviata via SMS. Ciò risulta conforme a quanto richiesto dall’art. 10bis D.lgs. n. 11/2010, in base al quale “i prestatori di servizi di pagamento applicano l’autenticazione forte del cliente”. La SCA è stata richiesta dall’intermediario sia con riferimento all’accesso al conto (pin, quale elemento di conoscenza e OTP inserita tramite app, quale elemento di possesso), che per quanto concerne l’enrollment di un nuovo dispositivo (da ritenere appartenente ai malfattori).
La modificazione del dispositivo registrato (enrolled) è stata immediatamente comunicata alla ricorrente, che tuttavia non è intervenuta in alcun modo. Il bonifico istantaneo contestato veniva disposto tramite app, con corretto inserimento di PIN e OTP, oltre a OTS inviato al numero registrato della ricorrente. A dimostrazione della corretta autenticazione delle operazioni contestate, l’intermediario resistente ha prodotto evidenza del log (ossia della tracciatura informatica), che risulta confermata dalla produzione del ricorrente di tutti gli sms ricevuti dall’intermediario. Come sottolineato dalla summenzionata decisione del Collegio di Coordinamento, “la semplice produzione in giudizio del “log informatico” relativo all’operazione contestata non è sufficiente perché possa considerarsi assolto l’onere probatorio posto a carico dell’intermediario ai sensi del comma 2 della norma, richiedendosi che il PSP alleghi specifiche deduzioni su fatti e circostanze riguardanti la fase esecutiva dell’operazione stessa in modo da consentire al Collegio di accertare l’eventuale responsabilità dell’utente nel compimento dell’operazione contestata”.
Nel caso di specie, il Collegio milanese rileva la sussistenza di tali circostanze riguardanti la fase esecutiva. Le evidenze documentali comprovano che l’operatività fraudolenta sia stata preceduta da un accesso al sistema home banking della ricorrente. Successivamente, risulta che sia stata effettuato l’enrollment della app di mobile banking su un nuovo dispositivo. Tale operazione è stata effettuata mediante corretto inserimento, oltre al PIN, del codice OTS ricevuto dalla ricorrente via SMS sul proprio cellulare. Di tale entrollment è stato dato avviso al ricorrente mediante comunicazione sms. Successivamente, risulta che sia stato effettuato il censimento delle domande segrete, autorizzato mediante codice OTS, ricevuto dalla ricorrente tramite sms. Anche di tale operazione veniva dato avviso alla ricorrente tramite notifica push e sms. In altri termini, i codici autorizzativi erano preceduti da una chiara indicazione dell’operazione che veniva autorizzata, con specificazione di tipologia di operazione e importo e, per la ricarica, destinatario del pagamento. Si tratta di cautele che avrebbero potuto (e dovuto) impedire la comunicazione delle credenziali dispositive a terzi da parte della ricorrente. È, del resto, documentato che, dopo aver autorizzato l’enrollment della app su un nuovo device, a distanza di parecchi giorni, senza chiedere chiarimenti all’intermediario, la ricorrente abbia autorizzato la prima operazione mediante inserimento dell’OTS ricevuta successivamente alla propria utenza mobile certificata. Risulta, inoltre, dai documenti versati in atti che negli SMS contenenti ciascun OTS, l’intermediario abbia indicato in modo chiaro l’operazione che l’utente era in procinto di autorizzare, precisando con riferimento al bonifico l’importo e il destinatario. Queste circostanze sono idonee a comprovare la colpa grave del ricorrente, tale da escludere che l’intermediario sia tenuto ex art. 12, comma 3, d.lgs. n. 11/2010 a restituire l’importo oggetto dell’operazione disconosciuta.
Non è neppure idonea a escludere la concreta dimostrazione della colpa grave del ricorrente la particolare insidiosità della truffa perpetrata ai suoi danni (c.d. spoofing), in altri casi pure ritenuta dalla giurisprudenza arbitrale tale da neutralizzare la grave negligenza del comportamento del cliente che abbia comunicato a terzi le proprie credenziali[2]. La ricorrente non fornisce prova né dell’SMS, né, tantomeno, della provenienza della telefonata ricevuta, mentre ammette di aver scaricato sul proprio telefono una app e avervi inserito il PIN. Con il che non risulta provata la particolare insidiosità della truffa subita[3].
Il sistema di tutela dell’utilizzatore disegnato dalla PSD2, pur allocando in via tendenziale sull’intermediario il rischio delle operazioni fraudolente, non rende affatto superfluo il ruolo dell’utente nella fase di autorizzazione dell’operazione. Nel caso di operazioni di pagamento elettronico, che il legislatore europeo considera particolarmente delicate, in quanto “maggiormente a rischio frode”[4], non si richiede ai PSP di elaborare soluzioni tecnologiche che esonerino l’utente dall’obbligo (art. 7 d.lgs. n. 11/2010) dal custodire in modo vigile, e impiegare in modo sorvegliato, gli elementi che compongono la strong customer authentication (c.d. SCA). A tal riguardo, occorre puntualizzare che l’art. 10bis, comma 2, D.lgs. n. 11/2010 non esclude affatto che l’utente contribuisca in modo decisivo ad autorizzare le operazioni mediante il collegamento dinamico, richiedendo al PSP la comunicazione riservata al solo utente di dati relativi all’operazione di pagamento: “nel caso dell’avvio di un’operazione di pagamento elettronico di cui al paragrafo 1, lettera b), per le operazioni di pagamento elettronico a distanza, l’autenticazione forte del cliente applicata dai prestatori di servizi di pagamento comprende elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico”. Elementi che, quando indicati in modo trasparente dal PSP e non compromessi da soggetti terzi, non possono essere trascurati da questo Arbitro nel valutare la grave negligenza dell’utente che comunichi i fattori del “codice di autenticazione”, così indirettamente autorizzando il pagamento.
______________________________
[1] Il riferimento è a ABF, Collegio di Coordinamento, n. 22745/2019.
[2] Ex multis ABF, Collegio di Torino, nn. 11712/2021 e 10044/2021.
[3] Cfr. ABF, Collegio di Milano, n. 22347/2021.
[4] V. Considerando n. 3, Regolamento UE n. 2018/389, c.d. “RTS”.