Nota a ABF, Collegio di Roma, 28 luglio 2023, n. 8019.
Con la decisione in esame, l’Arbitro Bancario Finanziario, Sede di Roma, si è nuovamente espresso sul tema della responsabilità dell’intermediario nei casi di truffa su conto corrente.
In particolare, la ricorrente (correntista) ha riferito di essere stata vittima di truffa, avendo ricevuto una telefonata da un numero riconducibile (fittiziamente) all’intermediario resistente che le chiedeva, per motivi di sicurezza, di disinstallare l’applicazione della banca e di cliccare su un link che nel frattempo aveva ricevuto via sms “al fine di evitare il blocco” del conto corrente. Scaricata la nuova “applicazione”, la correntista immetteva le proprie credenziali (numero cliente e password).
Dopo un paio di giorni, grazie all’accesso tramite il dispositivo del cointestatario del conto (risultando la sua applicazione bloccata), la ricorrente scopriva che dal proprio conto erano stati effettuati numerosi bonifici online, per un importo complessivo di € 27.000,00 (dei quali si riusciva ad ottenere lo storno di € 9.000,00).
Essendo quindi la cliente vittima di truffa realizzata con la modalità del c.d. “caller id spoofing” e del “vishing”, la stessa richiede alla banca il rimborso di quanto fraudolentemente sottratto, per mancata adozione di un adeguato sistema di protezione. Difatti è noto che, rientrando tale fattispecie nell’area del “rischio professionale del prestatore dei servizi di pagamento”, l’intermediario è tenuto ad adottare tutte le misure tecniche idonee a garantire un adeguato standard di sicurezza.
Preliminarmente, nel dirimere la controversia, l’Arbitro evidenzia come le operazioni di pagamento disconosciute dalla cliente siano state eseguite nel 2022; risulta pertanto applicabile la normativa del d.lgs. n. 11/2010, come modificato dal d.lgs. n. 218/2017 che ha recepito la direttiva 2015/2366/UE del Parlamento europeo e del Consiglio del 25 novembre 2015, (c.d. PSD 2 – Payment Services Directive 2), nonché nel vigore del Regolamento Delegato (UE) n. 2018/389.
Ai sensi della citata disciplina, l’intermediario è ritenuto responsabile per le operazioni disconosciute laddove quest’ultimo non abbia predisposto un c.d. “sistema di autenticazione forte” (in inglese strong customer authentication o SCA)[1].
Ne consegue che ai sensi dell’art.12,co.2 bis del d.lgs.11/2010, “salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente […]”.
Dagli atti di causa emerge che via sia stata, sia per l’accesso al conto sia per l’effettuazione dei bonifici, l’autorizzazione tramite PIN [fattore di conoscenza] e utilizzo dell’OTP generato da mobile token [fattore di possesso]; anche alla luce della posizione dell’EBA[2], il Collegio ha ritenuto tale modalità di autorizzazione conforme alla SCA.
Pur tuttavia, l’ABF non manca di considerare che la banca deve operare con la “diligenza dell’accorto banchiere” (art.1176, co.2 c.c.) e di conseguenza l’intermediario avrebbe dovuto rilevare un anomalo[3] utilizzo del conto (nel giro di poco più di un giorno infatti sono state compiute in successione undici richieste di bonifico per un rilevante importo significativo, non in linea con l’operatività “storica” della ricorrente per frequenza e tipologia) e avrebbe dovuto, come minimo, comunicarlo alla correntista.
In conclusione, nonostante all’origine della presente fattispecie si possa ravvisare una responsabilità della ricorrente per “colpevole credulità”, il Collegio ha ritenuto di accogliere parzialmente la domanda ricorrente, in considerazione della responsabilità quasi paritaria dell’intermediario per non aver predisposto adeguati sistemi per proteggere più efficacemente i propri clienti.
__________________________________________
[1] Il concetto di “autenticazione forte” trova la propria definizione all’art. 1, co. 1, lett. q-bis), d.lgs. n. 11/2010 (lettera introdotta dal d.lgs. n. 218/2017): “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
[2]Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2 del 21 giugno 2019.
[3] “[…] se le operazioni di pagamento e di prelievo per frequenza oltre che per consistenza appaiano ictu oculi assolutamente non in linea con un’operatività fisiologica, esse siano da considerare “anomale”. Pertanto, l’intermediario che non abbia predisposto idonei strumenti per evidenziare e/o bloccare automaticamente comportamenti che siano evidentemente anomali, ne è responsabile” (Coll. Bologna, dec. n. 4852/2022; ma già, Coll. Bologna, dec. n. 11849/2017, Coll. Roma, dec. n. 3534/2014, n. 4131/2015, n. 11452/2016)”.
Seguici sui social:
Info sull'autore