Giurisprudenza Arbitrale sul Rimborso di Prelievi Contestati

In questo breve articolo raccogliamo i provvedimenti arbitrali interessanti da un punto di vista casistico in relazione agli addebiti (e rimborsi) su conti correnti o carte di credito/prepagate non autorizzati, o comunque disconosciuti successivamente, anche con l'utilizzo di token e otp e home banking.

IL COLLEGIO DI ROMA

Decisione N. 2264 del 28 giugno 2012

nella seduta del 13/04/2012 dopo aver esaminato

_ il ricorso e la documentazione allegata;

_ la relazione istruttoria della Segreteria tecnica,

_ le controdeduzioni dell'intermediario e la relativa documentazione;

Fatto

Controllando il proprio estratto conto la parte ricorrente rilevava la sera del 13

luglio 2011 una disposizione di bonifico internazionale dell’importo di 5.638,00 euro,

eseguita a sua insaputa alle ore 7.01 del mattino a favore di un beneficiario

sconosciuto. Il giorno successivo denunciava l’accaduto alle forze dell’ordine,

precisando di non aver mai ricevuto mail di phishing e di avvalersi per l’esecuzione

delle transazioni on-line del particolare dispositivo generatore di password fornitole

dall’intermediario; specificava inoltre che, per un bonifico nazionale di 6.541,00 euro

regolarmente disposto alcuni giorni prima, l’intermediario le aveva chiesto

telefonicamente un’apposita conferma.

La ricorrente provvedeva altresì a far verificare la propria postazione elettronica da

un tecnico informatico il quale registrava problemi nel browser Microsoft Internet

Explorer, dovuti ad un software malevolo, e la presenza di uno Spyware avente la

funzione di raccogliere ed inviare a soggetti terzi le credenziali di accesso

dell’utente. Concludeva, l’esperto, che tutte le credenziali della ricorrente potessero

essere state “esposte, non per sua colpa o dolo, a terzi”.

Non avendo ottenuto risposta dall’intermediario in merito al reintegro della somma

fraudolentemente prelevata, la ricorrente si è rivolta a questo Collegio per il

riconoscimento delle proprie ragioni.

Nelle proprie controdeduzioni l’intermediario resistente, in conformità con una

posizione dallo stesso espressa in precedenti analoghi ricorsi che lo hanno

interessato, ha confermato il proprio diniego argomentando che: 1) la domanda di

rimborso deve essere rivolta all’indebito percettore; 2) Il comportamento della

ricorrente è risultato gravemente negligente, 3) non può essere addossata alcuna

responsabilità all’intermediario che ha eseguito una transazione “correttamente”

disposta; 4) i propri sistemi informatici centrali risultano a tutt’oggi inviolati ed

“assolutamente sicuri” a differenza dell’apparato informatico del cliente risultato, a

suo dire, insicuro e non adeguatamente protetto; 5) tenuto conto dell’art. 1218 C.C.,

eventuali pretese risarcitorie nei confronti dell’intermediario sono ammissibili solo a

fronte di un suo inadempimento, inadempimento che il ricorrente non ha contestato

all’intermediario.

Nella fattispecie concreta il convenuto aggiunge che la transazione contestata è

avvenuta “mediante il corretto inserimento di tutte le successive serie di

riconoscimenti informatici indispensabili per l’esecuzione di tale operazione

(bonifico estero)”, ivi compresi: “l’utilizzo del primo codice univoco proposto da(l)

sistema” … che deve essere digitato sull’apposito strumento generatore di

password fornito dall’intermediario; il “corretto utilizzo” di tale strumento mediante

inserimento della carta personale del cliente e del PIN collegato alla carta

medesima, noto soltanto al cliente; la digitazione sul web dell’intermediario,

appositamente dedicato, del codice generato dal dispositivo: strumento, questo, che

“non (sarebbe) in alcun modo raggiungibile via web”. L’intermediario imputa in

particolare alla ricorrente di non aver adottato le misure necessarie al fine di

garantire la sicurezza informatica minimale necessaria ad una diligente attività

finanziaria on-line, la negligenza del cliente essendo attestata dalla perizia versata

in atti dalla ricorrente medesima; inoltre, stigmatizzando il fatto che la ricorrente non

ha fornito notizie in ordine allo stato di aggiornamento del suo p.c. prima

dell’operazione disconosciuta e prima dell’intervento della ditta informatica, ipotizza

che i virus siano stati “inoculati durante una precedente navigazione nel web

effettuata in modo non protetto o con protezione scarsa, inefficiente o non

aggiornata”.

Diritto

Il ricorso è fondato nei limiti di seguito indicati.

La vicenda si inquadra nella casistica del furto di identità elettronica e pertanto, come già

più volte osservato da questo Collegio nell’esame di analoghi ricorsi, deve essere valutata

alla luce delle vigenti disposizioni normative in materia di servizi di pagamento, con

particolare riguardo all’art. 10, comma 2 del d.lgs. n.11 del 27 gennaio 2010 che ha

recepito la direttiva 2007/64/CE del 13 novembre 2007 e sancisce espressamente che

“l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento

non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata

autorizzata dal titolare, né che questi abbia agito in modo fraudolento o non abbia

adempiuto, con dolo o colpa grave ad uno degli obblighi di cui all’art. 7”: in altri termini, che

non abbia adottato “tutte le ragionevoli misure per proteggerne le caratteristiche di

sicurezza personalizzate”.

A rafforzamento di tale principio, la vigente disciplina stabilisce che fino al momento della

notificazione, il titolare sostiene la perdita subita in conseguenza dello smarrimento o del

furto dello strumento di pagamento elettronico nei limiti di un massimale non superiore ai

150 euro, fatta eccezione del caso in cui il titolare “abbia agito con dolo o colpa grave

ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi

personalizzati che consentono l’utilizzo dello strumento di pagamento” (cfr. art. 12, comma

3 del d.lgs. n.11/2010).

Conseguentemente, questo Collegio non può che riaffermare i principi dettati dal citato

decreto legislativo e della direttiva comunitaria sottolineando che, in base ai criteri che

regolano la responsabilità contrattuale (art. 1218 c.c.), l’onere di dimostrare la colpa grave

o il comportamento fraudolento del cliente spetta all'intermediario, atteso che la spendita

non autorizzata di uno strumento non assume il valore di una prova della negligenza del

titolare.

Tutto ciò premesso, risulta essenziale per la risoluzione del contenzioso la verifica del

comportamento delle due parti, essendo entrambe tenute a specifici obblighi: la custodia e

la segretezza delle credenziali informatiche, per quanto riguarda il cliente; l’affidabilità e la

sicurezza complessiva del servizio di pagamento offerto al cliente, per quanto riguarda

l’intermediario; sicurezza, questa, che attiene sia al sistema informatico –centrale e

periferico- sia al sistema organizzativo e di controllo.

Nel caso qui sottoposto alle valutazioni di questo Collegio l’addebito di grave negligenza

addossato dall’intermediario al cliente sembra essere fondato sia sui particolari requisiti di

affidabilità presentati dal generatore di password messo a disposizione del cliente, sia

sulla perizia informatica disposta da quest’ultimo immediatamente dopo la scoperta della

frode, perizia che attesta – come precedentemente rilevato - che il computer utilizzato

dalla ricorrente è risultato affetto da virus informatici e che tutte le credenziali della

ricorrente sono verosimilmente state esposte a terzi, deducendo da ciò che la stessa

abbia contravvenuto alle regole contrattuali che impongono diligenza nella custodia delle

credenziali informatiche.

Ora, se è indubitabile che il prelievo abusivo di fondi sul conto del cliente sia avvenuto

per effetto di un atto di pirateria informatica, questo Collegio non può non osservare che la

messa a disposizione dell’innovativo strumento di generazione della password non può

essere considerata di per sé prova (presuntiva) della violazione degli obblighi di custodia

in senso lato gravanti sul cliente; d’altro canto, resterebbe da provare che la ricorrente, per

il solo fatto di aver subìto un attacco informatico, abbia tenuto una condotta gravemente

negligente; in altri termini, è da dimostrare che l’attacco informatico ai danni della

postazione del cliente sia riconducibile ad una sua condotta gravemente omissiva e

negligente. Ostano a tale conclusione tanto l’affermazione del perito che nell’attestare la

visibilità a terzi delle credenziali informatiche per effetto del virus esplicitamente esonera la

ricorrente da ogni colpa o dolo al riguardo, quanto la stessa ammissione dell’intermediario,

su cui grava, come è ben noto, l’onere di dimostrare la colpa grave del cliente, di non

conoscere lo stato dell’apparato utilizzato prima della frode, essendosi egli limitato a

formulare alcune ipotesi, vale a dire che il p.c. fosse non protetto o non adeguatamente

protetto o non aggiornato. Per altro verso, emerge dalla vicenda che la ricorrente si sia

prontamente accorta della frode e che altrettanto tempestivamente si sia adoperata per

segnalare l’accaduto all’intermediario, tentando di bloccare l’operazione, e che abbia

senza indugio fatto verificare da un esperto il proprio apparato informatico. Consta altresì

che la ricorrente si è dotata sin dal 3.6.2010 del particolare dispositivo all’epoca da poco

offerto dall’intermediario alla propria clientela, così denotando particolare sensibilità ai temi

della sicurezza delle transazioni: elementi, tutti, che contrastano con il quadro di “grave

negligenza” ipotizzato dall’intermediario.

I fatti complessivamente esposti fanno ritenere a questo Collegio che l’intermediario non

abbia evidenziato elementi gravi, precisi e concordanti che lascino presumere una grave

violazione in capo alla ricorrente dell’obbligo di custodia delle proprie credenziali, tali da far

venir meno le previsioni favorevoli al cliente disposte dal decreto legislativo sopra citato.

Sicché, ad avviso di questo Collegio, e in applicazione del disposto di cui all’art. 12,

comma 3, del citato decreto legislativo, l’intermediario dovrà rimborsare alla ricorrente

l’importo di € 5.488,00 pari alla somma sottratta detratta la franchigia di 150,00 euro.

Quanto ai presidi di sicurezza disposti dal fornitore del servizio di pagamento, questo

Collegio, pur prendendo atto che l’intermediario ha dotato il cliente di un dispositivo

generatore di password, decisamente più avanzato rispetto alle credenziali statiche di

primo livello, ritiene di dover evidenziare elementi di criticità nel sistema di controlli

predisposti a presidio della sicurezza delle transazioni: ne è riprova il fatto che per un

bonifico di importo di poco superiore disposto pochi giorni prima dalla ricorrente

l’intermediario stesso avesse ritenuto opportuno acquisire una conferma preventiva,

laddove nella transazione contestata che, riguardando un bonifico internazionale rivestiva

carattere di maggiore delicatezza, siffatto controllo è venuto a mancare.

P.Q.M.

Il Collegio accoglie parzialmente il ricorso nei sensi di cui in motivazione.

Dispone inoltre che l’intermediario corrisponda alla Banca d’Italia la somma di Euro

200,00 (duecento/00) quale contributo alle spese della procedura e al ricorrente di

Euro 20,00 (venti/00) quale rimborso della somma versata alla presentazione del

ricorso.

COLLEGIO DI ROMA

Decisione N. 9538 del 25 ottobre 2016

Nella seduta del 15/07/2016 dopo aver esaminato:

- il ricorso e la documentazione allegata

- le controdeduzioni dell’intermediario e la relativa documentazione

- la relazione della Segreteria tecnica

Fatto

Il ricorrente chiede la restituzione di euro 519,08 addebitatigli in seguito a tre operazioni

effettuate online utilizzando i codici della propria carta di credito, in seguito alla captazione

fraudolenta delle proprie credenziali (phishing).

L’intermediario resistente chiede il rigetto del ricorso, ritenendo che i fatti oggetto di

contestazione siano addebitabili al comportamento gravemente negligente del ricorrente.

Diritto

In base alle evidenze presentate dal ricorrente e dall’intermediario resistente è possibile

ricostruire i seguenti eventi:

? il 17.06.2015 il figlio del ricorrente – che utilizzava talvolta la carta di cui è titolare il

ricorrente – aderiva a un’offerta di telefonia mobile, rispondendo a un messaggio

fraudolento inviato alla propria casella di posta elettronica e usando per il

pagamento la carta prepagata del padre;

Decisione N. 9538 del 25 ottobre 2016

? dopo pochi minuti, il figlio del ricorrente riceveva un altro messaggio che lo

informava del fallimento della transazione;

? il 19.06.2015 venivano effettuate due transazioni online con la carta del ricorrente,

rispettivamente per euro 15,74 e 265,84;

? il 25.06.2015 veniva effettuata una terza transazione online con la carta del

ricorrente, per euro 237,50;

? il 19.07.2015, una domenica, il ricorrente, al momento di compiere un acquisto

online, verificava che il saldo sulla PostePay era di 0,43 euro, in luogo dei circa

500,00 euro che riteneva di possedere;

? dalla successiva verifica dell’estratto conto si avvedeva delle 3 operazioni

fraudolente;

? il 20.07.2015 il ricorrente denunciava l’accaduto all’autorità giudiziaria e si recava

presso la filiale dell’intermediario per disconoscere 3 le operazioni fraudolente.

Il caso si inserisce nell’ormai ampiamente dibattuto filone delle frodi su internet. A questo

proposito, la recente giurisprudenza dell’ABF è uniforme, ravvisando la colpa grave del

consumatore ogniqualvolta egli stesso comunichi le proprie credenziali in risposta a

messaggi chiaramente fraudolenti, salvo i casi in cui tali frodi assumano le dimensioni di

sofisticati meccanismi non individuabili dall’utilizzatore operando con il grado di diligenza

cui è tenuto. Si veda, tra le altre, la Decisione 4991/2016 del Collegio di Roma: “In

relazione al phishing non si può fare a meno di rilevare che si tratta di un fenomeno ormai

del tutto noto, tanto che qualunque utente dotato di normale avvedutezza e prudenza è in

grado di non farsi trarre in inganno. Il soggetto che ha materialmente consentito

l'esecuzione dell'operazione fraudolenta cooperandovi seppur involontariamente deve

essere ritenuto responsabile di quanto posto in essere. In simili situazioni emerge evidente

come il cliente sia vittima di una colpevole credulità: colpevole in quanto egli è portato a

comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo

dell'intermediario e tanto più colpevole si rivela quell'atto di ingenuità quanto più si

consideri che tali forme di “accalappiamento” possono dirsi ormai note al pur non

espertissimo navigatore di Internet. A detta del Collegio nel caso di specie, ipotesi classica

di phishing, si ravvisa una colpa grave del ricorrente, avendo egli comunicato ad altri, in

risposta a un’email civetta, tutte le proprie credenziali per effettuare con regolarità i

prelevamenti. Preso atto di quanto sopra, il Collegio dispone il rigetto del ricorso, restando

assorbite tutte le ulteriori questioni nel merito.”

Nel caso specifico, il meccanismo utilizzato per il phishing è tra i più diffusi e conosciuti. E

la colpa grave del ricorrente è ancora più evidente per aver lasciato che la propria carta di

credito venisse utilizzata liberamente dal proprio figlio, probabilmente più sensibile di un

adulto alle sollecitazioni provenienti dall’invito ad aderire all’offerta per uno sconto sulla

telefonia mobile proposta nel messaggio fraudolento, e per questo motivo meno attento ai

profili di sicurezza.

PER QUESTI MOTIVI

Il Collegio respinge il ricorso.

COLLEGIO DI MILANO

Decisione N. 34 del 07 gennaio 2016

Nella seduta del 19/11/2015 dopo aver esaminato:

- il ricorso e la documentazione allegata

- le controdeduzioni dell’intermediario e la relativa documentazione

- la relazione della Segreteria tecnica

FATTO

Con ricorso datato 7 febbraio 2015, il ricorrente riportava di aver ricevuto, da parte

dell’intermediario convenuto, una comunicazione datata 24 novembre 2011, con la quale

veniva avvertito che sul suo conto corrente era stata effettuata una transazione con

addebito di euro 1.251,00 per la ricarica di una carta prepagata. L’istante aveva, quindi,

proceduto a sporgere formale denuncia presso i carabinieri e aveva inoltrato reclamo

presso la resistente disconoscendo la menzionata operazione e chiedendo il rimborso

dell’importo sottratto fraudolentemente.

Riferiva, inoltre, che, con comunicazione del 2 dicembre 2014, l’intermediario si rendeva

disponibile a rimborsare solamente il 50% della somma richiesta (pari ad euro 625,00) in

quanto riteneva verosimile che il cliente fosse stato vittima di “phishing”, ovvero una frode

on-line ideata per sottrarre con l’inganno password, numeri di carta di credito e

informazioni personali della vittima. In tale occasione, inoltre, lo stesso aveva specificato

che la banca aveva più volte avvertito di prestare attenzione a tale fenomeno spiegando

che non avrebbe mai chiesto ai propri clienti di comunicare informazioni, personali relative

ai propri conti via e-mail. Aveva infine, aggiunto che la responsabilità della sicurezza dei

codici segreti era del correntista e che ciò includeva anche un controllo prudente del

browser e del sistema operativo del pc.

Il ricorrente aveva, quindi, presentato ricorso all’ABF reiterando le proprie istanze e

sottolineando di non aver compiuto alcun accesso al proprio conto tramite pc né di aver

accettato alcuna operazione via e-mail; evidenziava, inoltre, che l’intermediario, ritenendo

sospetta l’operazione, avrebbe anche dovuto procedere a bloccarla. Pertanto, chiedeva al

Collegio l’integrale restituzione dell’importo indebitamente sottratto, pari ad euro 1.251,00.

L’intermediario presentava le proprie controdeduzioni con le quali specificava che la

vicenda costituiva un classico caso di “phishing”. Spiegava, infatti, che il servizio

informatico fornito era dotato di un codice identificativo del cliente, password di accesso,

nota solamente al cliente stesso, e sistema OTP (One time password, chiavetta personale

o token che genera una nuova password ogni 60 secondi). Una volta eseguito l’accesso al

sito con le proprie credenziali ed inserito i dati della ricarica, per eseguire il pagamento

era, quindi, necessario inserire il codice token. Nel caso in questione, le verifiche effettuate

avevano riscontrato che il sistema informatico non aveva subito alcuna violazione e che

l’operazione contestata era stata eseguita inserendo correttamente tutti i dati richiesti,

compreso tale codice. Inoltre, l’intermediario specificava che l’operazione fraudolenta era

la ricarica di una carta prepagata: la ricarica, a differenza del bonifico, trasferiva la somma

richiesta direttamente dal conto corrente alla carta prepagata e in quest’occasione il

truffatore aveva immediatamente prelevato la somma fino al blocco della carta effettuato

dall’intermediario stesso.

La resistente, pertanto, riteneva che la responsabilità dell’operazione indebita fosse

attribuibile al ricorrente che non aveva diligentemente e prudentemente conservato i codici

di accesso. Inoltre, evidenziava che, nonostante non ritenesse di avere alcuna

responsabilità in relazione alla vicenda avvenuta, in nome dei buoni rapporti commerciali

intercorsi con il ricorrente, gli aveva proposto un rimborso pari al 50% dell’importo

sottratto, proposta che il cliente non aveva accettato. Chiedeva, quindi, al Collegio il totale

rigetto delle pretese dell’istante.

DIRITTO

La questione, riguardante la ripartizione della responsabilità tra le parti, in caso di

operazioni fraudolente eseguite mediante sistemi di internet banking a due fattori, risale ad

un periodo successivo all’entrata in vigore del d.lgs. n. 11/2010, attuativo della direttiva

comunitaria 2007/64/CE e, pertanto, deve essere valutata alla luce di tale disciplina. Il

Collegio, inoltre, nel valutare la vicenda in esame deve tenere presente che il sistema

informatico dell’intermediario è un sistema a due fattori, ovvero un sistema che per

l’autorizzazione delle operazioni on-line affianca all’inserimento del codice identificativo e

della password, noti solo al cliente, un secondo sistema di autenticazione denominato

OTP che genera una password monouso ogni 60 secondi di cui solamente il cliente deve

essere a conoscenza e che deve essere correttamente inserita. A tal proposito, il Collegio

rileva che secondo un orientamento ormai consolidato dell’ABF (Collegio di

Coordinamento, decisione n. 3498/2012 e Collegio di Milano, decisione n. 111/2012),

l’adozione di un sistema a due fattori, induce a presumere da una parte, che

l’intermediario abbia assolto i propri doveri probatori relativi agli obblighi su di esso

gravanti ai sensi dell’art. 8, d.lgs. n.11/2010 e, dall’altro, che il cliente si sia reso

gravemente negligente in relazione al dovere di custodia e segretezza dei codici di

accesso che consentono l’accesso ai servizi on-line e l’invio di ordini a valere sul conto

allo stesso intestato. Tale orientamento si fonda sul fatto che, allo stato attuale,

l’autenticazione tramite sistema OTP risulta essere la più sicura possibile e da ciò

consegue che, nel caso in cui tale sistema venga adottato, non sia possibile alcuna

intrusione esterna se non mediante la collaborazione, seppur involontaria, del cliente,

cooperazione consistente nella mancata custodia dei codici di autenticazione e di accesso

e nella loro trasmissione a terzi. Tuttavia, il Collegio ritiene di dover anche tenere presente

gli orientamenti del Collegio di Roma (decisione n. 2264/2012) e di Napoli (decisione n.

1583/2012) i quali, pur riconoscendo la spiccata capacità protettiva del sistema OTP,

hanno contestato l’automatismo deduttivo dal quale si fa dipendere l’irreversibile

presunzione di responsabilità in capo al cliente, dipendente dalla sola adozione del

sistema OTP da parte dell’intermediario. Infatti, è stato sottolineato che l’onere probatorio,

così come delineato dalla normativa applicabile, non consentirebbe di pervenire ad un tale

automatismo dovendosi considerare oltre al meccanismo offerto anche l’intero sistema di

controlli predisposto dall’intermediario, ben potendosi configurare così la circostanza in cui

la cattura dei codici da parte di terzi possa avvenire anche in presenza di un

comportamento diligente del cliente; ciò in quanto i sistemi tecnologici in continua

evoluzione rendono sempre più insidiosi i metodi di aggressione informatica.

Considerato quanto fin ora esposto, il Collegio ritiene di doversi conformare alle posizioni

dei Collegi di Roma e di Napoli e, in considerazione della disciplina della PSD, ricorda che,

ai sensi dell’art. 10, co. 1 del d.lgs. n. 11/2010, il disconoscimento del cliente

dell’operazione fraudolenta implica l’inversione dell’onere probatorio, sicché è

l’intermediario a dover dimostrare che l’operazione contestata è stata autenticata,

correttamente registrata e contabilizzata. Nel caso di specie, l’intermediario ipotizza che il

cliente si stato vittima di “phishing” e che abbia, anche se inconsapevolmente, fornito le

proprie credenziali e codici d’accesso ai truffatori, ma non ha prodotto evidenze al

riguardo, né alcuna prova relativa alla cooperazione del cliente nel fornire le chiavi di

accesso on-line del proprio conto. Pertanto, in conformità a quanto fin ora esposto e in

applicazione del dettato del d. lgs. n . 11/2010, il Collegio ritiene che, in difetto di qualsiasi

elemento a suo carico, nessuna responsabilità possa essere concretamente attribuita al

ricorrente, il quale deve essere, quindi, rimborsato dell’intera somma sottrattagli

indebitamente.

PER QUESTI MOTIVI

Il Collegio, in accoglimento del ricorso, dispone che l’intermediario corrisponda alla parte

ricorrente la somma di € 1.251,00.

Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla

Banca d’Italia la somma di € 200,00, quale contributo alle spese della procedura, e alla parte

ricorrente la somma di € 20,00, quale rimborso della somma versata alla presentazione del

ricorso.

COLLEGIO DI BOLOGNA

Decisione N. 4785 del 04 maggio 2017

Nella seduta del 20/04/2017 dopo aver esaminato:

- il ricorso e la documentazione allegata

- le controdeduzioni dell’intermediario e la relativa documentazione

- la relazione della Segreteria tecnica

FATTO

Parte ricorrente espone di essere titolare della carta di credito prepagata n. *****9

rilasciata dall’intermediario convenuto, sulla quale in data 14.11.2016 è stato addebitato

l’importo di 2.337,00 euro, relativo ad una operazione di pagamento mai effettuata, né

autorizzata.

In particolare, riferisce:

- che in data 13.11.2016, rispondendo ad una offerta promozionale via SMS

apparentemente ricevuta da un noto gestore telefonico, “cliccava” sul link

www,.... S indicato nello sms e approdava su un sito apparentemente

riconducibile al predetto gestore, ove inseriva il numero della carta di credito, la data di

scadenza e il codice CVC/CVV;

- non ricevendo l’SMS contenente la password dispositiva per completare il pagamento da

parte dell’intermediario, comunicava l’indirizzo della propria posta elettronica, come

richiesto dal sito stesso per avere conferma del fatto che l’operazione non era andata a

buon fine;

- provava, pertanto, ad effettuare la transazione mediante un’altra carta di credito

prepagata di cui era titolare (rilasciata, sempre, dall’intermediario resistente), non

riuscendo, però, a concludere la transazione neanche con la suddetta carta;

- in data 14.11.2016 come anticipato da un SMS all’apparenza proveniente dall’

intermediario, riceveva un SMS dell’intermediario stesso contente una password

dispositiva, che provvedeva a comunicare, in risposta ad un ulteriore messaggio

proveniente da un cellulare;

- tra il 15 e il 17.11.2016 riceveva diversi SMS da parte dell’intermediario, contenenti

password dispositive, delle quali non faceva alcun uso e che anzi non le avevano causato

alcuna preoccupazione (aveva pensato che gli invii fossero dovuti allo “sblocco” del

sistema di pagamento on line);

- in data 20.11.2016, a seguito di un controllo sull’apposita applicazione del telefono, si

accorgeva del fatto che mediante la propria carta n.****4059 era stata effettuata

un’operazione dell’importo di 2.337,00 euro, ancorché la carta fosse sempre rimasta nella

sua disponibilità e mai ceduta a terzi).

Pertanto, la ricorrente chiede la restituzione dell’importo di 2.337,00 euro poiché l’operazione non è stata effettuata né autorizzata dalla medesima.

L’intermediario resiste al ricorso ed espone quanto segue.

In data 20.11.2016 la ricorrente denunciava l’avvenuto addebito sulla carta n. ****4059

della somma di 2.431,88 euro, contestando, pertanto, la legittimità di tale addebito, relativo

a n. 6 transazioni on line rispettivamente di 25,80 euro, 2.337,00 euro, 18,98 euro, 15,90

euro, 16,20 euro e 18,00 euro; dai fatti esposti nella denuncia (e nella sua successiva

integrazione) emerge che la ricorrente, per sua stessa ammissione, è caduta vittima di

un’operazione di “phishing”.

È stato possibile procedere stornare 5 delle 6 operazioni disconosciute, ma non quella di

ammontare più elevato, risultata regolarmente eseguita come dimostrano i “log”; è stato

adottato un sistema di sicurezza a due fattori, per le operazioni on line, che prevede l'

utilizzo di un dispositivo OTP (c.d. one time password).

Alla ricorrente è imputabile una violazione gravemente colpevole degli obblighi di custodia

dei propri dati identificativi e dispositivi on line e ritiene che il danno subito dalla ricorrente

sia ascrivibile, interamente, alla sua condotta, o, quanto meno, essa ha concorso a

cagionarlo ex art. 1227 c.c. Infatti, l’utilizzo fraudolento della carta di credito si è verificato

nonostante la predisposizione di sofisticati mezzi di protezione, quali quelli basati

sull’utilizzo di un token (one time password).

L’intermediario conclude quindi per il rigetto del ricorso.

DIRITTO

1. 1. - La ricorrente lamenta l’utilizzo fraudolento della sua carta prepagata avvenuto in data

14 novembre 2016 ed avente ad oggetto una somma di € 2.337,00 prelevata con una sola

operazione.

Dalla ricostruzione dei fatti emerge pacifico, per la stessa ammissione da parte del

ricorrente, che ella abbia inconsapevolmente aderito all’attacco di phishing, ritenendo di

operare sul sito dell’intermediario. È altresì pacifico come nel caso di specie l’operazione fraudolenta sia stata posta in essere mediante l’inserimento dei dati identificativi rilevabili

sulla carta e del codice OTP inviato a mezzo SMS (sistama di sicurezza c.d. a due fattori).

Più precisamente la ricorrente è rimasta vittima di una nuova modalità di phishing il c.d.

smishing. Si tratta, infatti, di una ipotesi caratterizzata non dall’invio di una email ma,

piuttosto, di un SMS. Segnatamente, in tali casi l’utente è raggiunto da un SMS

contenente la richiesta di cliccare su di un link e, quindi, di raggiungere una pagina web.

Per ingannare il destinatario si fa leva su meccanismi psicologici, come l’urgenza o la

possibilità di ottenere un vantaggio personale. Gli utenti, dopo aver cliccato sui link,

approdano in siti online artefatti che chiedono l’inserimento di dati personali, carpendo, in

tal modo, le credenziali di utilizzo degli strumenti di pagamento.

2. 2. - La responsabilità dell’emittente di una carta prepagata per il suo utilizzo non

autorizzato è disciplinata dall’art. 12 del d.lgs. 27 gennaio 2010, n. 11, il quale ha attuato

nell’ordinamento giuridico italiano la direttiva 2007/64/CE relativa ai servizi di pagamento

nel mercato interno europeo.

Nel caso di specie, la responsabilità dell’emittente è disciplinata pertanto dall’art. 12,

comma 3, del medesimo decreto, il quale statuisce che, «salvo il caso in cui abbia agito

con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza

dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento, prima

della comunicazione eseguita ai sensi dell’art. 7, 1° comma, lett. b), l’utilizzatore

medesimo può sopportare per un importo comunque non superiore complessivamente a €

150,00 la perdita derivante dall’utilizzo indebito dello strumento di pagamento

conseguente al suo furto o smarrimento».

In virtù di tale disposizione legislativa, il prestatore di servizi di pagamento può escludere

la propria responsabilità per l’utilizzo non autorizzato di uno strumento di pagamento

soltanto provando la colpa grave dell’utilizzatore, la quale costituisce un fatto impeditivo

del risarcimento del danno, ai sensi dell’art. 2697, comma 2, c.c.

A tale proposito, si deve in generale premettere che, secondo la giurisprudenza di

legittimità, la colpa grave è costituita da una «straordinaria e inescusabile» imprudenza,

negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza

ordinaria del buon padre di famiglia di cui all’art. 1176, comma 1, c.c., ma anche «quel

grado minimo ed elementare di diligenza generalmente osservato da tutti» (Cass., 3

maggio 2011, n.913; Cass., 19 novembre 2001, n.14456).

È bensì vero che, ai sensi dell’art. 7, comma 1, lett. b), del d.lgs. n.11 del 2010, il titolare di

uno strumento di pagamento ha l’obbligo di «utilizzare lo strumento di pagamento in

conformità con i termini, esplicitati nel contratto-quadro, che ne regolano l’emissione e

l’uso». Tuttavia, l’art. 10, comma 2, del d.lgs. n.11 del 2010 statuisce che, «quando

l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento

eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di

pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia

stata autorizzata dall’utilizzatore medesimo, né che questi abbia adempiuto con dolo o

colpa grave a uno o più degli obblighi di cui all’art.7».

3. 3. – Nel caso di specie, appare evidente dalla ricostruzione offerta dalla ricorrente

l’intrusione non autorizzata nel sistema - lungi dall’essere causata da un insufficiente

grado di protezione informatica e dal servizio offerto dall’intermediario - appare ascrivibile

a colpa grave del cliente che ha inserito anche in codice dispositivo OTP ricevuto via SMS

consento la corretta autenticazione dell’operazione.

Questi, per sua stessa ammissione è certamente incappato, per l’appunto, nel “phishing”,

con conseguente utilizzo abusivo delle sue credenziali di accesso, utilizzate per compiere

operazioni non disposte dal titolare dello strumento. Come statuito dal Collegio di

Coordinamento (decisione n. 1820/13), nell’ipotesi del ‘phishing’, “il cliente è vittima di una

colpevole credulità: colpevole in quanto egli è portato a comunicare le proprie credenziali

di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si

rivela quell’atto di ingenuità quanto più si consideri che tali forme di “accalappiamento”

possono dirsi ormai note al pur non espertissimo navigatore di internet”. In considerazione

di tale orientamento – che questo Collegio ritiene di condividere – e delle risultanze agli

atti allegati dalle parti, deve ritenersi che parte ricorrente sia incorsa nella violazione degli

obblighi prescritti dall’art. 7 del D. Lgs. n. 11/2010. Ne consegue che nel comportamento

della ricorrente è ravvisabile la colpa grave che, ai sensi dell’art. 12, commi 3 e 4, del

richiamato decreto, non consente di accogliere la sua richiesta di rimborso della somma

indebitamente sottratta (cfr. Coll Roma, dec. n. 3076/2015; Coll. Milano, dec. n.

8841/2016; Coll. Roma, dec. n. 8487/16, Coll. Napoli, dec. n. 1965/2017).

PER QUESTI MOTIVI

Il Collegio non accoglie il ricorso.