Mail “civetta” e misure di sicurezza disposte dagli intermediari per contrastare le truffe online.

La ricorrente è titolare di una carta di debito prepagata emessa dall’intermediario resistente e, in data 16 ottobre 2023, ha ricevuto una mail “civetta” sul proprio indirizzo di posta elettronica apparentemente proveniente dall’intermediario, con la quale le veniva comunicato il blocco di alcune transazioni, invitandola a completare un processo di convalida, accedendo tramite il link indicato. Dopo aver dato seguito alle istruzioni ed effettuato l’accesso all’ internet banking, la ricorrente si è resa conto che il saldo era stato azzerato (euro 902,00).

Successivamente, l’intermediario ha inviato la conferma di un bonifico istantaneo e, a seguito di ciò, la cliente ha sporto denuncia-querela e ha avanzato un reclamo all’intermediario, sostenendo:

• di non aver mai prestato il proprio consenso al bonifico contestato,
• di non aver mai disposto alcun pagamento, né autorizzato alcuna operazione, come pure di non aver ricevuto alcun codice, alert o informazione da parte dell’intermediario.

Pertanto, ha lamentato la insufficienza delle misure di sicurezza predisposte dall’intermediario per l’autenticazione e per l’autorizzazione dei pagamenti ritenute, a suo dire, del tutto insufficienti a garantire l’effettiva tutela del cliente alla luce delle risultanze raggiunte dal progresso tecnologico e ha chiesto la restituzione della somma di € 902,00 oltre al risarcimento del danno pari a € 250,00.

L’intermediario, resistendo al ricorso, ha eccepito quanto segue:

– Tutte le operazioni legate alla titolarità della carta di debito oggetto della disputa sono possibili attraverso l’App solo se l’utenza risulta autenticata attraverso un procedimento di autenticazione forte basata su due fattori: una password (fattore di conoscenza) e un dispositivo certificato (fattore di possesso);

– In data 16.10.2023, alle ore 18:11, la ricorrente ha effettuato un accesso da un dispositivo non certificato, sicché l’intermediario ha inviato un codice OTP sul numero di cellulare della ricorrente, indicato anche nella denuncia-querela, contenente tre avvisi: che il codice serviva per certificare un nuovo dispositivo, di non utilizzarlo nel caso in cui

l’operazione di certificazione non fosse stata chiesta dal titolare e di non comunicare il medesimo codice a terzi;

– Per certificare un nuovo device, l’utente deve scaricare l’App ed effettuare un primo accesso per la registrazione, durante il quale viene indicato un indirizzo e-mail, che viene certificato mediante un codice OTP inviato sulla stessa mail, e una password;

– A seguito del buon esito della procedura di autenticazione del nuovo dispositivo, che dimostra come la cliente abbia comunicato o utilizzato il codice OTP ricevuto sul suo telefono, veniva quindi eseguita alle ore 18:13:33 la disposizione di bonifico istantaneo di euro 900,00, oltre euro 2,00 di commissione;

– Sulla scorta della segnalazione presentata dalla ricorrente, l’intermediario ha avviato la procedura di richiamo (c.d. recall) del bonifico oggetto di contestazione che, tuttavia, non ha sortito alcun effetto;

– Nonostante la grave lacunosità della ricostruzione dei fatti e la scarna documentazione prodotta, può ragionevolmente ritenersi che l’utilizzo fraudolento sia effettivamente riconducibile sul piano causale alla sola condotta della ricorrente. Sul punto, l’intermediario ha evidenziato una contraddizione tra quanto dichiarato nella denuncia-querela – nella quale la ricorrente ha riferito di aver tentato di eliminare la mail ricevuta “perché poco chiara” – e quanto affermato nella diffida e nel ricorso, in cui si dà invece atto del tentativo “di adempiere a quanto richiesto”;

– La mail è stata prodotta in formato .pdf; l’oggetto e il font nella mail sono inconsueti; il messaggio contiene errori grammaticali; il mittente non è riferibile all’intermediario; il logo non appare riconducibile all’intermediario; non è inserita in una cronologia di messaggi in precedenza ricevuti dall’intermediario;

– Considerando che in tema di phishing sono ormai noti i rischi e i metodi per evitare le truffe (o

quantomeno dovrebbero esserlo grazie anche a una vasta campagna di sensibilizzazione realizzata anche dagli istituti di credito) e il comportamento superficiale tenuto dalla ricorrente, l’intermediario resistente ha concluso chiedendo di rigettare le domande attoree o, in via subordinata, nel caso in cui dovesse essere accolta la domanda di controparte, in applicazione dell’art. 1227 c.c., graduare la responsabilità dell’intermediario.

Il Collegio di Roma ha evidenziato che l’operazione disconosciuta dalla ricorrente, essendo stata conclusa il 16 ottobre 2023, risulta pertanto effettuata dopo l’emanazione della direttiva 2015/2366/UE del Parlamento europeo e del Consiglio del 25 novembre 2015, recepita con il d.lgs. n. 218 del 15.12.2017, entrato in vigore in data 13.01.2018. È stato altresì rilevato che tali operazioni risultano altresì successive alla data di entrata in vigore del Regolamento Delegato (UE) n. 2018/389 della Commissione.

In estrema sintesi, la nuova normativa fa ricadere sull’intermediario la responsabilità delle operazioni disconosciute laddove quest’ultimo non abbia predisposto un c.d. “sistema di autenticazione forte” (o SCA). Tale sistema deve essere applicato dai prestatori di servizi di pagamento anche quando l’utente dispone un’operazione di pagamento

elettronico ovvero effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi. Quanto alla responsabilità del pagatore, ai sensi del comma 2-bis dell’art. 12 d.lgs. n. 11/2010, come inserito dal d.lgs. n. 218/2017, “salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta

alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente”.

Il concetto di autenticazione forte trova la propria definizione all’art. 1, comma 1, lett. q-bis), d.lgs. n. 11/2010 (lettera introdotta dal d.lgs. n. 218/2017), per tale intendendosi “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.

La parte ricorrente ha prodotto copia della denuncia-querela sporta in data 20.10.2023, nella quale si legge che la signora il 16.10.2023 ha ricevuto una email apparentemente da parte dell’intermediario e, dopo aver tentato di eliminarla, le sarebbe giunta la conferma dell’esecuzione di un bonifico istantaneo di euro 902,00. Tuttavia, nella successiva diffida

ha affermato di aver cliccato sul link indicato nella suddetta email. L’intermediario ha contesta la natura sofisticata della e-mail, poiché il file allegato al ricorso è un .pdf, l’oggetto e il font nella mail sono inconsueti, il messaggio contiene errori

grammaticali, il mittente non è riferibile all’intermediario, il logo non appare riconducibile all’intermediario, non è inserita in una cronologia di messaggi in precedenza ricevuti dall’intermediario.

Invero, qualora il ricorrente – come nel caso di specie – ammetta di aver dato seguito a una comunicazione di phishing (via e-mail, sms o chiamata vocale), fornendo le proprie credenziali, i Collegi, in linea con la decisione n. 3498/2012 del Collegio di Coordinamento, ritengono che il cliente sia vittima di colpevole credulità, risultando “tali forme di accalappiamento ormai note al pur non espertissimo navigatore di internet”. In particolare, il phishing operato tramite semplice e-mail o sms (chiamato, in quest’ultimo caso, smishing) viene ritenuto fenomeno ormai diffusamente noto, che quanto meno qualunque utente dotato di normale avvedutezza e prudenza, come si ritiene siano quelli avvezzi all’uso dell’home banking, dovrebbero conoscere.

Dalla documentazione versata in atti, il Collegio di Roma ha rilevato come, nel caso di specie, l’intrusione non autorizzata nel sistema – lungi dall’essere causata da un insufficiente grado di protezione informatica del servizio offerto dall’intermediario – appare ascrivibile a colpa grave della cliente incappata in un caso di “phishing”, con conseguente utilizzo abusivo delle sue credenziali di accesso. E, infatti, la stessa ricorrente ha sostanzialmente ammesso di aver dato seguito alle istruzioni contenute nel messaggio ricevuto sulla propria posta elettronica, che erroneamente credeva provenire dall’intermediario resistente.

Come rilevato dal Collegio di Coordinamento con decisione n. 1820/13, nell’ipotesi del phishing “il cliente è vittima di una colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non espertissimo navigatore di internet”.

Avendo riguardo alle circostanze del caso concreto, la credulità del ricorrente è apparsa non scusabile al Collegio capitolino, in quanto le modalità con cui la truffa è stata perpetrata rientrano tra quelle più diffuse, che pertanto qualunque cliente dotato di normale avvedutezza e prudenza deve essere in grado di individuare, non facendosi trarre in inganno.

Tutto ciò premesso, allo stato delle risultanze agli atti, deve ritenersi che il ricorrente sia incorso nella violazione degli obblighi prescritti dall’art. 7 del D. Lgs. n. 11/2010, avendo in particolare omesso di comunicare tempestivamente alla banca il fattore di pericolo derivante dall’intervenuto “phishing”. Ne consegue che, a detta del Collegio arbitrale, nel comportamento della ricorrente è ravvisabile una colpa grave che, dunque, non consente di accogliere la richiesta di rimborso della somma indebitamente sottratta (cfr. Collegio Roma, decisione n. 3076/2015; Collegio di Roma, decisione n. 2224/2019).

Alla luce di quanto esposto, il Collegio ha ritenuto di non accogliere la domanda proposta dalla ricorrente.