Decisione N. 3574 del 05 maggio 2015
Transcript
Decisione N. 3574 del 05 maggio 2015
Decisione N. 3574 del 05 maggio 2015 COLLEGIO DI MILANO composto dai signori: (MI) LAPERTOSA Presidente (MI) LUCCHINI GUASTALLA Membro designato dalla Banca d'Italia (MI) ORLANDI Membro designato dalla Banca d'Italia (MI) RONDINONE Membro designato da Associazione rappresentativa degli intermediari (MI) TINA Membro designato da rappresentativa dei clienti Associazione Relatore (MI) RONDINONE Nella seduta del 17/03/2015 dopo aver esaminato: - il ricorso e la documentazione allegata - le controdeduzioni dell’intermediario e la relativa documentazione - la relazione della Segreteria tecnica FATTO La ricorrente, dopo avere sporto reclamo in data 29.10.2013, riscontrato negativamente il 27.11.2013, ha presentato ricorso all’ABF, protocollato il 29.5.2014, rappresentando quanto segue: ¾ in data 25.8.2013 aveva ricevuto sul proprio indirizzo di posta elettronica un’e-mail con cui l’intermediario convenuto l’aveva informata che il suo servizio di home banking era stato bloccato e che per accedere allo stesso era necessario cliccare su un link riportato nella e-mail stessa; ¾ dovendo nella circostanza effettuare un’operazione di pagamento, aveva cliccato sul link in questione inserendo le credenziali per l’accesso; ¾ contestualmente, sulla sua utenza telefonica era giunto un sms (avente come intestazione il nominativo della banca resistente) con un codice da inserire per proseguire la procedura on line; ¾ inserito tale codice, la procedura aveva risposto con un messaggio di errore. Era quindi pervenuto un secondo sms con un secondo codice da inserire; Pag. 2/5 Decisione N. 3574 del 05 maggio 2015 ¾ dopo aver inserito anche il secondo codice, aveva ricevuto un terzo sms con l’avviso che era stata eseguita, a valere sul suo conto, un’operazione di ricarica di una carta prepagata intestata ad un terzo; ¾ non avendo disposto tale operazione, aveva compreso di essere stata vittima di un raggiro nella particolare forma del phishing; ma, essendo il raggiro avvenuto di domenica, il servizio clienti dell’home banking non era attivo, sicché solo il lunedì mattina si era potuta recare in banca per far bloccare l’operazione, risultando anzi ciò impraticabile, “perché tutti i terminali erano bloccati causa guasto al server”. “Per due giorni i sistemi informatici furono fuori servizio per manutenzione (sia bancomat che sito istituzionale dell’intermediario)”. Nel commentare la vicenda in fatto, il consumatore ha inteso sottolineare che la pagina aperta cliccando sul link contenuto nella mail non presentava elementi diversi dal sito istituzionale dell’intermediario e pertanto non sussistevano elementi per immaginare che vi fosse stata una falsificazione del sito internet. Anche gli sms ricevuti risultavano provenire dal numero telefonico del centro servizi dell’intermediario: per questo motivo aveva ritenuto si trattasse di codici sicuri e li aveva inseriti nella procedura on line. D’altronde, prima del raggiro l’intermediario non aveva effettuato una pubblicità massiccia sul fenomeno del phishing. La ricorrente ha chiesto pertanto al Collegio di riconoscerle il rimborso della somma sottrattale a seguito dell’operazione fraudolenta, pari a € 2.199,00. L’intermediario resistente ha presentato le proprie controdeduzioni tramite il Conciliatore Bancario Finanziario il 17.7.2014, esponendo che: ¾ dall’esame dei fatti, come riportati dalla stessa ricorrente, emerge che la stessa è rimasta vittima di una truffa telematica, usualmente denominata “phishing”; ¾ in primo luogo, l’intermediario ha posto in essere una esaustiva pubblicità informatica sul proprio sito internet, diretta in particolare alla clientela “home banking”, ma accessibile anche da parte di non clienti, da cui è possibile attingere informazioni sulla sicurezza dei servizi internet, sulla protezione del computer e su come difendersi dalle truffe on line. In particolare, tale sezione del sito, dedicata alla sicurezza delle transazioni informatiche, invita ad adottare precise precauzioni in caso di ricezione di mail sospette e illustra diffusamente il fenomeno del “phishing”, indicando consigli utili per riconoscerlo e proteggersi; ¾ in secondo luogo, l’intermediario ha provveduto ad applicare accorgimenti di sicurezza a protezione dell’infrastruttura tecnologica (della quale non si è riscontrata alcuna violazione), volti anch’essi a minimizzare il verificarsi di comportamenti fraudolenti a danno dei clienti della banca o della banca stessa. Tra l’altro, sul proprio sito internet, è riportato il numero verde che consente di contattare il servizio di assistenza operativo 24 ore su 24, allestito per rispondere a qualsiasi quesito/segnalazione dei clienti; ¾ in terzo luogo, per garantire un elevato e adeguato livello di sicurezza del servizio di “home banking”, è prevista la consegna al cliente, al momento della sottoscrizione del contratto, di un dispositivo elettronico denominato O-Key ed associato univocamente ad un codice di accesso anch’esso consegnato al cliente. Tale dispositivo elettronico presenta un display e un tasto fisico. Ad ogni pressione del tasto, viene generato e visualizzato sullo schermo un codice numerico di 6 cifre (password dinamica). Il codice generato dal dispositivo utilizza un algoritmo standard di sicurezza con chiave conosciuta solo dal gruppo dell’intermediario convenuto, presenta una durata limitata ad alcuni secondi, non può essere utilizzato più volte in quanto è annullato immediatamente dopo l’utilizzo sul sito e Pag. 3/5 Decisione N. 3574 del 05 maggio 2015 può essere riconosciuto e validato solo dal server della banca che conosce l’algoritmo con cui viene creato; ¾ in conclusione, l’intermediario sottolinea come tutti gli accorgimenti di sicurezza sopra illustrati siano stati vanificati dalla condotta della ricorrente che si è collegata al link contenuto nella e-mail ricevuta e ha inserito, nel format successivamente apparso, i propri codici di accesso al sistema telematico, così comunicandoli indebitamente al truffatore e consentendogli di realizzare l’operazione di pagamento poi contestata. Tra l’altro, anche quando l’intermediario ha inviato alla ricorrente l’sms per chiedere se fosse effettivamente sua intenzione compiere una ricarica sulla carta di credito prepagata n. XXX intestata ad un terzo e le ha fornito un ulteriore codice da inserire per completare l’operazione, la cliente non ha avuto dubbi, manifestando la sua volontà affermativa e consentendo così il completamento della truffa. Alla luce di quanto sopra, l’intermediario ha sostenuto che la condotta tenuta dalla ricorrente integri gli estremi della colpa grave ex art. 12 d.lgs. 11/2010, per l’effetto che il danno patrimoniale da essa subito sia da ascrivere alla sua esclusiva responsabilità; pertanto, ha chiesto al Collegio di rigettare il ricorso poiché infondato. Le controdeduzioni sono state trasmesse via mail alla ricorrente. DIRITTO Il Collegio, rilevato che l’operazione contestata è successiva al 1.3.2010, data di entrata in vigore del d. lgs. n. 11/2010 di recepimento della PSD (Direttiva 2007/64/CE) e che quindi per la decisione del ricorso in esame occorre fare riferimento a tale normativa – e in specie all’art. 12, commi 3 e 4, per cui le perdite derivanti dall’utilizzo fraudolento di strumenti elettronici di pagamento prima della comunicazione di allerta sono sopportate interamente dal cliente nel caso siano provati il dolo o la colpa grave del medesimo – ritiene che consti agli atti la prova di un comportamento gravemente colpevole della ricorrente che ha consentito a ignoti l’effettuazione dell’operazione fraudolenta. È pacifico che questa è stata posta in essere utilizzando le credenziali necessarie senza alcun errore, ossia che l’autore fosse a conoscenza di tutti i codici necessari per la sua effettuazione. L’intermediario aveva predisposto un sistema autorizzativo delle operazioni eseguite on line “a due fattori”, in quanto contemplante tanto l’inserimento di password fisse (codice titolare e codice PIN), tanto l’inserimento di plurime password temporanee generate da un token, con ciò assolvendo in via presuntiva all’onere di provare l’adempimento degli obblighi su di essa gravanti ai sensi dell’art. 8 del D.lgs., n. 11/2010 (v., fra le altre, Coll. Coord., n. 3498/2012; Coll. Milano, n. 25/13; n. 83/2013; n. 2865/2013). Nondimeno, la stessa ricorrente ammette di avere fornito tali dati in quanto a ciò indotta da una mail apparentemente proveniente dall’intermediario convenuto. Il consumatore ha insomma risposto a una comunicazione poco credibile concretante un tipico caso di phishing, nonostante la notorietà e la pericolosità di tale fenomeno, che dovrebbe indurre i consociati ad assumere condotte connotate da quel grado minimo di prudenza che consente di scongiurare il rischio di frodi grossolane. In effetti, il “phishing” operato tramite semplice e-mail deve ritenersi fenomeno normalmente inidoneo a trarre in inganno qualunque utente dotato di media avvedutezza e prudenza. Non essendovi stata una captatio posta in essere con modalità particolarmente sofisticate, secondo il consolidato orientamento in materia dell’ABF (v., da ultimo, Coll. Milano, n. 467/2014 e n. 3124/2013; Coll. Roma, n. 1699/2013 e n. 1820/2013), in definitiva si conferma che alla cliente è imputabile una violazione gravemente colpevole degli obblighi Pag. 4/5 Decisione N. 3574 del 05 maggio 2015 di custodia dei dati identificativi e dispositivi del conto on line, sicché la perdita da essa subita non può che rimanere interamente a suo carico. PER QUESTI MOTIVI Il Collegio non accoglie il ricorso. IL PRESIDENTE firma 1 Pag. 5/5