“Social hacking” e inapplicabilità del D.lgs. n. 11/2010

Secondo l’orientamento della giurisprudenza arbitrale, dal momento che l’operazione è eseguita per intero dal pagatore (con inserimento della disposizione di pagamento e di tutti i fattori di autenticazione), la stessa deve considerarsi autorizzata e, pertanto, non viene in rilievo il regime di responsabilità per le operazioni di pagamento non autorizzate di cui alla direttiva 2015/2366/EU (“PSD2”) e al D.lgs. n. 11/2010, ragion per cui non si procede all’esame del sistema di autenticazione forte dell’intermediario.

Sulla base della rappresentazione dei fatti e dalle evidenze in atti, la tipologia di truffa subìta dall’attrice è qualificabile come social hacking. Questa truffa si concretizza «nell’impartire telefonicamente istruzioni manipolative al titolare della carta, lasciando che sia lo stesso titolare a disporre e autenticare i singoli pagamenti, senza che il frodatore venga mai a conoscenza dei codici di accesso. In questo si distingue da una più comune ipotesi di c.d. vishing, in cui è il truffatore a disporre e autenticare le operazioni, sulla base dei codici di accesso carpiti con l’inganno dall’ignaro interlocutore telefonico».

Ne deriva che, nel caso di specie, l’operazione  contestata, sia pure a causa di un raggiro perpetrato da un terzo, è stata autorizzata dalla parte ricorrente e non è quindi soggetta al regime di responsabilità previsto dalla PSD2.