Con la decisione n. 2006 del 2024, l’Arbitro Bancario e Finanziario (Collegio di Milano) torna a pronunciarsi sulla responsabilità dell’intermediario derivante da operazioni di pagamento non autorizzate dal cliente.
Sempre con più frequenza sentiamo parlare di furto dei codici di accesso al proprio conto corrente o di operazioni non autorizzate con la carta di debito o di credito; i malintenzionati diventano sempre più abili nel tentare di sottrarre informazioni e dati finanziari degli utenti (phising), falsificando la propria identità e fingendosi agli occhi del cliente il proprio istituto di credito (spoofing).
Prendendo spunto dalla decisione n. 2006 del 2024 dell’ABF (Arbitro Bancario e Finanziario) si chiariranno i principali obblighi dell’intermediario e doveri dell’utente nell’utilizzo dei servizi di pagamento.
Per servizi di pagamento si intendono tutte le attività indicate dall’art. 1, comma 2, lett. h-septies 1), del Testo Unico Bancario. Tra di esse rientrano molte delle operazioni che vengono svolte nel quotidiano: depositare e prelevare del denaro contante, fare un bonifico, addebitare una bolletta sul conto corrente, pagare gli acquisti di beni e servizi con la carta di pagamento, sia nei negozi che on-line.
Il caso trae origine dal ricorso presentato all’ABF dal cliente di una banca con la quale intratteneva un rapporto di conto corrente, 2 carte di debito e una carta di credito solamente collocata dall’intermediario. Oggetto del ricorso era la richiesta di rimborso da parte del cliente di un bonifico istantaneo e 5 diverse operazioni effettuate con le carte di pagamento sopra menzionate.
Anche nel caso in esame, il raggiro prendeva avvio dalla ricezione da parte del cliente di un sms del seguente tenore (“Gentile cliente, a seguito di un pagamento anomalo con le carte a lei intestate La invitiamo ad eseguire la verifica al portale: http://bitly.ws/C448”); aperto il link il cliente si trovava di fronte ad una pagina apparentemente riconducibile all’emittente della carta o all’intermediario finanziario dove gli veniva richiesto di inserire i propri codici di accesso personali. Successivamente il cliente veniva anche contattato telefonicamente dal malfattore e forniva i suoi codici di accesso al sito internet dell’intermediario.
Il cliente, lamentando di essere stato vittima di una truffa, disconosceva tutte le operazioni per non averle autorizzate e ne chiedeva l’integrale rimborso alla banca intermediaria.
Prima di analizzare la decisione dell’ABF è opportuno ricordare che, in base all’art. 10-bis del D.Lgs. n. 11 del 2010, i prestatori di servizi di pagamento (quindi anche le banche) sono tenuti ad applicare un sistema di autenticazione forte del cliente (strong customer authentication) quando l'utente: (i) accede al suo conto di pagamento on-line (ii) dispone un'operazione di pagamento elettronico (iii) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.
La strong customer authentication (nota anche come “autenticazione a due fattori”) è basata sull’identificazione dell’utente attraverso l’utilizzo di almeno 2 tra i seguenti elementi di identificazione: (i) conoscenza (qualcosa che solo l'utente conosce, come una password o un PIN) (ii) possesso (qualcosa che solo l'utente possiede, come un token/chiavetta, o uno smartphone); (iii) inerenza (qualcosa che caratterizza l'utente, come l'impronta digitale o il riconoscimento facciale).
L’onere di provare l’autenticazione del cliente spetta comunque al prestatore di servizi di pagamento e non all’utente (art. 10).
Dunque, nel caso di specie, la richiesta di rimborso relativa alle operazioni effettuate con la carta di credito solamente collocata dall’intermediario è stata rigettata per mancanza di legittimazione passiva da parte dell’intermediario resistente in quanto “mero collocatore” della carta suddetta.
Le richieste relative al rimborso del bonifico istantaneo ed alle operazioni effettuate con una carta di debito sono state respinte perché in base alle evidenze probatorie sono state realizzate inserendo sia l’elemento di “possesso” che di “inerenza” e da ciò deriva - si legge nelle decisione - “che le operazioni sono state effettuate materialmente dal ricorrente medesimo e non dal truffatore, seppure in quanto indotto in errore dal medesimo”; inoltre aggiunge il collegio: “non può essere configurata come non autorizzata l’operazione compiuta personalmente dalla parte”
L’ultima richiesta di rimborso, relativa ad operazioni di pagamento eseguite attraverso altra carta di debito e rientranti nell’ambito della disciplina di cui all’art. 10, è stata accolta. Infatti l’intermediario non è stato in grado di provare l’autenticazione forte che - come ricorda il Collegio – “deve avere ad oggetto tutte le fasi relative all’effettuazione delle operazioni
contestate ovvero (i) l’accesso all’area riservata e l’attivazione della password statica (ii) l’effettuazione delle operazioni”.
Ricordiamo tuttavia che la medesima normativa all’art. 7 impone anche al cliente “di adottare tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”. Quindi meglio non fornire a nessuno i propri codici di accesso alle aree riservate di intermediari e prestatori di servizi di pagamento!