Decisione N. 3574 del 05 maggio 2015

Decisione N. 3574 del 05 maggio 2015
COLLEGIO DI MILANO
composto dai signori:
(MI) LAPERTOSA
Presidente
(MI) LUCCHINI GUASTALLA
Membro designato dalla Banca d'Italia
(MI) ORLANDI
Membro designato dalla Banca d'Italia
(MI) RONDINONE
Membro designato da Associazione
rappresentativa degli intermediari
(MI) TINA
Membro designato da
rappresentativa dei clienti
Associazione
Relatore (MI) RONDINONE
Nella seduta del 17/03/2015 dopo aver esaminato:
- il ricorso e la documentazione allegata
- le controdeduzioni dell’intermediario e la relativa documentazione
- la relazione della Segreteria tecnica
FATTO
La ricorrente, dopo avere sporto reclamo in data 29.10.2013, riscontrato negativamente il
27.11.2013, ha presentato ricorso all’ABF, protocollato il 29.5.2014, rappresentando
quanto segue:
¾ in data 25.8.2013 aveva ricevuto sul proprio indirizzo di posta elettronica un’e-mail
con cui l’intermediario convenuto l’aveva informata che il suo servizio di home
banking era stato bloccato e che per accedere allo stesso era necessario cliccare
su un link riportato nella e-mail stessa;
¾ dovendo nella circostanza effettuare un’operazione di pagamento, aveva cliccato
sul link in questione inserendo le credenziali per l’accesso;
¾ contestualmente, sulla sua utenza telefonica era giunto un sms (avente come
intestazione il nominativo della banca resistente) con un codice da inserire per
proseguire la procedura on line;
¾ inserito tale codice, la procedura aveva risposto con un messaggio di errore. Era
quindi pervenuto un secondo sms con un secondo codice da inserire;
Pag. 2/5
Decisione N. 3574 del 05 maggio 2015
¾ dopo aver inserito anche il secondo codice, aveva ricevuto un terzo sms con
l’avviso che era stata eseguita, a valere sul suo conto, un’operazione di ricarica di
una carta prepagata intestata ad un terzo;
¾ non avendo disposto tale operazione, aveva compreso di essere stata vittima di un
raggiro nella particolare forma del phishing; ma, essendo il raggiro avvenuto di
domenica, il servizio clienti dell’home banking non era attivo, sicché solo il lunedì
mattina si era potuta recare in banca per far bloccare l’operazione, risultando anzi
ciò impraticabile, “perché tutti i terminali erano bloccati causa guasto al server”.
“Per due giorni i sistemi informatici furono fuori servizio per manutenzione (sia
bancomat che sito istituzionale dell’intermediario)”.
Nel commentare la vicenda in fatto, il consumatore ha inteso sottolineare che la pagina
aperta cliccando sul link contenuto nella mail non presentava elementi diversi dal sito
istituzionale dell’intermediario e pertanto non sussistevano elementi per immaginare che vi
fosse stata una falsificazione del sito internet. Anche gli sms ricevuti risultavano provenire
dal numero telefonico del centro servizi dell’intermediario: per questo motivo aveva
ritenuto si trattasse di codici sicuri e li aveva inseriti nella procedura on line. D’altronde,
prima del raggiro l’intermediario non aveva effettuato una pubblicità massiccia sul
fenomeno del phishing.
La ricorrente ha chiesto pertanto al Collegio di riconoscerle il rimborso della somma
sottrattale a seguito dell’operazione fraudolenta, pari a € 2.199,00.
L’intermediario resistente ha presentato le proprie controdeduzioni tramite il Conciliatore
Bancario Finanziario il 17.7.2014, esponendo che:
¾ dall’esame dei fatti, come riportati dalla stessa ricorrente, emerge che la stessa è
rimasta vittima di una truffa telematica, usualmente denominata “phishing”;
¾ in primo luogo, l’intermediario ha posto in essere una esaustiva pubblicità
informatica sul proprio sito internet, diretta in particolare alla clientela “home
banking”, ma accessibile anche da parte di non clienti, da cui è possibile attingere
informazioni sulla sicurezza dei servizi internet, sulla protezione del computer e su
come difendersi dalle truffe on line. In particolare, tale sezione del sito, dedicata alla
sicurezza delle transazioni informatiche, invita ad adottare precise precauzioni in
caso di ricezione di mail sospette e illustra diffusamente il fenomeno del “phishing”,
indicando consigli utili per riconoscerlo e proteggersi;
¾ in secondo luogo, l’intermediario ha provveduto ad applicare accorgimenti di
sicurezza a protezione dell’infrastruttura tecnologica (della quale non si è
riscontrata alcuna violazione), volti anch’essi a minimizzare il verificarsi di
comportamenti fraudolenti a danno dei clienti della banca o della banca stessa. Tra
l’altro, sul proprio sito internet, è riportato il numero verde che consente di
contattare il servizio di assistenza operativo 24 ore su 24, allestito per rispondere a
qualsiasi quesito/segnalazione dei clienti;
¾ in terzo luogo, per garantire un elevato e adeguato livello di sicurezza del servizio di
“home banking”, è prevista la consegna al cliente, al momento della sottoscrizione
del contratto, di un dispositivo elettronico denominato O-Key ed associato
univocamente ad un codice di accesso anch’esso consegnato al cliente. Tale
dispositivo elettronico presenta un display e un tasto fisico. Ad ogni pressione del
tasto, viene generato e visualizzato sullo schermo un codice numerico di 6 cifre
(password dinamica). Il codice generato dal dispositivo utilizza un algoritmo
standard di sicurezza con chiave conosciuta solo dal gruppo dell’intermediario
convenuto, presenta una durata limitata ad alcuni secondi, non può essere
utilizzato più volte in quanto è annullato immediatamente dopo l’utilizzo sul sito e
Pag. 3/5
Decisione N. 3574 del 05 maggio 2015
può essere riconosciuto e validato solo dal server della banca che conosce
l’algoritmo con cui viene creato;
¾ in conclusione, l’intermediario sottolinea come tutti gli accorgimenti di sicurezza
sopra illustrati siano stati vanificati dalla condotta della ricorrente che si è collegata
al link contenuto nella e-mail ricevuta e ha inserito, nel format successivamente
apparso, i propri codici di accesso al sistema telematico, così comunicandoli
indebitamente al truffatore e consentendogli di realizzare l’operazione di pagamento
poi contestata. Tra l’altro, anche quando l’intermediario ha inviato alla ricorrente
l’sms per chiedere se fosse effettivamente sua intenzione compiere una ricarica
sulla carta di credito prepagata n. XXX intestata ad un terzo e le ha fornito un
ulteriore codice da inserire per completare l’operazione, la cliente non ha avuto
dubbi, manifestando la sua volontà affermativa e consentendo così il
completamento della truffa.
Alla luce di quanto sopra, l’intermediario ha sostenuto che la condotta tenuta dalla
ricorrente integri gli estremi della colpa grave ex art. 12 d.lgs. 11/2010, per l’effetto che il
danno patrimoniale da essa subito sia da ascrivere alla sua esclusiva responsabilità;
pertanto, ha chiesto al Collegio di rigettare il ricorso poiché infondato.
Le controdeduzioni sono state trasmesse via mail alla ricorrente.
DIRITTO
Il Collegio, rilevato che l’operazione contestata è successiva al 1.3.2010, data di entrata in
vigore del d. lgs. n. 11/2010 di recepimento della PSD (Direttiva 2007/64/CE) e che quindi
per la decisione del ricorso in esame occorre fare riferimento a tale normativa – e in specie
all’art. 12, commi 3 e 4, per cui le perdite derivanti dall’utilizzo fraudolento di strumenti
elettronici di pagamento prima della comunicazione di allerta sono sopportate interamente
dal cliente nel caso siano provati il dolo o la colpa grave del medesimo – ritiene che consti
agli atti la prova di un comportamento gravemente colpevole della ricorrente che ha
consentito a ignoti l’effettuazione dell’operazione fraudolenta.
È pacifico che questa è stata posta in essere utilizzando le credenziali necessarie senza
alcun errore, ossia che l’autore fosse a conoscenza di tutti i codici necessari per la sua
effettuazione. L’intermediario aveva predisposto un sistema autorizzativo delle operazioni
eseguite on line “a due fattori”, in quanto contemplante tanto l’inserimento di password
fisse (codice titolare e codice PIN), tanto l’inserimento di plurime password temporanee
generate da un token, con ciò assolvendo in via presuntiva all’onere di provare
l’adempimento degli obblighi su di essa gravanti ai sensi dell’art. 8 del D.lgs., n. 11/2010
(v., fra le altre, Coll. Coord., n. 3498/2012; Coll. Milano, n. 25/13; n. 83/2013; n.
2865/2013). Nondimeno, la stessa ricorrente ammette di avere fornito tali dati in quanto a
ciò indotta da una mail apparentemente proveniente dall’intermediario convenuto.
Il consumatore ha insomma risposto a una comunicazione poco credibile concretante un
tipico caso di phishing, nonostante la notorietà e la pericolosità di tale fenomeno, che
dovrebbe indurre i consociati ad assumere condotte connotate da quel grado minimo di
prudenza che consente di scongiurare il rischio di frodi grossolane. In effetti, il “phishing”
operato tramite semplice e-mail deve ritenersi fenomeno normalmente inidoneo a trarre in
inganno qualunque utente dotato di media avvedutezza e prudenza.
Non essendovi stata una captatio posta in essere con modalità particolarmente sofisticate,
secondo il consolidato orientamento in materia dell’ABF (v., da ultimo, Coll. Milano, n.
467/2014 e n. 3124/2013; Coll. Roma, n. 1699/2013 e n. 1820/2013), in definitiva si
conferma che alla cliente è imputabile una violazione gravemente colpevole degli obblighi
Pag. 4/5
Decisione N. 3574 del 05 maggio 2015
di custodia dei dati identificativi e dispositivi del conto on line, sicché la perdita da essa
subita non può che rimanere interamente a suo carico.
PER QUESTI MOTIVI
Il Collegio non accoglie il ricorso.
IL PRESIDENTE
firma 1
Pag. 5/5