Comunione legale, finché pignoramento non ci separi

Phishing attack: il peso dell’onere della prova

Con una recente decisione l’Arbitro Bancario Finanziario, Collegio di Bologna (di seguito solo “ABF”), si è conformato al principio formulato dal Collegio di Coordinamento circa l’onere della prova, gravante sul prestatore del servizio di pagamento (di seguito solo “PSP”), della negligenza riposta dall’utente nell’utilizzo dei sistemi di pagamento in caso di lamentata mancata autorizzazione di un’operazione.

L’art. 10, comma 2, del D. Lgs n. 11/2010 in tema di strumenti di pagamento (come modificato dal D. Lgs n. 218/2017), prevede che “quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita”, l’utilizzo di uno strumento di pagamento registrato dal PSP non è di per sé sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7, D. Lgs. n. 11/2010.

Ai sensi degli articoli 10 e 12 del citato decreto, ricade sull’intermediario PSP l’onere di provare l’inadempimento doloso o gravemente colposo dell’utente, con l’importante precisazione per cui tale prova non può essere ricavata dall’apparente regolare utilizzo degli strumenti di pagamento e dalla circostanza per cui le operazioni sono state eseguite mediante il corretto inserimento delle credenziali di accesso.

L’utente può, infatti, disconoscere un’operazione anche quando il processo di pagamento si è svolto in modo formalmente regolare come accade, per esempio, nel caso in cui l’inserimento delle credenziali, seppur corretto, sia stato effettuato da un soggetto terzo, non legittimato all’accesso.

Alla luce di ciò l’onere probatorio gravante sul PSP deve essere assolto avendo riguardo a due fondamentali profili tra loro complementari: la corretta autenticazione ed esecuzione delle operazioni di pagamento e la sussistenza di colpa grave dell’utilizzatore.

Così si era espresso il Collegio di Coordinamento con la decisione n. 22745 del 10 ottobre 2019, richiamata dall’ABF nel caso de quo, ove si è affermato che, al fine di soddisfare l’onere della prova di cui all’art. 10, comma 2, D. Lgs. n.11/2010, è necessario che il PSP “provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.

Il fatto storico da cui origina la decisione in commento vede il ricorrente Tizio, titolare di un conto corrente acceso presso l’intermediario resistente, lamentare l’illegittima sottrazione della somma di € 2.000,00 avvenuta a seguito di un phishing attack. Quest’ultimo consiste in una frode attuata mediante induzione del titolare dello strumento di pagamento a fornire dati o informazioni personali, come le credenziali per accedere ai servizi bancari online, adducendo falsamente l’esistenza di tentativi di accesso abusivo o più, in generale, l’opportunità di verificare o implementare caratteristiche di sicurezza.

Nel caso concreto il phishing è stato attuato tramite la chiamata vocale (c.d. vishing) di un sedicente operatore del nucleo antifrode dell’intermediario che ha indotto l’utente a comunicare le proprie credenziali personalizzate.

L’utente ha, quindi, presentato ricorso all’ABF al fine di ottenere il rimborso della somma fraudolentemente sottratta.

L’ABF ha respinto il ricorso, accogliendo la ricostruzione dei fatti fornita dall’intermediario resistente, il quale ha dato prova, da un lato, il proprio corretto agere e, dall’altro, della colpa grave in cui è incorso l’utente nell’utilizzo dello strumento di pagamento offertogli.

Il PSP resistente, ritualmente costituito, ha addotto il corretto assolvimento agli obblighi sullo stesso gravanti ai sensi dell’art. 8, D.lgs. n. 11/2010, primo tra tutti quello di cui alla lettera a), consistente nell’assicurare “che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento”. L’intermediario PSP ha provato di aver predisposto e fornito all’utente un sistema di autenticazione forte, caratterizzato dalla presenza di almeno due fattori di autenticazione. Detto sistema prevedeva, ai fini dell’accesso, l’inserimento simultaneo del codice titolare (password statica), del codice PIN (password statica) e del codice OTP O-Key (password dinamica) e, ai fini dell’autorizzazione dei pagamenti, l’inserimento di un ulteriore codice dinamico OTP.

L’intermediario ha, inoltre, addotto e provato di aver più volte informato l’utente dell’inserimento nel proprio internet banking di varie operazioni attraverso l’invio di SMS c.d. allert, sempre ignorati dall’utente, e, più in generale, di aver fornito sul proprio sito, in un’apposita sezione “sicurezza”, una precisa informativa atta a mettere in guardia i propri clienti dalle e-mail, sms e telefonate sospette, nonché dai link che prevedono l’inserimento di password.

Alla luce della ricostruzione dei fatti operata dalle parti e delle evidenze probatorie dalle stesse fornite, considerato il carattere “non particolarmente sofisticato” della truffa ed il comportamento colpevole dell’utente che ha ignorato i numerosi allert dell’intermediario, l’ABF ha respinto il ricorso.

ABF, 24 settembre 202, n. 20482

Giulia Serrag.serra@lascalaw.com

© RIPRODUZIONE RISERVATA

Print Friendly, PDF & Email

Condividi su

Potrebbe interessarti anche
Il gioco delle parti nella verifica dei crediti

Con una recente decisione, il Collegio di Bologna ha affrontato la questione della richiesta di res...

ABF

Comunione legale, finché pignoramento non ci separi

Con una recentissima pronuncia, l’ABF ha rigettato la domanda del ricorrente volta ad ottenere, s...

ABF

Arriva in Gazzetta Ufficiale la Direttiva (UE) sul whistleblowing

Il Collegio di Roma è stato chiamato a risolvere una controversia vertente su una richiesta di rim...

ABF

X