Prof. Avv. Ferruccio Aulett - Arbitro Bancario Finanziario

Decisione N. 985 del 11 maggio 2011
IL COLLEGIO DI NAPOLI
composto dai signori:
- Prof. Avv. Enrico Quadri………………Presidente
- Prof. Avv. Ferruccio Auletta………….. membro designato dalla Banca d’Italia
- Dott. Comm. Domenico Posca……….membro designato dalla Banca d’Italia
- Prof.ssa Marilena Rispoli Farina……. membro designato dal Conciliatore
Bancario Finanziario (estensore)
- Avv. Roberto Manzione……………… membro designato dal C.N.C.U.
Nella seduta del 22 marzo 2011,dopo aver esaminato:
x
x
x
il ricorso e la documentazione allegata;
le controdeduzioni dell’intermediario e la relativa documentazione;
la relazione istruttoria della Segreteria tecnica
FATTO
Il cliente con reclamo del 30.1.2010 ha disconosciuto due operazioni on line (1), eseguite
in data 5.1.2010 sul proprio c/c, per un importo complessivo di € 1000 oltre commissioni
(€ 2). In relazione alle circostanze di tali operazioni, ha ammesso di essere stato vittima di
phishing: in particolare, ha precisato di aver ricevuto il precedente 4 gennaio una mail,
riproducente il logo dell’intermediario, contenente un avviso di limitazioni all’operatività del
conto, e di aver risposto digitando i propri dati identificativi al fine di rimuovere detti
impedimenti. Ha inoltre dichiarato di essere stato contattato telefonicamente da un
operatore del resistente “per verificare le due operazioni” nel giorno stesso della loro
esecuzione e di avere provveduto già in quella sede a disconoscere le stesse e a bloccare
l’accesso al c/c. Ha precisato infine di aver denunciato la frode il 7.1.2010 e di aver inviato
via fax copia della stessa all’intermediario. In relazione a tanto, ha invitato il convenuto a
non procedere alla contabilizzazione delle operazioni.
In sede di successivo ricorso, il cliente ha chiesto “l’integrale restituzione degli importi
sottratti a sua insaputa, nonché le spese di commissioni ed interessi”. In particolare, ha
lamentato la mancata pubblicità da parte dell’intermediario dei fenomeni di pirateria
informatica oltre alla “vulnerabilità dei servizi di sicurezza informatica” dallo stesso
approntati e “un’inadeguatezza dei dispositivi previsti contro il rischio di intrusione di terzi”,
(1) Due addebiti per “carte prepagate” emesse dallo stesso intermediario (per € 500 cad.).
Pag. 2/6
Decisione N. 985 del 11 maggio 2011
non essendo utilizzati sistemi “più sicuri come le serie numeriche causali e random
generati da dispositivi automatici quali chiavette digipass ecc.”
L’intermediario ha osservato anzitutto che la somma sottratta attraverso le operazioni di
ricarica on-line disposte a favore delle carte prepagate è stata prelevata immediatamente
e non è pertanto più nella sua disponibilità: la domanda restitutoria, ha pertanto obiettato,
dovrebbe essere avanzata nei confronti del percettore. Ha sostenuto poi che all’ordine
dispositivo è stata data, correttamente, esecuzione, in quanto impartito tramite l’uso dei
codici identificativi propri del ricorrente e quindi in conformità a quanto previsto dalle
condizioni contrattuali. Tali disposizioni prevedono che il cliente “è tenuto a identificarsi e
legittimarsi mediante l’uso dell’identificativo utente, della parola chiave e del codice
dispositivo segreto (PIN)”.
Ha descritto poi puntualmente le caratteristiche di sicurezza e le modalità di fruizione del
servizio di banking on-line offerto all’utenza. In tale quadro ha precisato, quanto al codice
dispositivo segreto, che “è composto da 10 caratteri alfanumerici, viene generato dal
sistema informatico con procedura protetta e segreta [...] al termine di ogni operazione
dispositiva viene richiesto] l’inserimento [in modo randomico] di 4 dei 10 caratteri che
compongono il codice dispositivo”. Ancora, con riferimento ai presidi tecnici finalizzati a
garantire la sicurezza delle operazioni da effettuare on-line, ha richiamato poi le
certificazioni rilasciate “secondo i più rigorosi ed affidabili standard internazionali”, che ha
elencato in modo dettagliato. Ha fatto quindi presente di aver “assolto agli obblighi
contrattuali e di legge con la diligenza qualificata, eseguendo gli ordini regolarmente
impartiti come da condizioni contrattuali, assicurando idoneamente la sicurezza [dei propri
sistemi informatici] e tenendo una condotta improntata alla massima correttezza”. Ha
obiettato poi che il ricorrente, non solo non ha minimamente fornito la prova di un
inadempimento “di cui era onerato a norma dell’art. 2607 c.c.”, ma non ha neanche
“dimostrato di aver osservato l’obbligo di mantenere riservati i codici personali relativi
all’operatività on-line sul suo conto, anzi ha ammesso di aver fornito le proprie credenziali
di accesso al conto comprensive dei codici dispositivi”. In relazione a tale ultima
circostanza, si è soffermato sulle molteplici campagne “di informazione e sensibilizzazione
della clientela” realizzate a far tempo dal 2005, volte a stimolare nei propri clienti
l’attenzione necessaria a evitare la diffusione a terzi di propri dati. Ha richiamato in
particolare il contenuto di talune comunicazioni indirizzate alla clientela, nelle quali, oltre a
evidenziare l’esistenza del fenomeno del phishing, ha altresì reso noto che in nessun caso
l’intermediario “chiede o avrebbe chiesto via e-mail ai propri correntisti le credenziali
personali”.
Ha concluso affermando l’infondatezza del ricorso, del quale ha chiesto di conseguenza il
rigetto.
DIRITTO
Il caso in esame concerne l’utilizzo fraudolento di uno strumento di pagamento, ipotesi che
si pone con notevole frequenza all’attenzione di questo Collegio.
Nei fatti, il cliente con reclamo del 30.1.2010 ha disconosciuto due operazioni on line ,
eseguite in data 5.1.2010 sul proprio c/c, per un importo complessivo di € 1000 oltre
commissioni (€ 2). Si è trattato di due addebiti di carte prepagate emesse dallo stesso
intermediario. La peculiarità del caso è data dalle circostanze di tali operazioni, in quanto il
cliente ha ammesso di essere stato vittima di phishing: in particolare, ha precisato di aver
ricevuto il precedente 4 gennaio una mail, riproducente il logo dell’intermediario,
contenente un avviso di limitazioni all’operatività del conto, e di aver risposto digitando i
Pag. 3/6
Decisione N. 985 del 11 maggio 2011
propri dati identificativi al fine di rimuovere detti impedimenti. Ha inoltre dichiarato di
essere stato contattato telefonicamente da un operatore del resistente “per verificare le
due operazioni” nel giorno stesso della loro esecuzione e di avere provveduto già in quella
sede a disconoscere le stesse e a bloccare l’accesso al c/c.
Emergono quindi in primo piano due elementi: in primo luogo, il cliente ha per così dire
“abboccato “al tentativo di phishing, posto in essere da un ignoto maleintenzionato, che
comunque è riuscito a penetrare nel sistema. In secondo luogo, appare evidente come
l’intermediario conoscesse i tentativi di cattura in atto. Tanto è che il cliente è stato
contattato all’atto del compimento delle due operazioni contestate, così da richiamare
l’attenzione sulle operazioni effettuate sul conto. Ha infatti di seguito denunciato la frode e
agito nei confronti dell’intermediario.
In altre decisioni prese nei confronti dello stesso intermediario sono stati ritenuti
insufficienti – sotto il profilo del rispetto del canone di diligenza professionale ex art. 1176,
comma 2 c.c. – i presidi di sicurezza informatica all’epoca dei fatti in essere presso
l’intermediario e costituiti dall’utilizzo di codici dispositivi di tipo alfanumerico a dieci cifre
(si veda ad es. Collegio ABF di Napoli, decisione n. 204/2011). Ciò anche sulla scorta
della considerazione, valida anche nel caso di specie, che da marzo 2009, già prima dei
fatti per cui è controversia, l’intermediario “aveva rinnovato i sistema di sicurezza per chi
utilizzasse i servizi on-line, sostituendo il codice dispositivo a 10 cifre con il Lettore Banco
Posta, rendendosi, quindi, conto che il sistema abbandonato non offrisse congrui margini
di protezione” (si veda Collegio ABF di Milano, decisione n. 20/2011).
L’intermediario eccepisce che l’operazione è stata posta in essere utilizzando i codici
personali del cliente, il che obbliga l’intermediario a eseguire le transazioni, così come da
contratto. Che è stato adottato un sistema di sicurezza “su tre livelli”, a suo dire molto
efficace , e che in ogni caso l’intermediario non “è più nella disponibilità della somma “ in
quanto prelevata dal terzo. Eccepisce ancora che in base alle disposizioni contrattuali
inerenti il servizio il cliente deve custodire i codici e accettare gli addebiti relativi ad
operazioni disposte mediante l’uso degli stessi.E che lo stesso non ha dato adeguata
prova di aver custodito adeguatamente i codici suddetti.
Richiamati così i termini della vicenda, questo Collegio ricorda che la questione del
disconoscimento di operazioni abusive poste in essere su conti on line, come si è rilevato
dianzi, è stata più volte riproposta alla sua attenzione. Giova alla soluzione del caso
richiamare la disciplina di recente introdotta dal decreto di recepimento della direttiva sui
servizi di pagamento, D.lgs. n. 11 del 2010, per la quale (art.10, comma 2) “quando
l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento
eseguita, l’utilizzo di uno strumento di pagamento non è di per sé necessariamente
sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo,
né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa
grave ad uno o più degli obblighi di cui all’articolo 7”.
Ne deriva che, non solo l’uso dello strumento non basta per sostenere, come afferma
l’intermediario, che ad utilizzarlo sia stata lo stesso cliente, ma si può anche rilevare che
non incombe su quest’ultimo l’onere di provare che la banca sia stata inadempiente agli
obblighi di legge (come afferma l’intermediario nelle controdeduzioni) per chiamare in
causa l’intermediario, quanto piuttosto che deve essere l’intermediario a provare che il
ricorrente sia incorso in dolo o colpa grave rispetto agli obblighi di diligenza che le norme
impongono, al fine di liberarsi dalla responsabilità sancita dal decreto legislativo n.11 per
le operazioni non autorizzate.
Di fronte al disconoscimento da parte del cliente, infatti, “Il prestatore dei servizi di
pagamento” come recita il comma 2 dell’art.11, “rimborsa immediatamente al pagatore
l’importo dell’operazione medesima”.
Pag. 4/6
Decisione N. 985 del 11 maggio 2011
La Direttiva, va ancora sottolineato, fa suoi principi consolidati nella best practice a livello
non solo europeo.
Anche se all’epoca dei fatti la Direttiva non era stata ancora recepita nel nostro
ordinamento, si può ricordare come, il Collegio ABF di Napoli, ad es. nelle decisioni nn.
482/10 e 1534/10 abbia attribuito al D.lgs. n. 11, di recepimento della direttiva comunitaria
sui servizi di pagamento, un indubbio valore interpretativo ai fini applicativi dei principi
codicistici in materia di esecuzione di incarichi per conto del correntista, ciò "anche con
riguardo a fattispecie non rientranti nella sua sfera temporale di operatività”.
In casi analoghi il Collegio ABF di Napoli (v. dec. n. 204/2011) ha anche messo in luce che
“se le operazioni sono state poste in essere da soggetto diverso dal cliente che … dichiara
di non aver fornito ad alcuno i dati necessari per l’accesso, è possibile ipotizzare che il
sistema di sicurezza predisposto fosse inidoneo a tutelare l’esclusivo accesso del cliente
alla utilizzazione del servizio”. Il Collegio ha ritenuto, di conseguenza, che “l’intermediario
non abbia adottato la diligenza necessaria nell’esecuzione del rapporto di conto corrente
on line, che per le sue peculiarità richiede l’adozione di presidi di sicurezza che
garantiscano un’effettiva protezione del cliente”, richiamando la Sentenza della
Cassazione, Sezione I, 24 settembre 2010, la quale ha ribadito che la diligenza del buon
banchiere “va qualificata dal maggior grado di prudenza e attenzione che la connotazione
professionale richiede e che essa va valutata tenendo conto delle cautele e degli
accorgimenti che le circostanze del caso concreto suggeriscono.”
Il comportamento della banca è conforme ai criteri di diligenza professionale quando essa
predispone l’organizzazione tecnica idonea allo svolgimento degli incarichi di pagamento
in via informatica così da garantire al cliente la sicurezza dei trasferimenti. Tale
organizzazione deve caratterizzarsi, in particolare, per l’adozione di strumenti in linea con
l’evoluzione scientifica e tecnologica del settore. La legislazione più recente è molto
attenta alla predisposizione di un’adeguata organizzazione nello svolgimento dei servizi
bancari da parte della banca e così anche la disciplina di attuazione dettata dalle Autorità
di vigilanza .Si evoca così anche il trend normativo più generale in materia di obblighi di
adeguata struttura organizzativa dell’impresa nei confronti dei terzi fruitori dei servizi e di
relativa responsabilità per i danni subiti da questi (cd colpa da organizzazione: cfr.
decisione del Collegio ABF di Napoli del 29 marzo 2011). Si pensi, per il richiamo agli
obblighi, ad esempio , alla disciplina di attuazione della Direttiva Mifid, che in ossequio
alla direttiva stessa, pone tra i requisiti per l’autorizzazione all’attività, la predisposizione di
una adeguata organizzazione allo svolgimento dei servizi di investimento.
Alla luce di tali considerazioni, appaiono inaccoglibili le difese dell’intermediario. In primo
luogo il sistema dei codici dispositivi vigenti era inadeguato all’attacco esterno, circostanza
di cui l’intermediario era a conoscenza. Inoltre, appare del tutto in conferente l’asserità
impossibilità di rimborsare la somma in quanto non più nella disponibilità dell’intermediario.
La banca aveva l’obbligo di controllare in via preventiva l’operazione posta in essere dal
terzo, evitando il pregiudizio al cliente.
Una volta che l’organizzazione preventiva dei sistemi di sicurezza non abbia funzionato –
o abbia funzionato solo parzialmente, essendo da ricordare come fossero stati rilevati
nelle operazioni contestate elementi di criticità tali da sollecitare contatti immediati con il
cliente - e che il danno sia stato provocato, ne deriva inequivocabilmente la responsabilità
dell’intermediario. Questi è quindi tenuto a rimborsare al cliente il tantumdem di quanto
egli è stato indebitamente privato in virtù dell’operazione fraudolenta, solo su di lui potendo
gravare i rischi connessi alle eventuali azioni di recupero nei confronti di altri fruitori del
sistema nell’accesso al quale, sempre su di lui gravano evidenti responsabilità di controllo.
Pag. 5/6
Decisione N. 985 del 11 maggio 2011
Nel caso in esame, tuttavia, non è da sottacere che il cliente ha ammesso di aver
consegnato i suoi codici al terzo malintenzionato. La banca, in relazione a tale ultima
circostanza,
si è soffermata sulle molteplici campagne “di informazione e
sensibilizzazione della clientela” realizzate a far tempo dal 2005, volte a stimolare nei
propri clienti l’attenzione necessaria a evitare la diffusione a terzi di propri dati. Ha
richiamato in particolare il contenuto di talune comunicazioni indirizzate alla clientela, nelle
quali, oltre a evidenziare l’esistenza del fenomeno del phishing, ha altresì reso noto che in
nessun caso l’intermediario “chiede o avrebbe chiesto via e-mail ai propri correntisti le
credenziali personali”. Tuttavia non ha precisato quante e quali comunicazioni sono state
inviate alla clientela e in particolare al ricorrente, così da richiamare effettivamente la sua
attenzione e porlo in allarme nei confronti di un possibile “attacco informatico”.Non ha
posto in definitiva in essere quelle cautele necessarie a proteggere il cliente, tali da
esonerarla completamente da responsabilità.
L’insieme delle circostanze evidenziate induce pertanto questo Collegio, in applicazione
del principio dell’art 1227 c.c., a ripartire a metà la responsabilità nella causazione del
lamentato evento dannoso (secondo una prospettiva seguita anche, ad esempio, dal
Collegio ABF di Milano, n. 911/10), accogliendo solo parzialmente la richiesta del
ricorrente.
P. Q. M.
In parziale accoglimento del ricorso, il Collegio dichiara l’intermediario tenuto al
risarcimento del danno nella misura di € 501,00.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario
corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese
della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma
versata alla presentazione del ricorso.
IL PRESIDENTE
firma 1
Pag. 6/6