Frode informatica e strong customer authentication.

Con la decisione in esame, l’ABF-Collegio di Roma respinge il ricorso di una risparmiatrice vittima di frode informatica ed esonera l’intermediario finanziario dal rimborso della somma fraudolentemente sottratta per aver rispettato gli standard di sicurezza (SCA) indicati dalla Direttiva PSD2[1].

*****

Analisi dei fatti.

Nel mese di ottobre 2024, una risparmiatrice è stata avvisata dal proprio Istituto bancario di alcuni bonifici istantanei in uscita dal suo conto corrente per un totale di € 2.580,00. Parallelamente, la banca ha notato degli accrediti di modico valore per un totale di € 143,00. Queste operazioni sospette, avvenute nel giro di sole 24 ore, sono state disconosciute dalla ricorrente che ha dichiarato di non aver cooperato all’effettuazione delle stesse e di non aver mai fornito a terzi le proprie credenziali. Pertanto, la risparmiatrice ha adito il Collegio al fine di accertare la responsabilità dell’intermediario per non essersi dotato di misure adeguate alla prevenzione della violazione dei propri strumenti informatici, con conseguente accertamento del diritto al rimborso di € 2.437,00 (vale a dire, la differenza tra le operazioni in uscita e quelle in entrata). L’intermediario finanziario si è opposto a tale richiesta specificando che le operazioni sono state rese possibili solo attraverso numerosi passaggi ed elementi di autorizzazione effettuati dalla cliente stessa che, pertanto, ha cooperato con colpa grave alla frode.

Svolgimento del procedimento e decisione.

Il Collegio ha analizzato la questione de qua ai sensi del D.Lgs. n. 11/2010, modificato con D.Lgs. n. 2018/2017 che recepisce la Direttiva UE 2015/2388 (c.d. PSD 2), nonché alla luce del parere dell’European Banking Authority[2]. In base a tali prescrizioni, l’intermediario è responsabile delle operazioni disconosciute solo nel caso in cui non abbia predisposto un sistema di autenticazione forte (c.d. strong customer authentication)[3]. Un tale sistema, sostiene il Collegio, “deve essere applicato dai prestatori di servizi di pagamento anche quando l’utente dispone un’operazione di pagamento elettronico ovvero effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”. Inoltre, con riferimento all’onere probatorio, l’Arbitro ha precisato che rispetto ad un’operazione di pagamento disconosciuta dal cliente, grava sul prestatore di servizi l’onere di dimostrare che l’operazione sia stata autenticata, correttamente registrata e contabilizzata e che non abbia subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti[4]. Ebbene, dagli atti del procedimento è emerso il preventivo accesso all’home banking via browser tramite inserimento di codice cliente, data di nascita e PIN (elemento di conoscenza), con generazione di OTP inviata sullo smartphone della ricorrente (elemento di possesso); successivamente, ciascuna delle sei disposizioni di bonifico sono state a loro volta autenticate dalla ricezione di una nuova notifica push sull’app token installata sul cellulare della ricorrente (elemento di possesso) e la digitazione del PIN (elemento di conoscenza) con generazione di una nuova OTP sul dispositivo. Per ognuna di queste operazioni, l’intermediario ha poi trasmesso SMS alert al numero di cellulare della ricorrente e, una volta accortosi della possibile frode, ha tentato il recall della cliente, conclusosi negativamente. Pertanto, l’ABF-Roma ha ritenuto che, a fronte di una generica allegazione dei fatti da parte del cliente, l’intermediario ha invece ampiamente documentato la corretta autenticazione, autorizzazione, registrazione e contabilizzazione delle operazioni contestate, con rispetto degli standard di sicurezza (SCA) indicati dalla PSD2. Per tali ragioni, il Collegio non ha ravvisato responsabilità in capo all’Istituto finanziario ed ha respinto integralmente il ricorso[5].

___________________________________________________

[1] Per un approfondimento sulla Direttiva (UE) PSD 2 si segnalano i seguenti contributi: R. MOTRONI, “La PSD2 tra soggetti e oggetto della tutela”, Il diritto dell’economia, 99/2019, pp. 411-441; V. TROIANO e S. MEZZACAPO, “La maggiore convergenza nel negative scope della PSD2: i nuovi criteri applicativi della “limited network exclusion”, Rivista di Diritto Bancario, Luglio-Settembre 2022, pp. 481-511.

[2] “Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2” del 21 giugno 2019.

[3] Ai sensi dell’art. 1, co. 1, lett. q-bis), D.Lgs. n. 11/2010, l’autenticazione forte è “basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che e’ concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.

[4] Cfr.: art. 10, D. Lgs. 27 gennaio 2010, n. 11, e ss.mm.

[5] La decisione si inserisce in un più ampio quadro di decisioni sulla ripartizione della responsabilità tra utilizzatore dei sistemi informatici e intermediario finanziario. Ex plurimis: Collegio di Napoli, Decisione n. 2618/2023; Collegio di Milano, Decisioni nn. 8435/2023; 1882/2023 e 1867/2023; Collegio di Milano, Decisione n. 9157/2024 oggetto di un approfondimento a cura di F. MANNI, in Diritto del Risparmio, Frode informatica: responsabilità paritaria tra utilizzatore del servizio e intermediario finanziario. – Diritto del Risparmio.