Articolo dell’avvocato Federica Vianello
Con la recentissima pronuncia n. 12589 del 5 dicembre 2024 il Collegio di Milano dell’Arbitro Bancario Finanziario ha affrontato e risolto il dibattuto tema delle truffe informatiche bancarie, note anche come phishing. La vicenda trae origine da una telefonata di un soggetto che si presentava come operatore di Banca Intesa San Paolo e riferiva al correntista che sul suo conto corrente personale vi era stata una transazione sospetta di provenienza croata e della necessità di effettuare dei controlli. Nel corso della telefonata il sedicente operatore, con professionalità, riusciva a carpirgli le proprie credenziali (codice utente e password) e le coordinate della carta di credito aziendale. Dopo aver fornito le credenziali, il correntista, riceveva diversi messaggi di recupero pin da parte della Banca. Insospettitosi dalla situazione, il correntista accedeva per verificare il conto aziendale e si avvedeva che stavano avvenendo delle transazioni anomale non autorizzate. Contattava immediatamente il servizio clienti, il quale gli confermava che vi erano state delle transazioni anomale – apparentemente dallo stesso autorizzate – sia sul conto aziendale sia sul proprio conto personale.
La Banca, nonostante la denuncia penale tempestivamente presentata dal correntista e la pratica di disconoscimento attivata, gli contestava una presunta inosservanza degli obblighi di custodia delle credenziali e negava il rimborso delle somme illegittimamente prelevate. Il correntista era, quindi, costretto a presentare un ricorso all’Arbitro Bancario Finanziario competente, in parziale accoglimento del quale l’ABF ordinava a Banca Intesa la corresponsione di una somma pari al 50% delle somme illegittimamente prelevate oltre ad un contributo per le spese di procedura, sulla scorta delle seguenti motivazioni.
Alla data delle operazioni trovava applicazione il D.lgs. 27 gennaio 2010, n. 11 come modificato dal D.Lgs. n. 218/17 di attuazione della direttiva 015/2366/EU (PSD II), entrato in vigore il 13/01/2018. L’art. 10 del D.lgs. 11/2010 stabilisce che, se il correntista nega tempestivamente di aver autorizzato un’operazione di pagamento, “è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata correttamente, e l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo”. Il successivo art. 10-bis (Autenticazione e misure di sicurezza) impone al prestatore di servizi di predisporre un’autenticazione forte del cliente quando quest’ultimo accede al suo conto di pagamento online, ovvero dispone un’operazione di pagamento elettronico o effettua qualsiasi azione, mediante un canale a distanza, che può comportare una frode nei pagamenti o altri abusi.
L’ABF riteneva, in merito alla prova della doppia autenticazione forte, che l’intermediario avesse assolto all’onere della prova richiesto in caso di operazioni disconosciute, fornendo, in particolare, la prova per ciascuna transazione della doppia autenticazione (PIN e OTP sms). Ferma, tuttavia, la prova dell’autenticazione forte fornita dall’intermediario, per l’ABF si rendeva opportuno verificare se sussistessero profili di anomalia nell’operatività contestata tali da concretizzare un concorso di colpa dello stesso intermediario. Secondo l’orientamento condiviso tra i Collegi, i principi del D.M. 112/2007 non hanno un valore precettivo diretto in materia di disconoscimento di operazioni non autorizzate ma sono espressione di un generale obbligo di monitoraggio delle operazioni, da valorizzare per valutare la condotta dell’intermediario. Il Collegio può quindi valorizzare anche indici di frode ulteriori a quelli del D.M. 112/2007 in presenza di un’operatività anomala rispetto alle movimentazioni storiche del ricorrente (ad esempio con riguardo al numero, alla tipologia, all’importo, al tempo di esecuzione e alla riconducibilità delle operazioni al medesimo beneficiario), ove vi sia un’evidenza delle stesse.
Nel caso di specie risultavano effettuati, nell’arco di circa un’ora e mezza, n. 1 pagamento con carta e n. 8 pagamenti di bollettini postali/CBILL, per un importo complessivo significativo. In alcuni precedenti, in cui veniva in rilievo una pluralità di operazioni di pagamento per importi considerevoli, il Collegio aveva ravvisato una responsabilità concorrente dell’intermediario, valorizzando gli obblighi di protezione gravanti sull’intermediario stesso ai sensi dell’art. 1375 c.c., che impongono l’adozione di misure idonee a monitorare l’utilizzo degli strumenti di pagamento dei clienti e a prevenire truffe a danno di questi ultimi. In particolare, il Collegio ha ritenuto che debba rientrare tra i doveri dell’intermediario l’adozione di adeguati presidi automatici di sicurezza, che consentano il blocco delle operazioni non in linea con una normale operatività.
Nella fattispecie de qua, sono emersi i seguenti segnali di allarme:
– il numero delle operazioni ravvicinate poste in essere e il controvalore delle stesse;
– la tipologia delle transazioni effettuate, che sono risultate (secondo quanto riferito dal cliente e peraltro neppure contestato dall’intermediario) in contrasto con la usuale operatività del conto. Nella specie la “normale operatività” dovrebbe essere valutata anche tenuto conto della natura della parte ricorrente e della tipologia di operazioni poste in essere (8 su 9 sono, come detto, pagamenti di bollettini postali/CBILL);
– I messaggi di Alert non appaiono essere stati, nel complesso, correttamente inviati.
Il provvedimento in commento è giunto, quindi, alla conclusione di ripartire il concorso di colpa nella misura della metà tra intermediario e correntista in considerazione dell’omessa vigilanza da parte della Banca in merito all’utilizzo degli strumenti di pagamento dei clienti ed all’omessa adozione di misure idonee a prevenire truffe a danno di questi ultimi.