Prof. Avv. Ferruccio Aulett - Arbitro Bancario Finanziario
Transcript
Prof. Avv. Ferruccio Aulett - Arbitro Bancario Finanziario
Decisione N. 985 del 11 maggio 2011 IL COLLEGIO DI NAPOLI composto dai signori: - Prof. Avv. Enrico Quadri………………Presidente - Prof. Avv. Ferruccio Auletta………….. membro designato dalla Banca d’Italia - Dott. Comm. Domenico Posca……….membro designato dalla Banca d’Italia - Prof.ssa Marilena Rispoli Farina……. membro designato dal Conciliatore Bancario Finanziario (estensore) - Avv. Roberto Manzione……………… membro designato dal C.N.C.U. Nella seduta del 22 marzo 2011,dopo aver esaminato: x x x il ricorso e la documentazione allegata; le controdeduzioni dell’intermediario e la relativa documentazione; la relazione istruttoria della Segreteria tecnica FATTO Il cliente con reclamo del 30.1.2010 ha disconosciuto due operazioni on line (1), eseguite in data 5.1.2010 sul proprio c/c, per un importo complessivo di € 1000 oltre commissioni (€ 2). In relazione alle circostanze di tali operazioni, ha ammesso di essere stato vittima di phishing: in particolare, ha precisato di aver ricevuto il precedente 4 gennaio una mail, riproducente il logo dell’intermediario, contenente un avviso di limitazioni all’operatività del conto, e di aver risposto digitando i propri dati identificativi al fine di rimuovere detti impedimenti. Ha inoltre dichiarato di essere stato contattato telefonicamente da un operatore del resistente “per verificare le due operazioni” nel giorno stesso della loro esecuzione e di avere provveduto già in quella sede a disconoscere le stesse e a bloccare l’accesso al c/c. Ha precisato infine di aver denunciato la frode il 7.1.2010 e di aver inviato via fax copia della stessa all’intermediario. In relazione a tanto, ha invitato il convenuto a non procedere alla contabilizzazione delle operazioni. In sede di successivo ricorso, il cliente ha chiesto “l’integrale restituzione degli importi sottratti a sua insaputa, nonché le spese di commissioni ed interessi”. In particolare, ha lamentato la mancata pubblicità da parte dell’intermediario dei fenomeni di pirateria informatica oltre alla “vulnerabilità dei servizi di sicurezza informatica” dallo stesso approntati e “un’inadeguatezza dei dispositivi previsti contro il rischio di intrusione di terzi”, (1) Due addebiti per “carte prepagate” emesse dallo stesso intermediario (per € 500 cad.). Pag. 2/6 Decisione N. 985 del 11 maggio 2011 non essendo utilizzati sistemi “più sicuri come le serie numeriche causali e random generati da dispositivi automatici quali chiavette digipass ecc.” L’intermediario ha osservato anzitutto che la somma sottratta attraverso le operazioni di ricarica on-line disposte a favore delle carte prepagate è stata prelevata immediatamente e non è pertanto più nella sua disponibilità: la domanda restitutoria, ha pertanto obiettato, dovrebbe essere avanzata nei confronti del percettore. Ha sostenuto poi che all’ordine dispositivo è stata data, correttamente, esecuzione, in quanto impartito tramite l’uso dei codici identificativi propri del ricorrente e quindi in conformità a quanto previsto dalle condizioni contrattuali. Tali disposizioni prevedono che il cliente “è tenuto a identificarsi e legittimarsi mediante l’uso dell’identificativo utente, della parola chiave e del codice dispositivo segreto (PIN)”. Ha descritto poi puntualmente le caratteristiche di sicurezza e le modalità di fruizione del servizio di banking on-line offerto all’utenza. In tale quadro ha precisato, quanto al codice dispositivo segreto, che “è composto da 10 caratteri alfanumerici, viene generato dal sistema informatico con procedura protetta e segreta [...] al termine di ogni operazione dispositiva viene richiesto] l’inserimento [in modo randomico] di 4 dei 10 caratteri che compongono il codice dispositivo”. Ancora, con riferimento ai presidi tecnici finalizzati a garantire la sicurezza delle operazioni da effettuare on-line, ha richiamato poi le certificazioni rilasciate “secondo i più rigorosi ed affidabili standard internazionali”, che ha elencato in modo dettagliato. Ha fatto quindi presente di aver “assolto agli obblighi contrattuali e di legge con la diligenza qualificata, eseguendo gli ordini regolarmente impartiti come da condizioni contrattuali, assicurando idoneamente la sicurezza [dei propri sistemi informatici] e tenendo una condotta improntata alla massima correttezza”. Ha obiettato poi che il ricorrente, non solo non ha minimamente fornito la prova di un inadempimento “di cui era onerato a norma dell’art. 2607 c.c.”, ma non ha neanche “dimostrato di aver osservato l’obbligo di mantenere riservati i codici personali relativi all’operatività on-line sul suo conto, anzi ha ammesso di aver fornito le proprie credenziali di accesso al conto comprensive dei codici dispositivi”. In relazione a tale ultima circostanza, si è soffermato sulle molteplici campagne “di informazione e sensibilizzazione della clientela” realizzate a far tempo dal 2005, volte a stimolare nei propri clienti l’attenzione necessaria a evitare la diffusione a terzi di propri dati. Ha richiamato in particolare il contenuto di talune comunicazioni indirizzate alla clientela, nelle quali, oltre a evidenziare l’esistenza del fenomeno del phishing, ha altresì reso noto che in nessun caso l’intermediario “chiede o avrebbe chiesto via e-mail ai propri correntisti le credenziali personali”. Ha concluso affermando l’infondatezza del ricorso, del quale ha chiesto di conseguenza il rigetto. DIRITTO Il caso in esame concerne l’utilizzo fraudolento di uno strumento di pagamento, ipotesi che si pone con notevole frequenza all’attenzione di questo Collegio. Nei fatti, il cliente con reclamo del 30.1.2010 ha disconosciuto due operazioni on line , eseguite in data 5.1.2010 sul proprio c/c, per un importo complessivo di € 1000 oltre commissioni (€ 2). Si è trattato di due addebiti di carte prepagate emesse dallo stesso intermediario. La peculiarità del caso è data dalle circostanze di tali operazioni, in quanto il cliente ha ammesso di essere stato vittima di phishing: in particolare, ha precisato di aver ricevuto il precedente 4 gennaio una mail, riproducente il logo dell’intermediario, contenente un avviso di limitazioni all’operatività del conto, e di aver risposto digitando i Pag. 3/6 Decisione N. 985 del 11 maggio 2011 propri dati identificativi al fine di rimuovere detti impedimenti. Ha inoltre dichiarato di essere stato contattato telefonicamente da un operatore del resistente “per verificare le due operazioni” nel giorno stesso della loro esecuzione e di avere provveduto già in quella sede a disconoscere le stesse e a bloccare l’accesso al c/c. Emergono quindi in primo piano due elementi: in primo luogo, il cliente ha per così dire “abboccato “al tentativo di phishing, posto in essere da un ignoto maleintenzionato, che comunque è riuscito a penetrare nel sistema. In secondo luogo, appare evidente come l’intermediario conoscesse i tentativi di cattura in atto. Tanto è che il cliente è stato contattato all’atto del compimento delle due operazioni contestate, così da richiamare l’attenzione sulle operazioni effettuate sul conto. Ha infatti di seguito denunciato la frode e agito nei confronti dell’intermediario. In altre decisioni prese nei confronti dello stesso intermediario sono stati ritenuti insufficienti – sotto il profilo del rispetto del canone di diligenza professionale ex art. 1176, comma 2 c.c. – i presidi di sicurezza informatica all’epoca dei fatti in essere presso l’intermediario e costituiti dall’utilizzo di codici dispositivi di tipo alfanumerico a dieci cifre (si veda ad es. Collegio ABF di Napoli, decisione n. 204/2011). Ciò anche sulla scorta della considerazione, valida anche nel caso di specie, che da marzo 2009, già prima dei fatti per cui è controversia, l’intermediario “aveva rinnovato i sistema di sicurezza per chi utilizzasse i servizi on-line, sostituendo il codice dispositivo a 10 cifre con il Lettore Banco Posta, rendendosi, quindi, conto che il sistema abbandonato non offrisse congrui margini di protezione” (si veda Collegio ABF di Milano, decisione n. 20/2011). L’intermediario eccepisce che l’operazione è stata posta in essere utilizzando i codici personali del cliente, il che obbliga l’intermediario a eseguire le transazioni, così come da contratto. Che è stato adottato un sistema di sicurezza “su tre livelli”, a suo dire molto efficace , e che in ogni caso l’intermediario non “è più nella disponibilità della somma “ in quanto prelevata dal terzo. Eccepisce ancora che in base alle disposizioni contrattuali inerenti il servizio il cliente deve custodire i codici e accettare gli addebiti relativi ad operazioni disposte mediante l’uso degli stessi.E che lo stesso non ha dato adeguata prova di aver custodito adeguatamente i codici suddetti. Richiamati così i termini della vicenda, questo Collegio ricorda che la questione del disconoscimento di operazioni abusive poste in essere su conti on line, come si è rilevato dianzi, è stata più volte riproposta alla sua attenzione. Giova alla soluzione del caso richiamare la disciplina di recente introdotta dal decreto di recepimento della direttiva sui servizi di pagamento, D.lgs. n. 11 del 2010, per la quale (art.10, comma 2) “quando l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave ad uno o più degli obblighi di cui all’articolo 7”. Ne deriva che, non solo l’uso dello strumento non basta per sostenere, come afferma l’intermediario, che ad utilizzarlo sia stata lo stesso cliente, ma si può anche rilevare che non incombe su quest’ultimo l’onere di provare che la banca sia stata inadempiente agli obblighi di legge (come afferma l’intermediario nelle controdeduzioni) per chiamare in causa l’intermediario, quanto piuttosto che deve essere l’intermediario a provare che il ricorrente sia incorso in dolo o colpa grave rispetto agli obblighi di diligenza che le norme impongono, al fine di liberarsi dalla responsabilità sancita dal decreto legislativo n.11 per le operazioni non autorizzate. Di fronte al disconoscimento da parte del cliente, infatti, “Il prestatore dei servizi di pagamento” come recita il comma 2 dell’art.11, “rimborsa immediatamente al pagatore l’importo dell’operazione medesima”. Pag. 4/6 Decisione N. 985 del 11 maggio 2011 La Direttiva, va ancora sottolineato, fa suoi principi consolidati nella best practice a livello non solo europeo. Anche se all’epoca dei fatti la Direttiva non era stata ancora recepita nel nostro ordinamento, si può ricordare come, il Collegio ABF di Napoli, ad es. nelle decisioni nn. 482/10 e 1534/10 abbia attribuito al D.lgs. n. 11, di recepimento della direttiva comunitaria sui servizi di pagamento, un indubbio valore interpretativo ai fini applicativi dei principi codicistici in materia di esecuzione di incarichi per conto del correntista, ciò "anche con riguardo a fattispecie non rientranti nella sua sfera temporale di operatività”. In casi analoghi il Collegio ABF di Napoli (v. dec. n. 204/2011) ha anche messo in luce che “se le operazioni sono state poste in essere da soggetto diverso dal cliente che … dichiara di non aver fornito ad alcuno i dati necessari per l’accesso, è possibile ipotizzare che il sistema di sicurezza predisposto fosse inidoneo a tutelare l’esclusivo accesso del cliente alla utilizzazione del servizio”. Il Collegio ha ritenuto, di conseguenza, che “l’intermediario non abbia adottato la diligenza necessaria nell’esecuzione del rapporto di conto corrente on line, che per le sue peculiarità richiede l’adozione di presidi di sicurezza che garantiscano un’effettiva protezione del cliente”, richiamando la Sentenza della Cassazione, Sezione I, 24 settembre 2010, la quale ha ribadito che la diligenza del buon banchiere “va qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale richiede e che essa va valutata tenendo conto delle cautele e degli accorgimenti che le circostanze del caso concreto suggeriscono.” Il comportamento della banca è conforme ai criteri di diligenza professionale quando essa predispone l’organizzazione tecnica idonea allo svolgimento degli incarichi di pagamento in via informatica così da garantire al cliente la sicurezza dei trasferimenti. Tale organizzazione deve caratterizzarsi, in particolare, per l’adozione di strumenti in linea con l’evoluzione scientifica e tecnologica del settore. La legislazione più recente è molto attenta alla predisposizione di un’adeguata organizzazione nello svolgimento dei servizi bancari da parte della banca e così anche la disciplina di attuazione dettata dalle Autorità di vigilanza .Si evoca così anche il trend normativo più generale in materia di obblighi di adeguata struttura organizzativa dell’impresa nei confronti dei terzi fruitori dei servizi e di relativa responsabilità per i danni subiti da questi (cd colpa da organizzazione: cfr. decisione del Collegio ABF di Napoli del 29 marzo 2011). Si pensi, per il richiamo agli obblighi, ad esempio , alla disciplina di attuazione della Direttiva Mifid, che in ossequio alla direttiva stessa, pone tra i requisiti per l’autorizzazione all’attività, la predisposizione di una adeguata organizzazione allo svolgimento dei servizi di investimento. Alla luce di tali considerazioni, appaiono inaccoglibili le difese dell’intermediario. In primo luogo il sistema dei codici dispositivi vigenti era inadeguato all’attacco esterno, circostanza di cui l’intermediario era a conoscenza. Inoltre, appare del tutto in conferente l’asserità impossibilità di rimborsare la somma in quanto non più nella disponibilità dell’intermediario. La banca aveva l’obbligo di controllare in via preventiva l’operazione posta in essere dal terzo, evitando il pregiudizio al cliente. Una volta che l’organizzazione preventiva dei sistemi di sicurezza non abbia funzionato – o abbia funzionato solo parzialmente, essendo da ricordare come fossero stati rilevati nelle operazioni contestate elementi di criticità tali da sollecitare contatti immediati con il cliente - e che il danno sia stato provocato, ne deriva inequivocabilmente la responsabilità dell’intermediario. Questi è quindi tenuto a rimborsare al cliente il tantumdem di quanto egli è stato indebitamente privato in virtù dell’operazione fraudolenta, solo su di lui potendo gravare i rischi connessi alle eventuali azioni di recupero nei confronti di altri fruitori del sistema nell’accesso al quale, sempre su di lui gravano evidenti responsabilità di controllo. Pag. 5/6 Decisione N. 985 del 11 maggio 2011 Nel caso in esame, tuttavia, non è da sottacere che il cliente ha ammesso di aver consegnato i suoi codici al terzo malintenzionato. La banca, in relazione a tale ultima circostanza, si è soffermata sulle molteplici campagne “di informazione e sensibilizzazione della clientela” realizzate a far tempo dal 2005, volte a stimolare nei propri clienti l’attenzione necessaria a evitare la diffusione a terzi di propri dati. Ha richiamato in particolare il contenuto di talune comunicazioni indirizzate alla clientela, nelle quali, oltre a evidenziare l’esistenza del fenomeno del phishing, ha altresì reso noto che in nessun caso l’intermediario “chiede o avrebbe chiesto via e-mail ai propri correntisti le credenziali personali”. Tuttavia non ha precisato quante e quali comunicazioni sono state inviate alla clientela e in particolare al ricorrente, così da richiamare effettivamente la sua attenzione e porlo in allarme nei confronti di un possibile “attacco informatico”.Non ha posto in definitiva in essere quelle cautele necessarie a proteggere il cliente, tali da esonerarla completamente da responsabilità. L’insieme delle circostanze evidenziate induce pertanto questo Collegio, in applicazione del principio dell’art 1227 c.c., a ripartire a metà la responsabilità nella causazione del lamentato evento dannoso (secondo una prospettiva seguita anche, ad esempio, dal Collegio ABF di Milano, n. 911/10), accogliendo solo parzialmente la richiesta del ricorrente. P. Q. M. In parziale accoglimento del ricorso, il Collegio dichiara l’intermediario tenuto al risarcimento del danno nella misura di € 501,00. Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma versata alla presentazione del ricorso. IL PRESIDENTE firma 1 Pag. 6/6