(MI) LUCCHINI GUASTALLA Membro designato dalla Banca d`Italia

Decisione N. 4315 del 08 agosto 2013
COLLEGIO DI MILANO
composto dai signori:
(MI) GAMBARO
Presidente
(MI) LUCCHINI GUASTALLA
Membro designato dalla Banca d'Italia
(MI) ORLANDI
Membro designato dalla Banca d'Italia
(MI) SANTARELLI
Membro designato da Associazione
rappresentativa degli intermediari
(MI) ESTRANGEROS
Membro designato da
rappresentativa dei clienti
Associazione
Relatore LUCCHINI
Nella seduta del 28/05/2013 dopo aver esaminato:
- il ricorso e la documentazione allegata
- le controdeduzioni dell’intermediario e la relativa documentazione
- la relazione della Segreteria tecnica
FATTO
La società ricorrente chiede che la banca “versi, a titolo risarcitorio, l’importo di € 8.440,38
oltre ad interessi di legge dal 17 aprile 2012 all’effettivo pagamento e oltre alle spese di
procedura e per l’assistenza legale”.
Più precisamente, il 04/05/12 il liquidatore della società ricorrente, stampando l’estratto
conto relativo al conto corrente aperto presso la convenuta, si accorgeva di un bonifico di
€ 8.440,38 effettuato in data 17/04/12, da lui non ordinato e disposto in favore di una
“persona a lui assolutamente sconosciuta”.
Accortasi dell’ammanco, informava il responsabile della sua filiale e l’08/05/12 presentava
denuncia alla PG.
Il 20/07/12, per il tramite del suo avvocato, chiedeva il risarcimento del danno sofferto e,
ripercorrendo la vicenda, precisava che “il giorno 17/04/2012 alle ore 10.36 aveva disposto
un bonifico dell’importo di € 29,99 mentre l’operazione fraudolenta avveniva alle ore 10.25
della stessa giornata”.
Con lettera del 29/08/12 la resistente comunicava che “la disposizione [era] stata impartita
attraverso l’utilizzo indebito dei corretti codici di accesso al servizio di “banca a distanza”,
da imputarsi a un’acquisizione illegittima degli stessi da parte di terzi”, che, nonostante il
Pag. 2/6
Decisione N. 4315 del 08 agosto 2013
tentativo effettuato dall’istituto, “a titolo di collaborazione”, di bloccarne l’esecuzione,
l’importo non era stato recuperato e che, allo stato, la …banca non [aveva] alcun titolo per
proseguire oltre nelle azioni finalizzate al recupero della somma …sottratta”.
Non soddisfatta delle risposte ricevuta, il liquidatore sottoscriveva ricorso all’ABF in data
31/01/13, precisando che “era l’unica persona autorizzata ad operare nel conto corrente
della società, disponeva di connessioni ADSL per collegarsi ad internet, il computer era
dotato di idoneo sistema antivirus e tutte le operazioni home banking venivano eseguite
utilizzando il sistema O-key, che fornisce un codice istantaneo per l’accesso al conto”.
Con ricorso sottoscritto il 31/01/13 la società ricorrente ha, dunque, chiesto che la banca
“versi, a titolo risarcitorio, l’importo di € 8.440,38 oltre ad interessi di legge dal 17 aprile
2012 all’effettivo pagamento e oltre alle spese di procedura e per l’assistenza legale”.
Nelle proprie controdeduzioni, presentate, tramite il Conciliatore Bancario, il 20/03/13,
l’intermediario ha così ricostruito i fatti all’origine della presente vertenza:
- In data 25/10/11, la società ricorrente chiedeva “l’attivazione di contratto per fornitura
di servizi via internet, cellulare e telefono, a valere sui rapporti in essere presso la
[banca], in associazione al quale veniva fornita l’apparecchiatura c.fd. O-key per la
produzione di “one time password” necessarie all’accesso al servizio, ed al
conferimento di singoli ordini dispositivi”.
- L’operazione oggetto del ricorso “risulta disposta mediante l’utilizzo dei codici
identificativi resi noti…esclusivamente all’interessata, nonché di ulteriori codici
identificativi la creazione dei quali postula l’utilizzo dello strumento consegnatole al
fine di consentirle la produzione di passwords ad utilizzo singolo”.
- Il gruppo bancario è da sempre attento agli aspetti di sicurezza e si sforza
costantemente di adeguare i propri processi e le soluzioni tecnologiche del proprio
sistema informativo agli standard richiesti sul mercato, destinando all’evoluzione dei
livelli di sicurezza informatica rilevanti investimenti annuali.
- Il richiamato dispositivo O-key possiede le seguenti caratteristiche di sicurezza: 1)
algoritmo di sicurezza con chiave/seme conosciuto solo dai server del gruppo; 2)
durata limitata a pochi secondi dalla sua generazione; 3) visualizzazione sullo
schermo limitata a pochi secondi; 4) annullamento dopo l’utilizzo; 5) riconoscimento
e validazione esclusiva da parte del server del gruppo che conosce l’algoritmo e
seme con cui viene creato.
- La disposizione risulta impartita dall’indirizzo IP solitamente usato dalla ricorrente.
- Nessuna violazione risulta essere stata subita dal sistema informatico della banca.
- Il ricorrente non ha specificato nulla circa il sistema di sicurezza antivirus del suo PC,
né ha fornito la prova che fosse presente un malware.
- La Guida ai servizi, espressamente richiamata quale parte integrante del contratto
…prevedeva la possibilità di inserire “avvisi via SMS, per attivare o modificare avvisi
sull’operatività del conto…”. Tale funzionalità non è stata attivata dalla ricorrente.
La resistente ha chiesto in via principale di “dichiarare inaccoglibile, in quanto infondata ed
immotivata, la richiesta restitutoria” fatta dalla ricorrente.. A sostegno della sua richiesta ha
richiamato alcune decisioni dell’ABF.
In sede di controrepliche la parte attrice ha messo in discussione l’uso del dispositivo Okey come misura idonea a fronteggiare i più agguerriti hacker; ha segnalato che anche la
banca stessa ha preso atto della facilità con cui può essere violato detto strumento, tanto
da introdurre successivamente un ulteriore codice di sicurezza, trasmesso tramite sms; ha
ribadito di aver dotato il proprio computer di un “normale ed aggiornato sistema di
sicurezza (il lavasoft Ad Aware Free)”; ha infine osservato che l’attivazione degli avvisi via
SMS richiamata nelle controdeduzioni era, all’epoca dei fatti, a pagamento.
Pag. 3/6
Decisione N. 4315 del 08 agosto 2013
L’intermediario ha ribadito l’attuale validità del sistema di sicurezza garantito dal token OKey e ha precisato che l’ulteriore livello di sicurezza introdotto è volto a difendersi dagli
attacchi di phising e non di violazione del token.
DIRITTO
La questione centrale che questo Collegio deve affrontare per la soluzione del caso che
ne occupa attiene ai doveri di custodia dei codici di accesso da parte del cliente che utilizzi
il servizio di home banking da un lato e del grado di diligenza che si può richiedere
all’intermediario in relazione all’erogazione di detto servizio dall’altro lato.
Tuttavia, prima di passare all’esame del merito della questione, è bene ricordare in fatto
alcuni aspetti essenziali ai fini della decisione.
L’operazione contestata dalla ricorrente, effettuate il 17/04/12, è successiva all’entrata in
vigore del D. Lgs. 27 gennaio 2010, n.11 (Attuazione della direttiva 2007/64/CE, relativa ai
servizi di pagamento nel mercato interno) e del relativo Provvedimento attuativo della
Banca d’Italia del 5.7.2011.
Il liquidatore della società ricorrente ha presentato denuncia alla P.G. l’08/05/12.
Secondo quanto riferito dall’intermediario il sistema di home banking adottato è “a due
fattori”, necessitando, per l’accesso al sistema e l’esecuzione delle operazioni, di user-id,
password e della one-time password.
Dalle evidenze informatiche prodotte dalla resistente, la disposizione disconosciuta
sarebbe stata impartita alle ore 10:24 dal medesimo indirizzo IP dal quale risulta effettuato
il bonifico delle ore 10:36 della medesima giornata, non disconosciuta dal ricorrente.
Il contratto “servizi via internet, cellulare e telefono” è stato sottoscritto il 25/10/11.
Le spese di assistenza legale non sono state documentate.
Ebbene, così ricostruiti gli aspetti salienti della vicenda, non può che ricordarsi – come già
si è avuto occasione di rilevare in altre occasioni – che è opinione assolutamente
condivisa che sul cliente gravi l’onere di custodire con la massima diligenza i vari codici in
suo possesso necessari per compiere operazioni bancarie di vario genere, siano esse
prelievi per mezzo del servizio Bancomat, disposizioni di operazioni per mezzo di servizi
on-line o pagamenti via Internet.
Il punto è essenziale per una corretta interpretazione del rapporto contrattuale, posto che,
in linea generale, appare corretto affermare che al cliente sono opponibili le operazioni
effettuate con la digitazione dei codici in suo possesso (indipendentemente da chi
effettivamente le abbia disposte), proprio perché nell’utilizzo del servizio di home banking il
cliente viene identificato esclusivamente mediante la verifica dei codici di sicurezza che gli
sono stati assegnati.
Tuttavia, all’epoca dei fatti all’origine del presente procedimento era già in vigore la
normativa (di recepimento della c.d. Direttiva PSD) di cui al D. Lgs. 27 gennaio 2010, n.
11, secondo la quale “salvo il caso in cui l’utilizzatore abbia agito con dolo o colpa grave
ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi
personalizzati che consentono l’utilizzo dello strumento di pagamento, prima della
comunicazione eseguita ai sensi dell’articolo 7, comma 1, lettera b), l’utilizzatore
medesimo può sopportare per un importo comunque non superiore complessivamente a
150 euro la perdita derivante dall’utilizzo indebito dello strumento di pagamento
conseguente al suo furto o smarrimento” (art. 12, comma 3°); nel contempo, “qualora
abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all’art.
7 con dolo o colpa grave, l’utilizzatore sopporta tutte le perdite derivanti da operazioni di
pagamento non autorizzate e non si applica il limite di 150 euro di cui al comma
precedente” (art. 12, comma 4°).
Pag. 4/6
Decisione N. 4315 del 08 agosto 2013
Ciò chiarito, è ora necessario verificare quale sia la corretta soluzione della controversia
alla luce delle norme sopra riportate, considerato che tali regole sono vigenti dal 1° marzo
2010 e che le norme del citato decreto sostituiscono di diritto le condizioni contrattuali
concernenti le fattispecie ivi disciplinate.
Ora, come è noto, la diligenza professionalmente qualificata cui fa riferimento il secondo
comma dell’art. 1176 cod. civ., deve essere parametrata alle specificità tecnico-scientifiche
della professione esercitata, trattandosi di nozione superiore e più specifica di quella
relativa al buon padre di famiglia, richiamata dal primo comma dello stesso articolo.
L’adempimento dell’obbligazione, quindi, deve avvenire con la diligenza “del regolato ed
accorto professionista” (banchiere, nel caso che ne occupa), pena il risarcimento dei danni
secondo i normali canoni della responsabilità contrattuale.
Per gli aspetti che qui interessano, tale parametro rileva in relazione alla specificità del
servizio bancario oggetto di contestazione (home banking) che implica l’utilizzazione del
canale telematico e l’uso di codici dispositivi.
In particolare, la valutazione coinvolge l’adeguatezza - considerati gli standard esistenti dei presidi tecnici adottati dall’intermediario per rendere sicure le transazioni on-line da
attacchi di pirateria informatica.
Sui presidi di sicurezza più idonei a fronteggiare il fenomeno della pirateria informatica non
c’è attualmente una specifica normativa vincolante, anche se esistono diversi documenti,
sia a livello nazionale che internazionale, trattano della sicurezza dell’e-banking e, in
particolare, della diversa efficacia dei vari meccanismi di autenticazione.
L’utente viene, infatti, autenticato attraverso la presentazione di credenziali. Generalmente
si intende per “credenziale” uno o più dei seguenti elementi: qualcosa che l’utente “sa” (es.
la password); qualcosa che l’utente “ha” (es. il token, che può contenere un certificato
digitale); qualcosa che l’utente “è” (in questo caso si parla di caratteristiche biometriche,
es. le impronte digitali).
Quando l’autenticazione dell’utente utilizza congiuntamente due di questi sistemi, si parla
di autenticazione “a due fattori”. Alcune modalità tecniche consentono già oggi, in
associazione all’utilizzo di user-id e password, di effettuare una autenticazione a due
fattori: si tratta soprattutto di “Segreti condivisi” e “Token”.
Nel caso in esame deve ritenersi che l’intermediario resistente abbia adempiuto con la
dovuta diligenza ai propri obblighi. Questo ha, infatti, messo a disposizione del cliente un
sistema per il compimento di operazioni on line, che è basato sull’utilizzo contemporaneo
di più fattori, ossia quel tipo di sistema che sia questo Collegio sia il Collegio di
coordinamento non ha mancato di considerare come (attualmente) il più sicuro e tale da
assicurare la migliore tutela degli utilizzatori in base all’attuale stato della tecnica, anche
se – giova ricordarlo – non esistono strumenti totalmente “sicuri” [cfr., sul punto, la
“Premessa” all’allegato tecnico (“Tipologie di strumenti di più elevata qualità sotto il profilo
della sicurezza”) al Provvedimento Banca d’Italia dell’11.2.2011 “Diritti e Obblighi delle
parti” (di attuazione del titolo II del D.lgs. n. 11/2010 relativo ai servizi di pagamento), ove
si legge che “gli strumenti qualificati come “a maggior sicurezza” non vanno intesi come
mezzi intrinsecamente sicuri, cioè privi di rischio, ma come strumenti che presentano un
livello di rischio connesso con frodi o disconoscimenti inferiore rispetto agli altri strumenti
di pagamento alla luce dell’evoluzione tecnologica”].
Ebbene, è chiaro che l’adozione, da parte dell’intermediario, dei più efficaci strumenti di
protezione presenti sul mercato, se da un lato non può considerarsi tout court condotta
sufficiente ad escludere in ogni caso la sua responsabilità, dall’altro lato non può non
influire in modo determinante sulla posizione “processuale” del ricorrente. Infatti, qualora –
come nel caso che ne occupa – l’intermediario abbia fornito al cliente dispositivi di
autenticazione a doppio fattore, in modo tale da elevare al massimo livello attualmente
Pag. 5/6
Decisione N. 4315 del 08 agosto 2013
possibile il grado di protezione del cliente e, nel contempo, rendere sicuramente molto più
complicato un eventuale uso fraudolento dello strumento di pagamento da parte di un
terzo, sul ricorrente grava l’onere di fornire allegazioni che rendano altamente verosimile il
carattere fraudolento dell’operazione disconosciuta pur in presenza di un sistema di
protezione a due fattori.
Ora, nel caso di specie ciò non è affatto avvenuto, dovendosi, al contrario, trarre
argomenti di prova di senso contrario, posto che l’operazione disconosciuta ed altra
operazione regolarmente compiuta dalla ricorrente sono state poste in essere non solo a
breve distanza di tempo, ma con un medesimo indirizzo IP, elemento che induce a
concludere che entrambe le operazioni provenissero dallo stesso terminale.
PER QUESTI MOTIVI
Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
Pag. 6/6