Nota a ABF, Collegio di Roma, 24 maggio 2024, n. 6216.
Massima redazionale
Nella specie, rispetto alle due operazioni di prelievo ATM cardless, l’intermediario non produce log specifici, ma precisa che i fattori di autenticazione coinciderebbero con il codice temporaneo generato (c.d. fattore di conoscenza e l’App dell’intermediario precedentemente associata a un dispositivo (c.d. fattore di possesso). A sostegno di quanto dedotto, allega una schermata che mostra gli accessi effettuati con l’utenza di home banking del ricorrente da cui, tuttavia, non emergono le operazioni di pagamento effettuate né i fattori di autenticazione impiegati.
Sul punto, giova richiamare il consolidato orientamento della giurisprudenza arbitrale per cui «la mancanza anche parziale della prova di autenticazione è risolutiva e dirimente rispetto alla valutazione di eventuali profili di colpa ascrivibili al cliente. La prova di autenticazione rappresenta infatti, in aderenza al dato normativo, un prius logico rispetto alla prova della colpa grave dell’utente»[1]. Pertanto, con riferimento alle operazioni contestate, deve ritenersi la responsabilità dell’intermediario per non avere provato che le stesse siano risultate effettivamente presidiate da un sistema di autenticazione forte a due fattori[2].
Passando alla ricostruzione degli eventi occorsi, risulta che il ricorrente, il giorno 31/08/2023, riceveva due SMS apparentemente provenienti da parte resistente, contenenti un link da seguire nel caso in cui si disconoscesse l’associazione di un nuovo cellulare. Lo stesso giorno, riceveva una telefonata, nella quale un soggetto che si qualificava come operatore dell’intermediario, si faceva comunicare le credenziali di home banking e il “codice ID”. Accortosi delle transazioni non autorizzate, bloccava gli strumenti di pagamento il 13/09/2023. Dall’analisi del messaggio civetta, emerge che il link non parrebbe riferibile all’intermediario; stesso dicasi con riferimento alla numerazione da cui è pervenuta la telefonata, tanto più in assenza di evidenze in tal senso offerte dal ricorrente. Orbene, il Collegio ha già avuto modo di chiarire che «secondo la più recente posizione condivisa da tutti i Collegi territoriali, nelle fattispecie di spoofing non è generalmente ravvisabile la colpa grave del ricorrente, a meno che non si rinvengano indici di inattendibilità o anomalia del messaggio: in tale caso, potrà essere ravvisato un concorso di colpa tra le parti in relazione, da un lato, alla negligenza grave dell’utente che agevola il compimento della truffa, similmente a quanto avviene negli episodi di phishing e, dall’altro lato, alle criticità organizzative del servizio di pagamento offerto dall’intermediario»[3].
Pur tuttavia, nel caso di specie, deve escludersi che l’attacco fraudolento avrebbe avuto esito “positivo” senza la decisiva collaborazione del ricorrente che, fornendo i propri codici di accesso[4] e, soprattutto, facendo trascorrere ben tredici giorni prima di procedere al blocco delle carte, ha adottato un comportamento connotato da una negligenza che si presenta rilevante, tale da poterla qualificare alla stregua della colpa grave.
_______________________________________________________________________
[1] Cfr. ABF, Collegio di Milano, n. 1113/2023.
[2] Cfr. ABF, Collegio di Roma, n. 9890/2023.
[3] Cfr. ABF, Collegio di Roma, n. 1625/2022.
[4] Cfr. ABF, Collegio di Roma, n. 8728/2022 e n. 1209/2021.