29.06.2022 Icon

Il social hacking e la responsabilità dell’intermediario

Con la pronuncia in commento il Collegio dell’ABF di Bologna è ritornato a parlare del fenomeno del Social Hacking, ovvero il caso in cui un terzo impartisce telefonicamente istruzioni manipolative al titolare della carta o del conto corrente, lasciando che sia quest’ultimo a disporre e autenticare le singole operazioni.

Nel caso di specie, il ricorrente adiva il Collegio di Bologna adducendo che a seguito del ricevimento di un SMS, e dopo aver cliccato il link presente nel messaggio, si apriva un’interfaccia del tutto simile a quella della Banca; eseguiva, quindi, l’accesso alla piattaforma, con l’inserimento dell’username e della password.

Successivamente il correntista rappresentava di essere stato contattato telefonicamente da un presunto operatore – che si qualificava come facente capo all’intermediario – che gli comunicava di aver notato alcuni movimenti sospetti sul conto corrente.

Il finto operatore pertanto invitava, quindi, il ricorrente a recarsi presso il più vicino ATM, al fine di prelevare una parte del denaro giacente sul suo conto corrente e versarlo sotto forma di ricarica in una carta prepagata che sarebbe stata contestualmente attivata a nome dello stesso e resa disponibile per il ritiro il giorno successivo in una filiale della banca, posto che la carta che attualmente aveva in uso sarebbe stata oggetto di blocco.

L’indomani il correntista, resosi conto che la carta di pagamento originaria era ancora funzionante, che presso la filiale di riferimento non vi era alcuna nuova carta e che la somma trasferita il giorno precedente non era più disponibile nel conto, contattava il servizio clienti del proprio intermediario.

Quest’ultimo non poteva che constatare come il ricorrente fosse stato vittima di frode; la carta veniva immediatamente bloccata.

Il ricorrente si rivolgeva, pertanto, all’Arbitro chiedendo che l’intermediario provvedesse alla restituzione della somma corrispondente all’importo delle operazioni che nel frattempo aveva disconosciuto.

L’intermediario, costituendosi nel procedimento, eccepiva la totale assenza di responsabilità in capo allo stesso e confermava la legittima esecuzione delle operazioni.

Infatti, le ricariche risultavano essere state eseguite in assenza di anomalie, previa corretta

lettura del microchip della carta e autorizzazione del titolare tramite digitazione del codice PIN.

Il Collegio sulla base di quanto evidenziato respingeva il ricorso.

Infatti, il decidente ha inquadrato la fattispecie in questione come social hacking, ovverosia il caso in cui un terzo soggetto impartisce telefonicamente istruzioni manipolative al titolare della carta, lasciando che sia quest’ultimo a disporre e autenticare i singoli pagamenti.

Tale fenomeno si distingue dalla più comune ipotesi di c.d. vishing, ovvero l’ipotesti secondo la quale è il truffatore che provvede a disporre e ad autenticare le operazioni sulla base dei codici di accesso carpiti con l’inganno all’interlocutore telefonico.

La decisione del Collegio fonda le proprie motivazioni sul fatto che seppur il raggiro sia stato perpetrato da un terzo, l’operazione risultava essere stata autorizzata dal correntista, con l’ovvia conseguenza che la stessa non sia riconducibile a quella delle operazioni non autorizzate, ex art. 10 d.lgs. 11/2010, dovendo, piuttosto, essere inquadrata nel novero delle operazioni autorizzate dall’utilizzatore (ex art. 5).

Infatti, il Collegio ha ritenuto che affinché un’operazione possa qualificarsi come non autorizzata “deve difettare del requisito del “consenso del pagatore” di cui all’art. 5 del medesimo decreto (“il consenso del pagatore è un elemento necessario per la corretta esecuzione di un’operazione di pagamento. In assenza del consenso, un’operazione di pagamento non può considerarsi autorizzata”). Tale consenso, in simili fattispecie, appare invece sussistente, in quanto è lo stesso utente ad autorizzare l’operazione, sia pur indotto a ciò da terzi mediante raggiro. 

Inoltre, il decidente ha ritenuto che “non vi siano motivi, nel caso de quo, per discostarsi da quanto già affermato nella decisione n. 21455 del 13.10.2021, secondo cui, “per quanto il cliente sia stato influenzato dal raggiro subìto dal terzo ignoto, l’intermediario non poteva che considerare autorizzato il pagamento effettuato personalmente dal titolare dello strumento di pagamento, non avendo alcuna possibilità di accorgersi della truffa perpetrata ai danni del cliente. Non potendosi configurare come non autorizzata l’operazione compiuta personalmente dalla parte ricorrente, a cui si attribuisce una colpa grave nell’utilizzo inappropriato del mezzo di pagamento, in linea anche con le recenti linee di indirizzo del Collegio di coordinamento (decisione n. 22745/2019), il Collegio, in continuità con il proprio orientamento (cfr. le decisioni ABF, Collegio di Bologna, nn. 25959/2019 e 25344/2019, nonché Collegio di Milano, nn. 20485/2019 e 21251/2019 e Collegio di Roma, nn. 9783/2021 e 14427/2021) conclude che non sussistono i presupposti previsti dalla normativa per un rimborso della somma a favore della medesima” (v. da ultimo, nello stesso senso, Coll. Bologna, decisione n. 1294 del 20.01.2022).”

ABF, Collegio di Bologna, 04 maggio 2022, n. 7052

Michele Mainetti – m.mainetti@lascalaw.com

© RIPRODUZIONE RISERVATA