Con la decisione in commento il Collegio di Milano ha affrontato l’attualissimo tema delle c.d. frodi informatiche, escludendo qualsiasi responsabilità in capo alla banca.
In particolare, nel caso di specie, la parte ricorrente ha chiesto che la banca venisse condannata alla restituzione della somma corrispondente all’importo di un’operazione di pagamento asseritamente eseguita a seguito di una azione fraudolenta denominata “vishing”.
Parte ricorrente ha esposto di aver ricevuto una chiamata, che sembrava provenire dal numero verde dell’intermediario, con la quale le veniva comunicato che era in corso un attacco hacker sul suo conto e che andava messo in sicurezza il saldo del conto corrente. Così la stessa, seguendo le indicazioni fornite dall’interlocutore, effettuava le operazioni dispositive, poi, disconosciute.
Il Collegio, ritenuta la regolarità delle disposizioni nonché la colpa grave dell’utilizzatore, ha rigettato il ricorso sulla base della seguente motivazione.
Preliminarmente, il Collegio ha ricordato che “la corretta esecuzione di un’operazione di pagamento è subordinata al consenso del pagatore (art. 5 d. lgs. 11/2010), prestato nella forma e secondo la procedura contrattualmente prevista. Qualora l’utente neghi di aver autorizzato l’operazione o sostenga che questa non sia stata correttamente eseguita, lo stesso può ottenerne il rimborso dell’importo (art. 11 d. lgs. 11/2010), a meno che il prestatore dei servizi di pagamento non riesca a provare che l’operazione contestata sia stata autenticata, correttamente registrata e contabilizzata e che non abbia subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti (art. 10, comma 1, d. lgs. 11/2010)” nonché “che l’uso indebito del dispositivo sia da ricondurre al comportamento, fraudolento, doloso o gravemente colposo dell’utilizzatore rispetto agli obblighi di condotta imposti a quest’ultimo dall’art. 7 d. lgs. 11/2010, trattandosi primariamente di obblighi di custodia del dispositivo e delle chiavi di accesso al servizio.”
La suddetta autenticazione si deve realizzare in forma di autenticazione forte (c.d. strong customer authentication in acronimo SCA), secondo quanto stabilito dagli artt. 97 e 98 della PDS2, dall’art 10-bis del d. lgs. 10/2011 e nelle norme tecniche di regolamentazione emanate dall’EBA e recepite con Regolamento Delegato Ue 2018/389 della Commissione Europea, applicabile a far data dal 14 settembre 2019, nonché nei criteri interpretativi forniti dallo stesso EBA. Questo sia nella fase di accesso al conto/enrollment dell’app/registrazione della carta sul wallet, sia nella fase di esecuzione delle singole operazioni. L’autenticazione, in tutti questi casi, richiede almeno due dei seguenti tre fattori: conoscenza, inerenza e possesso. Detti elementi devono essere reciprocamente indipendenti e appartenere a categorie diverse.”
Sulla base di tali premesse, il Collegio, nello specifico caso oggetto di decisione, ha rigettato il ricorso, in quanto è risultato assolutamente dimostrato, oltre che la colpa grave dell’utilizzatore, che l’operazione contestata era stata autenticata, correttamente registrata e contabilizzata.
In particolare, dai LOG prodotti era emerso che le operazioni disconosciute risultavano autorizzate mediante la validazione del codice OTP generato dal device del ricorrente a seguito della ricezione di una PUSH contenente il messaggio parlante di autorizzazione del bonifico e seguita dalla validazione mediante fingerprint.
Pertanto, nel caso di specie, i bonifici risultavano autorizzati mediante il ricorso a fattori di possesso (la push sul dispositivo del cliente ai fini della generazione dell’OTP) e di inerenza (la conferma tramite dato biometrico).
Da ciò il Collegio è giunto alla conclusione che la prova della SCA si poteva considerare assolta dall’intermediario.
Il Collegio, passando, a questo punto, all’esame della colpa del ricorrente, ha rilevato che quest’ultimo riferisce di avere ricevuto una telefonata dal numero corrispondente al numero verde della banca, “e che il soggetto con il quale interloquiva si qualificava come operatore dell’intermediario; tale soggetto gli avrebbe riferito di un accesso abusivo al conto, e che per bloccare la presunta operatività fraudolenta sarebbe stato necessario comunicare i codici via via ricevuti; afferma, inoltre, di aver acquisito, in seguito, SMS fraudolenti, con i quali sarebbe stato comunicato l’imminente “rimborso” delle operazioni che erano state effettuate (e poi contestate).”
Secondo il Collegio la “ricostruzione del ricorrente, tuttavia, non ha nessun appiglio probatorio, dal momento che non risulta supportata da alcuna evidenza documentale: il ricorrente non produce evidenza né del registro chiamate, né degli SMS che afferma di aver ricevuto.”.
Sulla base di tali motivazioni, il Collegio ha, quindi, respinto il ricorso.
18.03.2025
