16.03.2022 Icon

Le misure di sicurezza predisposte dall’intermediario nel servizio di home banking

Il Collegio territoriale di Bologna si è pronunciato sul ricorso promosso da una Società, titolare di un conto presso l’intermediario resistente, la quale nel 2017 aveva rilevato, in sede di un controllo routinario, che sul medesimo conto erano stati posti in essere, rispettivamente nelle date del 14/07/2017 e del 18/07/2017, due bonifici in favore di soggetti sconosciuti e aveva segnalato immediatamente l’accaduto all’intermediario, chiedendo inoltre il blocco del servizio.

La Società ricorrente, a seguito di infruttuoso reclamo presentato alla Banca il 24/05/2021, ha agito dinnanzi al Collegio arbitrale, in data 15/07/2021, al fine di ottenere il riaccredito delle somme oggetto dei due bonifici, a detta della stessa, illegittimamente disposti.

La ricorrente aveva, infatti, la possibilità di accedere al servizio home banking tramite User-Id numerico e una password personalizzata al primo accesso e aveva ricevuto dalla Banca, all’apertura del rapporto di internet banking, un dispositivo ad hoc (c.d. token), il quale, ogni volta che veniva effettuata un’operazione a debito, generava un codice monouso (c.d. password randomiche OTP) della durata di circa 35 secondi, utilizzato ai fini della validazione e conseguente buon esito dell’operazione.

L’intermediario convenuto, dopo aver preliminarmente rilevato come fossero trascorsi quattro anni dalla vicenda oggetto del ricorso, ha osservato che il parere del perito reso in data 29/12/2017 aveva evidenziato, a suo tempo, come l’episodio fraudolento avesse avuto origine presso la stessa postazione della Società ricorrente e dunque non avrebbe riguardato i sistemi della Banca.

Inoltre, le operazioni disconosciute erano state effettuate da un soggetto che si era autenticato come legittimo titolare del rapporto di internet banking, posto che aveva inserito correttamente tutti i riconoscimenti informatici richiesti e ha concluso che delle due l’una: o il ricorrente non aveva custodito diligentemente le proprie credenziali di accesso né tantomeno il c.d. token, dei quali era entrato eventualmente in possesso un soggetto terzo oppure si era verificata una violazione del PC dello stesso ricorrente, non fornito di adeguato antivirus, da parte di soggetti terzi che avevano carpito password di accesso e dell’internet banking.

Per di più, la Banca ha evidenziato la presa visione obbligatoria da parte della ricorrente relativa all’attivazione dell’SMS Alert e l’evidenza della mancata attivazione dello stesso, nonostante fosse stato messo a disposizione gratuitamente dal prestatore dei servizi di pagamento.

L’intermediario ha richiesto dunque il respingimento del ricorso vista l’assoluta inconsistenza degli addebiti mossi e per essere stato il danno esclusivamente una conseguenza della colpa grave della ricorrente. 

Il Collegio ha respinto il ricorso, in virtù della circostanza che l’intermediario avesse offerto la prova dell’autenticazione delle transazioni disconosciute, che il sistema di pagamento risultasse conforme agli standard tecnologici e che non risultassero indici di anomalia delle operazioni.

Nel caso di specie si pongono dunque a confronto, da un lato, i requisiti di cautela posti a carico dell’intermediario e, dall’altro, gli obblighi di diligenza nella custodia dei codici da parte del cliente, con specifico richiamo alla normativa del settore.

Il nucleo centrale della decisione consiste nell’adeguatezza o meno delle misure di sicurezza predisposte dall’intermediario bancario riguardo al servizio di home banking, posto che le illegittime disposizioni di bonifico restano a carico della Banca – per non avere impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso – salvo la stessa non dimostri che l’evento di danno non le è imputabile perché derivante da trascuratezza, errore (o frode) dell’interessato o da forza maggiore.

L’onere di provare la genuinità della transazione ricade, dunque, essenzialmente sul prestatore del servizio, onere, pur sempre bilanciato ove si considerino anche gli obblighi posti a carico del cliente, che sopporta le perdite se (oltre al caso di dolo) la truffa è avvenuta a causa di una sua negligenza nella custodia e nell’utilizzo dello strumento.

A tal proposito dalla narrativa del fatto, emerge come, all’epoca delle operazioni, l’autenticazione di accesso all’home banking fosse a doppio fattore ma statica, c.d. protezione debole (username e password) priva, dunque, di apparati elettronici capaci di generare la c.d. password usa e getta; diversamente, quella dispositiva era gestita attraverso un OTP randomico generato dal token.

Tale situazione non solo era in linea con le prassi di sicurezza operanti sul mercato all’epoca dei fatti, ma altresì resa corretta dalla normativa allora vigente.

All’esito della vicenda in esame, l’Arbitro ha rilevato come il cliente non avesse fornito alcuna prova, nemmeno indiziaria, dell’esistenza della frode che asseriva di aver subito, meglio conosciuta come man in the browser.

Tale fenomeno consiste in una tecnica particolarmente evoluta ed insidiosa mediante la quale viene inserito nell’ambiente informatico originale un contesto che a chiunque apparirebbe come genuino, – di solito il cliente è erroneamente convinto di operare sul sistema del fornitore del servizio, simulato ad arte – e una volta ottenuti detti codici il terzo riesce ad accedere abusivamente al conto corrente del legittimo titolare.

Il Collegio arbitrale, coglie infine l’occasione di precisare come il servizio di SMS Alert, che nel caso di specie non era stato attivato dal cliente, sia funzionale ad impedire l’aggravarsi degli atti fraudolenti laddove essi si conseguano in un arco temporale troppo ristretto per essere controllato con le usuali verifiche; nel caso che ci occupa, ad ogni modo, le operazioni contestate si erano intervallate da quattro giorni, un tempo sufficiente affinché la Società potesse agevolmente controllare il proprio conto anche senza giovarsi dell’Sms Alert.

All’esito della vicenda in esame, sulla base di tutte le superiori argomentazioni, il Collegio Arbitrale non ha accolto il ricorso proposto dalla Società, posto che ha rilevato la negligente custodia da parte della stessa dei codici segreti nonché la documentazione da parte dell’intermediario di ambedue le operazioni, senza che si potessero trarre elementi di dubbio o anomalie d’esecuzione.

ABF, Collegio di Bologna, 24 gennaio 2022, n. 1501

Chiara Ciotti – c.ciotti@lascalaw.com

© RIPRODUZIONE RISERVATA