(MI) LUCCHINI GUASTALLA Membro designato dalla Banca d`Italia
Transcript
(MI) LUCCHINI GUASTALLA Membro designato dalla Banca d`Italia
Decisione N. 4315 del 08 agosto 2013 COLLEGIO DI MILANO composto dai signori: (MI) GAMBARO Presidente (MI) LUCCHINI GUASTALLA Membro designato dalla Banca d'Italia (MI) ORLANDI Membro designato dalla Banca d'Italia (MI) SANTARELLI Membro designato da Associazione rappresentativa degli intermediari (MI) ESTRANGEROS Membro designato da rappresentativa dei clienti Associazione Relatore LUCCHINI Nella seduta del 28/05/2013 dopo aver esaminato: - il ricorso e la documentazione allegata - le controdeduzioni dell’intermediario e la relativa documentazione - la relazione della Segreteria tecnica FATTO La società ricorrente chiede che la banca “versi, a titolo risarcitorio, l’importo di € 8.440,38 oltre ad interessi di legge dal 17 aprile 2012 all’effettivo pagamento e oltre alle spese di procedura e per l’assistenza legale”. Più precisamente, il 04/05/12 il liquidatore della società ricorrente, stampando l’estratto conto relativo al conto corrente aperto presso la convenuta, si accorgeva di un bonifico di € 8.440,38 effettuato in data 17/04/12, da lui non ordinato e disposto in favore di una “persona a lui assolutamente sconosciuta”. Accortasi dell’ammanco, informava il responsabile della sua filiale e l’08/05/12 presentava denuncia alla PG. Il 20/07/12, per il tramite del suo avvocato, chiedeva il risarcimento del danno sofferto e, ripercorrendo la vicenda, precisava che “il giorno 17/04/2012 alle ore 10.36 aveva disposto un bonifico dell’importo di € 29,99 mentre l’operazione fraudolenta avveniva alle ore 10.25 della stessa giornata”. Con lettera del 29/08/12 la resistente comunicava che “la disposizione [era] stata impartita attraverso l’utilizzo indebito dei corretti codici di accesso al servizio di “banca a distanza”, da imputarsi a un’acquisizione illegittima degli stessi da parte di terzi”, che, nonostante il Pag. 2/6 Decisione N. 4315 del 08 agosto 2013 tentativo effettuato dall’istituto, “a titolo di collaborazione”, di bloccarne l’esecuzione, l’importo non era stato recuperato e che, allo stato, la …banca non [aveva] alcun titolo per proseguire oltre nelle azioni finalizzate al recupero della somma …sottratta”. Non soddisfatta delle risposte ricevuta, il liquidatore sottoscriveva ricorso all’ABF in data 31/01/13, precisando che “era l’unica persona autorizzata ad operare nel conto corrente della società, disponeva di connessioni ADSL per collegarsi ad internet, il computer era dotato di idoneo sistema antivirus e tutte le operazioni home banking venivano eseguite utilizzando il sistema O-key, che fornisce un codice istantaneo per l’accesso al conto”. Con ricorso sottoscritto il 31/01/13 la società ricorrente ha, dunque, chiesto che la banca “versi, a titolo risarcitorio, l’importo di € 8.440,38 oltre ad interessi di legge dal 17 aprile 2012 all’effettivo pagamento e oltre alle spese di procedura e per l’assistenza legale”. Nelle proprie controdeduzioni, presentate, tramite il Conciliatore Bancario, il 20/03/13, l’intermediario ha così ricostruito i fatti all’origine della presente vertenza: - In data 25/10/11, la società ricorrente chiedeva “l’attivazione di contratto per fornitura di servizi via internet, cellulare e telefono, a valere sui rapporti in essere presso la [banca], in associazione al quale veniva fornita l’apparecchiatura c.fd. O-key per la produzione di “one time password” necessarie all’accesso al servizio, ed al conferimento di singoli ordini dispositivi”. - L’operazione oggetto del ricorso “risulta disposta mediante l’utilizzo dei codici identificativi resi noti…esclusivamente all’interessata, nonché di ulteriori codici identificativi la creazione dei quali postula l’utilizzo dello strumento consegnatole al fine di consentirle la produzione di passwords ad utilizzo singolo”. - Il gruppo bancario è da sempre attento agli aspetti di sicurezza e si sforza costantemente di adeguare i propri processi e le soluzioni tecnologiche del proprio sistema informativo agli standard richiesti sul mercato, destinando all’evoluzione dei livelli di sicurezza informatica rilevanti investimenti annuali. - Il richiamato dispositivo O-key possiede le seguenti caratteristiche di sicurezza: 1) algoritmo di sicurezza con chiave/seme conosciuto solo dai server del gruppo; 2) durata limitata a pochi secondi dalla sua generazione; 3) visualizzazione sullo schermo limitata a pochi secondi; 4) annullamento dopo l’utilizzo; 5) riconoscimento e validazione esclusiva da parte del server del gruppo che conosce l’algoritmo e seme con cui viene creato. - La disposizione risulta impartita dall’indirizzo IP solitamente usato dalla ricorrente. - Nessuna violazione risulta essere stata subita dal sistema informatico della banca. - Il ricorrente non ha specificato nulla circa il sistema di sicurezza antivirus del suo PC, né ha fornito la prova che fosse presente un malware. - La Guida ai servizi, espressamente richiamata quale parte integrante del contratto …prevedeva la possibilità di inserire “avvisi via SMS, per attivare o modificare avvisi sull’operatività del conto…”. Tale funzionalità non è stata attivata dalla ricorrente. La resistente ha chiesto in via principale di “dichiarare inaccoglibile, in quanto infondata ed immotivata, la richiesta restitutoria” fatta dalla ricorrente.. A sostegno della sua richiesta ha richiamato alcune decisioni dell’ABF. In sede di controrepliche la parte attrice ha messo in discussione l’uso del dispositivo Okey come misura idonea a fronteggiare i più agguerriti hacker; ha segnalato che anche la banca stessa ha preso atto della facilità con cui può essere violato detto strumento, tanto da introdurre successivamente un ulteriore codice di sicurezza, trasmesso tramite sms; ha ribadito di aver dotato il proprio computer di un “normale ed aggiornato sistema di sicurezza (il lavasoft Ad Aware Free)”; ha infine osservato che l’attivazione degli avvisi via SMS richiamata nelle controdeduzioni era, all’epoca dei fatti, a pagamento. Pag. 3/6 Decisione N. 4315 del 08 agosto 2013 L’intermediario ha ribadito l’attuale validità del sistema di sicurezza garantito dal token OKey e ha precisato che l’ulteriore livello di sicurezza introdotto è volto a difendersi dagli attacchi di phising e non di violazione del token. DIRITTO La questione centrale che questo Collegio deve affrontare per la soluzione del caso che ne occupa attiene ai doveri di custodia dei codici di accesso da parte del cliente che utilizzi il servizio di home banking da un lato e del grado di diligenza che si può richiedere all’intermediario in relazione all’erogazione di detto servizio dall’altro lato. Tuttavia, prima di passare all’esame del merito della questione, è bene ricordare in fatto alcuni aspetti essenziali ai fini della decisione. L’operazione contestata dalla ricorrente, effettuate il 17/04/12, è successiva all’entrata in vigore del D. Lgs. 27 gennaio 2010, n.11 (Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno) e del relativo Provvedimento attuativo della Banca d’Italia del 5.7.2011. Il liquidatore della società ricorrente ha presentato denuncia alla P.G. l’08/05/12. Secondo quanto riferito dall’intermediario il sistema di home banking adottato è “a due fattori”, necessitando, per l’accesso al sistema e l’esecuzione delle operazioni, di user-id, password e della one-time password. Dalle evidenze informatiche prodotte dalla resistente, la disposizione disconosciuta sarebbe stata impartita alle ore 10:24 dal medesimo indirizzo IP dal quale risulta effettuato il bonifico delle ore 10:36 della medesima giornata, non disconosciuta dal ricorrente. Il contratto “servizi via internet, cellulare e telefono” è stato sottoscritto il 25/10/11. Le spese di assistenza legale non sono state documentate. Ebbene, così ricostruiti gli aspetti salienti della vicenda, non può che ricordarsi – come già si è avuto occasione di rilevare in altre occasioni – che è opinione assolutamente condivisa che sul cliente gravi l’onere di custodire con la massima diligenza i vari codici in suo possesso necessari per compiere operazioni bancarie di vario genere, siano esse prelievi per mezzo del servizio Bancomat, disposizioni di operazioni per mezzo di servizi on-line o pagamenti via Internet. Il punto è essenziale per una corretta interpretazione del rapporto contrattuale, posto che, in linea generale, appare corretto affermare che al cliente sono opponibili le operazioni effettuate con la digitazione dei codici in suo possesso (indipendentemente da chi effettivamente le abbia disposte), proprio perché nell’utilizzo del servizio di home banking il cliente viene identificato esclusivamente mediante la verifica dei codici di sicurezza che gli sono stati assegnati. Tuttavia, all’epoca dei fatti all’origine del presente procedimento era già in vigore la normativa (di recepimento della c.d. Direttiva PSD) di cui al D. Lgs. 27 gennaio 2010, n. 11, secondo la quale “salvo il caso in cui l’utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, prima della comunicazione eseguita ai sensi dell’articolo 7, comma 1, lettera b), l’utilizzatore medesimo può sopportare per un importo comunque non superiore complessivamente a 150 euro la perdita derivante dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento” (art. 12, comma 3°); nel contempo, “qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all’art. 7 con dolo o colpa grave, l’utilizzatore sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate e non si applica il limite di 150 euro di cui al comma precedente” (art. 12, comma 4°). Pag. 4/6 Decisione N. 4315 del 08 agosto 2013 Ciò chiarito, è ora necessario verificare quale sia la corretta soluzione della controversia alla luce delle norme sopra riportate, considerato che tali regole sono vigenti dal 1° marzo 2010 e che le norme del citato decreto sostituiscono di diritto le condizioni contrattuali concernenti le fattispecie ivi disciplinate. Ora, come è noto, la diligenza professionalmente qualificata cui fa riferimento il secondo comma dell’art. 1176 cod. civ., deve essere parametrata alle specificità tecnico-scientifiche della professione esercitata, trattandosi di nozione superiore e più specifica di quella relativa al buon padre di famiglia, richiamata dal primo comma dello stesso articolo. L’adempimento dell’obbligazione, quindi, deve avvenire con la diligenza “del regolato ed accorto professionista” (banchiere, nel caso che ne occupa), pena il risarcimento dei danni secondo i normali canoni della responsabilità contrattuale. Per gli aspetti che qui interessano, tale parametro rileva in relazione alla specificità del servizio bancario oggetto di contestazione (home banking) che implica l’utilizzazione del canale telematico e l’uso di codici dispositivi. In particolare, la valutazione coinvolge l’adeguatezza - considerati gli standard esistenti dei presidi tecnici adottati dall’intermediario per rendere sicure le transazioni on-line da attacchi di pirateria informatica. Sui presidi di sicurezza più idonei a fronteggiare il fenomeno della pirateria informatica non c’è attualmente una specifica normativa vincolante, anche se esistono diversi documenti, sia a livello nazionale che internazionale, trattano della sicurezza dell’e-banking e, in particolare, della diversa efficacia dei vari meccanismi di autenticazione. L’utente viene, infatti, autenticato attraverso la presentazione di credenziali. Generalmente si intende per “credenziale” uno o più dei seguenti elementi: qualcosa che l’utente “sa” (es. la password); qualcosa che l’utente “ha” (es. il token, che può contenere un certificato digitale); qualcosa che l’utente “è” (in questo caso si parla di caratteristiche biometriche, es. le impronte digitali). Quando l’autenticazione dell’utente utilizza congiuntamente due di questi sistemi, si parla di autenticazione “a due fattori”. Alcune modalità tecniche consentono già oggi, in associazione all’utilizzo di user-id e password, di effettuare una autenticazione a due fattori: si tratta soprattutto di “Segreti condivisi” e “Token”. Nel caso in esame deve ritenersi che l’intermediario resistente abbia adempiuto con la dovuta diligenza ai propri obblighi. Questo ha, infatti, messo a disposizione del cliente un sistema per il compimento di operazioni on line, che è basato sull’utilizzo contemporaneo di più fattori, ossia quel tipo di sistema che sia questo Collegio sia il Collegio di coordinamento non ha mancato di considerare come (attualmente) il più sicuro e tale da assicurare la migliore tutela degli utilizzatori in base all’attuale stato della tecnica, anche se – giova ricordarlo – non esistono strumenti totalmente “sicuri” [cfr., sul punto, la “Premessa” all’allegato tecnico (“Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza”) al Provvedimento Banca d’Italia dell’11.2.2011 “Diritti e Obblighi delle parti” (di attuazione del titolo II del D.lgs. n. 11/2010 relativo ai servizi di pagamento), ove si legge che “gli strumenti qualificati come “a maggior sicurezza” non vanno intesi come mezzi intrinsecamente sicuri, cioè privi di rischio, ma come strumenti che presentano un livello di rischio connesso con frodi o disconoscimenti inferiore rispetto agli altri strumenti di pagamento alla luce dell’evoluzione tecnologica”]. Ebbene, è chiaro che l’adozione, da parte dell’intermediario, dei più efficaci strumenti di protezione presenti sul mercato, se da un lato non può considerarsi tout court condotta sufficiente ad escludere in ogni caso la sua responsabilità, dall’altro lato non può non influire in modo determinante sulla posizione “processuale” del ricorrente. Infatti, qualora – come nel caso che ne occupa – l’intermediario abbia fornito al cliente dispositivi di autenticazione a doppio fattore, in modo tale da elevare al massimo livello attualmente Pag. 5/6 Decisione N. 4315 del 08 agosto 2013 possibile il grado di protezione del cliente e, nel contempo, rendere sicuramente molto più complicato un eventuale uso fraudolento dello strumento di pagamento da parte di un terzo, sul ricorrente grava l’onere di fornire allegazioni che rendano altamente verosimile il carattere fraudolento dell’operazione disconosciuta pur in presenza di un sistema di protezione a due fattori. Ora, nel caso di specie ciò non è affatto avvenuto, dovendosi, al contrario, trarre argomenti di prova di senso contrario, posto che l’operazione disconosciuta ed altra operazione regolarmente compiuta dalla ricorrente sono state poste in essere non solo a breve distanza di tempo, ma con un medesimo indirizzo IP, elemento che induce a concludere che entrambe le operazioni provenissero dallo stesso terminale. PER QUESTI MOTIVI Il Collegio non accoglie il ricorso. IL PRESIDENTE firma 1 Pag. 6/6