COLLEGIO DI ROMA
COLLEGIO DI ROMA
composto dai signori:
(RM) SIRENA Presidente
(RM) SCIUTO Membro designato dalla Banca d'Italia
(RM) ACCETTELLA Membro designato dalla Banca d'Italia
(RM) GRANATA Membro di designazione rappresentativa degli intermediari
(RM) SARZANA DI X. XXXXXXXX Membro di designazione rappresentativa
dei clienti
Relatore ESTERNI - XXXXXXX XXXXXX
Seduta del 07/05/2021
FATTO
Con ricorso presentato il 7.12.2020, preceduto da reclamo dell’8.10.2020, la ricorrente espone:
- che ha ricevuto una email in data 11.9.2020 apparentemente proveniente dal proprio provider di posta elettronica, con cui veniva sollecitata a provvedere al rinnovo dell’abbonamento in scadenza;
- che ha effettuato il pagamento dell’importo di € 6,11 mediante carta prepagata;
- che, durante l’operazione, è stata informata che avrebbe ricevuto un sms
contenente il codice per autorizzare l’operazione;
- che, effettuato il pagamento, ha ricevuto tuttavia notifica di una transazione dell’importo di € 450,00 in favore di una sconosciuta società londinese;
- che ha contattato immediatamente il numero verde dell’intermediario convenuto per segnalare l’accaduto, ha denunciato i fatti all’A.G. e ha trasmesso copia della denuncia all’intermediario convenuto, che gli trasmetteva il modulo con cui provvedere al disconoscimento;
- che le credenziali del provider di posta elettronica erano “identiche all’originale”;
- che in quei giorni l’abbonamento annuale alla sua casella pec era effettivamente in scadenza e necessitava di essere rinnovato;
- che ha autorizzato, in ogni caso, una spesa di € 6,11 e non quella che le è stata effettivamente addebitata;
- che ha disconosciuto immediatamente la transazione, ma che nonostante ciò l’intermediario non le ha offerto alcuna tutela.
Chiede il rimborso dell’importo dell’operazione contestata, pari a € 450,00.
Con le controdeduzioni l’intermediario resistente ricostruisce la dinamica dei fatti sulla base di quanto riferito dalla ricorrente e delle proprie evidenze affermando:
- che l’operazione è stata posta in essere l’11.9.2020, dopo che la ricorrente ha riscontrato una email di phishing apparentemente inviata dal proprio provider di posta elettronica;
che, collegandosi a una pagina web fraudolenta, la ricorrente vi ha inserito i dati statici della carta (nome, cognome, PAN, xxxxxxxx e codice CVV) e, successivamente, il codice OTP ricevuto sulla propria utenza telefonica;
- che tale operazione è stata effettuata all’interno di un sistema di autenticazione a due fattori, in “assenza di anomalie con la corretta ed immediata digitazione delle credenziali della carta in originale”;
- che i log informatici prodotti attestano il corretto processo di autenticazione, la ricezione dell’sms contenente l’OTP e del successivo messaggio alert di spesa;
- che l’operazione di pagamento è avvenuta con la cooperazione involontaria della cliente, traducendosi “nella mancata custodia dei codici e dei dispositivi di autenticazione ovvero […] nella ingenua trasmissione degli stessi a terzi”;
- che le modalità di truffa in cui è incappata la ricorrente sono note da tempo e oggetto di specifici articoli e trattazioni reperibili anche sul web;
- che la ricorrente non ha versato in atti copia della email di xxxxxxxx e che, presumibilmente, ove la stessa fosse stata versata in atti, il suo tenore letterale avrebbe rivelato elementi “sospetti” che avrebbero reso il messaggio di dubbia credulità;
- che la ricorrente ha consentito, con la propria condotta, l’accesso abusivo alle proprie credenziali da parte di terzi, consentendo loro di effettuare l’operazione fraudolenta;
- che l’operazione in contestazione è ascrivibile ad esclusiva responsabilità della ricorrente.
Chiede pertanto il rigetto del ricorso.
Con repliche alle controdeduzioni dell’intermediario la ricorrente sottolinea di aver immediatamente contattato l’intermediario al fine di disconoscere il pagamento e chiederne il blocco.
Ribadisce “le modalità particolarmente insidiose che hanno caratterizzato la vicenda di frode (quali appunto l’intromissione nel canale di comunicazione solitamente utilizzato dal provider, la scadenza del contratto annuale e soprattutto la circostanza che lo stesso, secondo gli accordi con il detto provider necessitava di approvazione al momento non essendosi optato per il rinnovo automatico, la corrispondenza del canone da corrispondere inferiore a 10 euro, ecc.)”.
Sostiene che “da parte dell’Istituto emittente non siano state poste in essere tutte le cautele al fine di impedire l’operazione di addebito, stante la tempestività della comunicazione”.
Afferma infine come “l’Istituto emittente sia tenuto a dimostrare non solo di aver adottato i migliori sistemi tecnici di tutela della correttezza dei pagamenti, ma anche che il titolare della carta, nell’ambito delle operazioni oggetto di contestazione, abbia tenuto un comportamento “attivo” favorente, quanto meno con il criterio della colpa grave, l’utilizzo fraudolento del mezzo di pagamento”.
Cita la sentenza del Giudice di pace di Bari n. 1174/2020, asseritamente favorevole alle proprie ragioni.
Insiste per l’accoglimento del ricorso.
Con successive controrepliche l’intermediario ribadisce le difese già svolte nei precedenti scritti difensivi.
DIRITTO
La responsabilità di un prestatore di servizi di pagamento è disciplinata dall’art. 12 del D.Lgs. 27 gennaio 2010, n. 11, il quale ha attuato nell’ordinamento giuridico italiano la direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno europeo, così come modificato dal D.Lgs 15.12.2017, n. 218, che ha recepito la direttiva (UE) 2015/2366.
L’art. 12 del D.Lgs. n.11 del 2010, così come successivamente modificato dal D.Lgs. 218/2017 ( “Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento”), prevede che: “1. Salvo il caso in cui abbia agito in modo fraudolento, l’utente non sopporta alcuna perdita derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente intervenuto dopo la comunicazione eseguita ai sensi dell’articolo 7, comma 1, lettera b). 2. Salvo il caso in cui abbia agito in modo fraudolento, l’utente non è responsabile delle perdite derivanti dall’utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto all’obbligo di cui all’articolo 8, comma 1, lettera c). 2-bis. Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente. 2-ter. Il pagatore non sopporta alcuna perdita se lo smarrimento, la sottrazione o l’appropriazione indebita dello strumento di pagamento non potevano essere notati dallo stesso prima di un pagamento, salvo il caso in cui abbia agito in modo fraudolento, o se la perdita è stata causata da atti o omissioni di dipendenti, agenti o succursali del prestatore di servizi di pagamento o dell’ente cui sono state esternalizzate le attività. 3. Negli altri casi, salvo se abbia agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’articolo 7, con dolo o colpa grave, il pagatore può sopportare, per un importo comunque non superiore a euro 50, la perdita relativa a operazioni di pagamento non autorizzate derivanti dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o appropriazione indebita.
4. Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all’articolo 7, con dolo o colpa grave, l’utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 50 euro di cui al comma 3”.
La normativa stabilisce pertanto, come previsto dal succitato comma 2-bis, la responsabilità dell’intermediario ove quest’ultimo non abbia predisposto un sistema di autenticazione forte. Tale tipologia di autenticazione viene declinata nell’art. 1, lettere q) e q bis), del D.Lgs (“Definizioni”) ove si definisce per “autenticazione: la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore (lettera q); per “autenticazione forte del cliente”: un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione (lettera q-bis)”.
Sull’ambito e modalità di applicazione dell’autenticazione forte è intervenuto l’art. 10-bis del D.Lgs. n. 11 del 2010, così come modificato dal D.Lgs. 218/2017, il quale ha previsto che “1. Conformemente all'articolo 98 della direttiva (UE) 2015/2366 e alle relative norme
tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando l'utente: a) accede al suo conto di pagamento on-line; b) dispone un'operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi. 2. Nel caso dell'avvio di un'operazione di pagamento elettronico di cui al paragrafo 1, lettera b), per le operazioni di pagamento elettronico a distanza, l'autenticazione forte del cliente applicata dai prestatori di servizi di pagamento comprende elementi che colleghino in maniera dinamica l'operazione a uno specifico importo e a un beneficiario specifico 3. Conformemente all'articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento predispongono misure di sicurezza adeguate per tutelare la riservatezza e l'integrità delle credenziali di sicurezza personalizzate degli utenti di servizi di pagamento. (omissis)”.
L’art. 5, comma 6, del D. Lgs. 218/2017 prevede che le misure di sicurezza, di cui all’art. 10-bis, così come declinate dalle norme tecniche di regolamentazione, di autenticazione e comunicazione, di cui all’articolo 98 della PSD 2, si applicano decorsi diciotto mesi dalla data di entrata in vigore di tali norme.
Tali norme sono contenute nel Regolamento delegato (UE) n. 2018/389, emanato dalla Commissione europea il 27.11.2017, che “integra la PSD 2 per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri”, le cui disposizioni si applicano a decorrere dal 14 settembre 2019 (art. 38, paragrafo 2) e cioè diciotto mesi dopo l’entrata in vigore del Regolamento.
Il 21 giugno 2019 l’Autorità Bancaria Europea (EBA) ha emanato la “Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2”, con cui ha precisato, ai fini dell’implementazione del suddetto Regolamento, quali elementi costituiscano o meno, allo stato attuale della tecnologia, fattori di autenticazione forte all’interno delle categorie della conoscenza, del possesso e dell’inerenza.
Quanto al disposto del comma 3 dell’art. 12, nel testo ora vigente, si rileva che già alla luce della previgente formulazione dell’art. 12 si era ritenuto che, trattandosi di un fatto impeditivo dell’esercizio del diritto risarcitorio da parte della parte ricorrente, l’onere di provare la colpa grave (o addirittura il dolo) di quest’ultima gravasse sull’intermediario resistente, ai sensi dell’art. 2697, 2° comma, c.c. Tale soluzione è stata espressamente affermata dal Collegio di Coordinamento di questo Arbitro nella decisione n. 5304 del 17 ottobre 2013. Secondo la giurisprudenza di legittimità, la colpa grave è costituita da una
«straordinaria e inescusabile» imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia di cui all’art. 1176, 1° comma, c.c., ma anche «quel grado minimo ed elementare di diligenza generalmente osservato da tutti» (Cass., 3 maggio 2011, n. 913; Cass., 19 novembre 2001, n. 14.456). Questo Arbitro si è costantemente richiamato a tale orientamento giurisprudenziale, com’è stato ribadito dalla già richiamata decisione del Collegio di Coordinamento n. 5304 del 2013 nonché dalla decisione n. 6168 del 2013.
Il fatto che l’onere di provare la colpa grave (o addirittura il dolo) della parte ricorrente gravi sull’intermediario resistente è ora esplicitamente affermato dal disposto dell’art. 10, 2° comma, del D.lgs. n. 11 del 2010, così come modificato dal D.Lgs. 218/2017, il quale statuisce che «quando l’’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzazione di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi
abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art. 7. E’ onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente».
Il Collegio di Coordinamento, con la decisione n. 8553 del 28 marzo 2019, nell’esaminare la specifica questione della portata del comma 2-ter dell’art 12, introdotto dal D. Lgs. 218/2017, ha affermato più in generale che “Il d.lgs. 15 dicembre 2017, n. 218 non modifica il regime della responsabilità né quello probatorio precedentemente applicati”, osservando che: “ … resta invariato il principio secondo cui la responsabilità dell’utente non sussiste, salvo che nelle ipotesi in cui si accerti che egli abbia <agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’art. 7, con dolo o colpa grave> (art. 12, comma 3)…”.
Venendo al caso di specie, è pacifico fra le parti che la transazione in questione è riconducibile a un’operazione di phishing, tramite la quale i terzi malfattori, acquisiti i dati della carta prepagata e l’OTP forniti dalla ricorrente, sono stati in grado dapprima di effettuare l’accesso al servizio di home banking e quindi di eseguire l’operazione di pagamento on line contestata.
Dagli elementi in atti risulta infatti che la ricorrente ha riscontrato una email di phishing apparentemente inviata dal proprio provider di posta elettronica; che, collegandosi a una pagina web fraudolenta, la ricorrente vi ha inserito i dati statici della carta e, successivamente, il codice OTP ricevuto sulla propria utenza telefonica; che gli stessi dati statici e dinamici sono stati utilizzati per il perfezionamento dell'operazione di pagamento in questione.
La ricorrente disconosce tale operazione, effettuata in data 11.9.2020, per l’importo di € 450,00, a valere su carta prepagata, e ne chiede il rimborso.
La materia delle frodi informatiche è stata specificatamente trattata dal Collegio di Xxxxxxxxxxxxx nella decisione n. 3498 del 2012, in cui il Collegio ha operato una distinzione tra modalità di intrusione che denotano una condotta gravemente negligente dell’utilizzatore e modalità non caratterizzate da un contegno colpevole del cliente, traendone la conclusione che solo in quest’ultimo caso e non invece nel primo il cliente ha diritto a vedersi rimborsato dall’intermediario. Il Collegio di Coordinamento ha chiarito che mentre non può ravvisarsi un comportamento colposo del cliente qualora egli, a causa di un virus (malware, trojan, man in the browser), si veda sottrarre le proprie credenziali di accesso, è invece senz’altro connotato dall’elemento soggettivo della colpa grave il comportamento di chi “abbocchi” ad una tradizionale mail di phishing. Nello specifico il Collegio di coordinamento, con la decisione n. 3498/2012, ha identificato il phishing c.d. tradizionale nella situazione in cui “ … il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet.” Questo stesso Xxxxxxxx, sulla scorta di quanto indicato dal Collegio di coordinamento, in una pluralità di decisioni su casi di phishing tradizionale ha ravvisato una condotta gravemente colposa dell’utilizzatore del servizio (cfr., ex multis, le decisioni n. 3076/2015, 5875/2015, 4991/2016, 8487/2016, 8841/2016, 5102/2017, 13448/2017).
Occorre peraltro, prima di accertare eventuali profili di responsabilità a carico della ricorrente nella vicenda in questione, verificare preliminarmente se l’autenticazione delle operazioni in questione, intendendosi per tali sia l’accesso al servizio di home banking sia l’operazione di pagamento contestata, siano state effettuate nel rispetto delle regole vigenti, ratione temporis, in materia di autenticazione forte.
Si osserva al riguardo che tali operazioni sono state poste in essere successivamente al 14 settembre 2019, data di decorrenza dell’applicazione del Regolamento delegato (UE)
n. 2018/389, emanato dalla Commissione europea il 27.11.2017, che “integra la PSD 2 per quanto riguarda le norme tecniche di regolamentazione per l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri”. L’art. 5, comma 6, del D. Lgs. 218/2017, fa rinvio a detto Regolamento ai fini dell’applicazione dell’art. 10-bis del D.Lgs. n.11 del 2010, così come modificato dal D.Lgs. 218/2017, recante disposizioni in materia “Autenticazione e misure di sicurezza” dei pagamenti elettronici.
Come più sopra evidenziato, ai sensi dell’art. 10-bis del D.Lgs. n. 11/2010 l’autenticazione forte è necessaria sia per l’effettuazione di operazioni di pagamento elettronico, sia per “qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi” e pertanto.
L’intermediario precisa che l’operazione di pagamento contestata è stata autenticata in base a un meccanismo a due fattori, basato sull’inserimento di credenziali statiche (numero della carta, data di scadenza, nome e cognome del titolare, PAN e codice CVV) e di credenziali dinamiche (OTP comunicato al numero di cellulare abbinato alla carta). Produce evidenza dell’invio di due sms al cellulare della ricorrente, di cui uno di conferma della ricezione della richiesta di autorizzazione di spesa di € 450,00 a entità basata a Londra e il secondo contenente l’OTP necessario per disporre il pagamento.
Si osserva al riguardo che, in base alla regolamentazione vigente all’epoca delle operazioni, l’inserimento dei dati statici stampati sulla carta, ivi incluso il CVV, non costituisce un elemento riconducibile alla categoria della conoscenza o del possesso, e quindi utile per l’autenticazione forte, come puntualizzato dall’EBA nella sopra richiamata “Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2”.
L’intermediario resistente non ha pertanto assolto all’onere, che ad esso fa capo, di provare la corretta autenticazione dell’operazione di pagamento in questione.
Come più sopra evidenziato, ai sensi dell’art. 12 del D.Lgs. n.11 del 2010, così come successivamente modificato dal D.Lgs. 218/2017 (“Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento”) “2-bis. Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente”.
L’intermediario resistente deve pertanto provvedere al rimborso a parte ricorrente di € 450,00, pari all’importo dell’operazione contestata.
PER QUESTI MOTIVI
Il Collegio dispone che l’intermediario corrisponda alla parte ricorrente l’importo di euro 450,00. Dispone, inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di Euro 200,00 (duecento/00) quale contributo alle spese della procedura e alla parte ricorrente quella di Euro 20,00 (venti/00) quale rimborso della somma versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1