Con la decisione in commento, il Collegio di Milano, conferma l’orientamento per cui, nei casi di spoofing, è ravvisabile la colpa grave del cliente in presenza di indici di inattendibilità o anomalia del messaggio, come, ad esempio, errori grammaticali o link sospetti.
Nel caso in esame, parte ricorrente denunciava di aver ricevuto un SMS da un numero che affermava essere riconducibile all’intermediario e con il quale le era stato segnalato un tentativo di accesso dall’estero all’App della Banca. Per poter bloccare tale accesso, veniva invitata a cliccare su un link, contenuto nel messaggio.
La vittima, dopo aver seguito le indicazioni, riceveva quindi una chiamata da un numero apparentemente riconducibile a quello dell’assistenza clienti della Banca e, nel corso della telefonata, un presunto operatore la induceva a confermare le ultime cifre e la data di scadenza delle carte di pagamento.
Dopo aver fornito i dati, la comunicazione si interrompeva e la cliente, tentando di ricontattare la banca, veniva edotta di essere stata vittima di una truffa.
Con il proprio ricorso all’Arbitro Bancario, la ricorrente contestava la decisione della Banca di non rimborsare la somma, affermando di essere stata vittima di un caso di spoofing.
La normativa di riferimento per il caso di specie è il d.lgs 11/2010 che, all’art. 10, prevede un particolare regime di ripartizione dell’onere probatorio.
Invero, all’intermediario spetta l’onere di provare “[…] che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”, ma deve anche produrre “[…] la prova della frode, del dolo o della colpa grave dell’utente”.
In relazione alla fattispecie di sms spoofing, truffa particolarmente insidiosa consistente
nell’invio di sms dall’utenza dell’intermediario, i Collegi sono unanimi nel ritenere che non
sia generalmente ravvisabile la colpa grave del cliente, a meno che non si rinvengano
degli indici di inattendibilità (quali, ad esempio, errori grammaticali o sintattici) o anomalia
del messaggio (quali, ad esempio, l’invito a selezionare un link in nessun modo riferibile
all’intermediario); in tale caso, potrà essere ravvisato un concorso di colpa tra le parti in
relazione, da un lato, alla negligenza grave dell’utente che agevola il compimento della
truffa, similmente a quanto avviene negli episodi di phishing e, dall’altro lato, alle criticità
organizzative del servizio di pagamento offerto dall’intermediario.
Elementi chiave quali sintassi, lingua, grammatica e link inseriti, sono fondamentali per ricostruire una responsabilità della vittima, in quanto ignorare degli errori o delle insidie palesi, vìola quella che è considerata un’adeguata diligenza, richiesta al cliente dall’intermediario, nella conservazione delle credenziali.
Nel caso di specie, in particolare, è stato accertato che nel messaggio ricevuto dalla ricorrente, era presente un link non riferibile all’intermediario contenente diversi errori di sintassi e di lessico, tali da dover indurre nella cliente un fondato sospetto riguardo alla genuinità delle indicazioni ricevute.
Alla luce di tali motivi il collegio di Milano non ha accolto il ricorso, ritenendo provata, da parte dell’intermediario, una responsabilità grave della vittima.