Nota a ABF, Collegio di Bologna, 16 maggio 2024, n. 5883.
di Sara Rescigno
Tirocinante ACFLa controversia presa in esame affronta il tema del comportamento del Ricorrente e dell’Intermediario in relazione all’esecuzione di operazioni di bonifico online eseguite in un contesto di frode perpetrata mediante la fattispecie dello spoofing e poi disconosciute.
Nel dettaglio, il Ricorrente, in seguito alla ricezione di un sms con il quale veniva avvisato della limitazione della carta/conto per mancata verifica della sicurezza web, con l’invio a cliccare su un link, ha disconosciuto l’esecuzione di quattro operazioni di bonifico online disposte nell’arco di sei minuti circa ed ha chiesto alla Banca la restituzione dell’importo indebitamente prelevato.
Nell’accogliere parzialmente le richieste del Ricorrente, il Collegio ha ribadito che, ai sensi dell’articolo 10 del d.lgs n. 11/2010[1], qualora l’utilizzatore neghi, come nel caso di specie, di aver autorizzato le quattro operazioni di pagamento andate a buon fine, gravi sull’intermediario l’onere di provare l’avvenuta autenticazione delle medesime operazioni, la loro corretta registrazione e/o contabilizzazione, nonché il mancato verificarsi di malfunzionamenti delle procedure necessarie per la loro esecuzione o di altri inconvenienti.
Nel caso di mancato assolvimento dell’onere probatorio di cui sopra, l’intermediario è obbligato a riaccreditarne l’importo sul conto del cliente, ai sensi dell’art. 11 del medesimo d.lgs. n. 11/2010[2].
Sul prestatore di servizi di pagamento (cd. PSP), inoltre, grava “l’onere” di prevedere forme di autenticazione c.d. “forte” per l’autorizzazione di operazioni di pagamento a tutela della sicurezza delle operazioni stesse e del titolare del mezzo di pagamento, ai sensi dell’art. 12, comma 2-bis del d.lgs. 11/2010[3].
La mancata adozione da parte del PSP della c.d. autenticazione forte (SCA), ai sensi dell’art. 12, comma 2-bis del d.lgs. 11/2010, comporta che l’eventuale responsabilità del cliente può essere fatta valere solo in caso di frode.
Nel caso in esame, dai tabulati prodotti dall’Intermediario, il Collegio ha accertato l’esistenza dell’autenticazione c.d. forte (SCA) in relazione a tutte e quattro le transazioni disconosciute, essendo presenti in tutte le operazioni di pagamento eseguite tramite app almeno due distinti fattori e, precisamente, un elemento di conoscenza (il PIN) e un elemento di possesso (OTP generato dal mobile token).
Per tutte e quattro le operazioni disconosciute, il Collegio ha ritenuto assolta la prova di una autenticazione forte a due fattori.
Successivamente, il Collegio si è spinto a verificare la corretta allegazione, da parte dell’Intermediario, di una serie di elementi di fatto che caratterizzano le modalità esecutive delle operazioni dalle quali poter desumere la prova, in via presuntiva, della “colpa grave dell’utente[4]”.
A tal fine, il Collegio ha osservato che la truffa messa in atto è stata caratterizzata da una particolare insidiosità, dal momento che il link ricevuto tramite il messaggio fraudolento, che lo invitava ad attivare il mobile token necessario per effettuare le suddette operazioni, di si inseriva in una “conversazione” o “chat” contenente precedenti messaggi genuini provenienti dall’intermediario. Anche la c.d. di poco successiva chiamata “civetta” risultava provenire da un numero corrispondente a quello dell’intermediario resistente.
Tanto premesso, l’odierna vicenda è stata correttamente individuata come un caso di frode perpetrata mediante la fattispecie dello spoofing.
Nel caso di frodi perpetrate mediante la fattispecie dello spoofing, l’orientamento condiviso dai Collegio ABF è nel senso di ritenere che sia quando il messaggio civetta si inserisca in una “conversazione” o “chat” contenente precedenti messaggi genuini provenienti dall’intermediario, come accaduto nel caso in esame, sia quando sussista un singolo messaggio civetta che risulti apparentemente proveniente dall’intermediario in relazione alla simulazione del nome del mittente, occorra valutare caso per caso eventuali profili di colpa grave del cliente, non potendosi ipotizzare automatismi di sorta circa il riparto di responsabilità tra le parti.
Secondo il Collegio, i principali elementi di anomalia dell’operazione sono stati rappresentati dal fatto che, nell’arco della medesima giornata, in un intervallo temporale di poco meno di 6 minuti, sono stati effettuati 4 bonifici a favore del medesimo beneficiario, non rilevandosi, invece, alcuna irregolarità nella diposizione delle quattro operazioni tramite il canale app di home banking, ai sensi dell’art. 8 del DM 112/2007[5].
Il Collegio, pertanto, ha osservato che le modalità e le circostanze delle operazioni qui disconosciute, anche se connotate dall’involontaria compartecipazione del cliente, sono apparse già in prima battuta inconsuete e sospette, come tali scongiurabili dall’accorto banchiere con l’uso di una diligenza commisurata al suo status.
In conclusione, il Collegio ha accertato l’esistenza di un concorso di colpa tra le parti nella misura del 50% a carico dell’intermediario e del cliente, per la presenza, da un lato, di anomalie riscontrabili nell’operatività dell’home banking e, dall’altro lato, per il comportamento tenuto dal cliente il quale ha cooperato colposamente con il truffatore rendendo così possibile l’esecuzione dell’operazioni in oggetto.
_________________________________________________________
[1] L’articolo 10, comma 1, del Decreto legislativo n. 11/2010 dispone che “Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
[2] L’art. 11, comma 1, del d.lgs. n. 11/2010 dispone che: “Fatto salvo l’articolo 9, nel caso in cui sia stata eseguita un’operazione di pagamento non autorizzata, il prestatore di servizi di pagamento rimborsa al pagatore l’importo dell’operazione medesima immediatamente e in ogni caso al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito. Ove per l’esecuzione dell’operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse avuto luogo, assicurando che la data valuta dell’accredito non sia successiva a quella dell’addebito dell’importo”.
[3] L’art. 12, comma 2-bis, del d.lgs. 11/2010 dispone che “Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente”.
[4] Collegio di Coordinamento, decisione n. 22745/2019.
[5] L’art. 8 del DM 112/2007 dispone che. “Si configura il rischio di frode di cui all’articolo 3, comma 1 della legge, quando viene raggiunto uno dei seguenti parametri: a) con riferimento ai punti vendita di cui all’articolo 7, lettera b): 1) cinque o più richieste di autorizzazione con carte diverse, rifiutate nelle 24 ore, presso un medesimo punto vendita; 2) tre o più richieste di autorizzazione sulla stessa carta, effettuate nelle 24 ore, presso un medesimo punto vendita; 3) richiesta di autorizzazione, approvata o rifiutata, che superi del 150% l’importo medio delle operazioni effettuate con carte di pagamento, nei tre mesi precedenti, presso il medesimo punto di vendita; b) riguardo alle carte di pagamento sottoposte a monitoraggio di cui all’articolo 7, lettera c): 1) sette o più richieste di autorizzazione nelle 24 ore per una stessa carta di pagamento; 2) una ovvero più richieste di autorizzazione che nelle 24 ore esauriscano l’importo totale del plafond della carta di pagamento; 3) due o più richieste di autorizzazione provenienti da Stati diversi, effettuate, con la stessa carta, nell’arco di sessanta minuti”.