Phishing e onere della prova, responsabilità della banca per i log privi di "legenda esplicativa intellegibile"

Il mancato rispetto da parte dell'intermediario delle procedure previste per l'operatività online, rende superflua ogni ulteriore indagine relativa al comportamento delle parti e fa ricadere esclusivamente a carico del prestatore del servizio di pagamento, in questo caso un istituto di credito, la responsabilità per l'operazione fraudolenta posta in essere sul conto corrente on line del cliente.

Questa in estrema sintesi la decisione assunta dall'arbitro bancario e finanziario -ABF- Collegio di Milano, nella seduta del 28 Aprile 2022 .

Il Collegio milanese, come chiarito nella parte introduttiva della decisione, interviene sul tema delle sempre più diffuse frodi online realizzate secondo l'antica e mai dimenticata tecnica del phishing, in questo caso posta in essere mediante le varianti dello spoofing e del vishing.

Lo schema a cui sempre più di frequente si assiste, vede l'utente dei servizi, nella decisione in esame titolare di un conto corrente online, ricevere una telefonata da un operatore qualificatosi come riconducibile all'intermediario, il quale lo porta a conoscenza di tentativo di porre in essere operazioni fraudolente sul conto corrente e gli preannuncia l'invio di un SMS attraverso il quale dovrà procedere al cambio delle password. Effettivamente un SMS per viene ricevuto ed il cliente procede al cambio della password.

Pochi istanti dopo riceve un nuovo SMS, questa volta effettivamente proveniente dalla banca, con cui gli viene comunicata l'esecuzione di un bonifico di euro 14.900,00.
Non serve precisare che il malcapitato cliente non solo non aveva alcuna intenzione di effettuare un bonifico, ma non conosceva il fortunato destinatario delle somme.
Segue l'obbligata trafila di attività in casi simili, rappresentate dal blocco del conto e dalla proposizione di una denuncia-querela.

L'intermediario si trincera dietro alcune argomentazioni in apparenza inattaccabili, tra cui il perfetto funzionamento dei propri sistemi informatici ed il rispetto delle procedure previste, addebitando la colpa dell'accaduto esclusivamente al comportamento del cliente, reo di aver ceduto le credenziali al millantatore telefonico.

Posti questi fatti, la vicenda narrata consente all'estensore della decisione di operare una rapida ma significativa rassegna delle norme applicabili, individuate in diversi articoli del decreto legislativo n.11 del 27 gennaio 2010 nel testo novellato dal decreto legislativo n. 218 del 15 dicembre 2017.

In particolare l'attenzione viene posta sulle modalità di funzionamento della c.d "autenticazione forte", sugli obblighi a carico del prestatore dei servizi di pagamento e sugli obblighi a carico dell'utilizzatore.

La lettura del provvedimento ed il rapido excursus del quadro normativo di cui sopra, rende immediatamente comprensibile – e condivisibile - la decisione del Collegio di Milano, che ravvisa la responsabilità dell'intermediario, incapace di ottemperare al dettato di cui all' art. 10 d. Lgs. n. 11/2010 che al comma 2 , pone a carico del prestatore di servizi di pagamento, compreso se del caso il prestatore di servizi di disposizione di ordine di pagamento, di fornire la prova della frode, del dolo o della colpa grave dell'utente.

Dalla prospettiva dell'intermediario, invece, la colpa grave del cliente risiederebbe nell'aver dato corso all'autenticazione secondo le modalità della Secure Costumer Authentication, in sigla "SCA", così di fatto consentendo l'accesso al conto corrente on line all'autore della telefonata fraudolenta e conseguentemente all'autore dell' SMS truffaldino, o a chi per essi. La narrativa della parte in fatto non consente di comprendere se, come normalmente accade in casi simili, la telefonata ingannatoria sia pervenuta da un numero apparentemente riconducibile a quello dell'intermediario e se l'SMS sia pervenuto da un numero apparentemente riconducibile allo stesso numero attraverso il quale viene ricevuto il codice OTP occorrente per la autenticazione forte.

Dobbiamo però ritenere che non sia un caso che il Collegio abbia sorvolato su questi aspetti, che concorrono a determinare la ingenua risposta dei clienti a telefonate ed sms , rendendo così perfetta la trappola informatica, poiché l'attenzione è focalizzata, esattamente come prevede la legge, sulla verifica del rispetto delle procedure da parte dell'intermediario.

Già nella parte "In diritto" del provvedimento, il Collegio Abf pone l'accento sul "regime di speciale protezione e di altrettanto speciale favor probatorio a favore degli utenti", già in vigore con la precedente versione del decreto legislativo n. 11/2010 ed in relazione al quale si erano riscontrate diverse decisioni ACF, che vengono richiamate.

Ciò che rileva, secondo il Collegio di Milano, e che l'intermediario abbia soddisfatto i requisiti previsti dall'art. 10 già richiamato.
È stata pertanto ritenuta soddisfacente la prova fornita alla installazione del token sul nuovo device.

L'intermediario invece non ha fornito la prova sia relativamente alle modalità di accesso al sito per la operatività on line sul conto corrente del cliente, sia per l'autenticazione del bonifico disconosciuto.
Mancherebbe nel caso in esame, e su questo il Collegio fonda la propria decisione di condanna, la prova del fattore di autenticazione in concreto utilizzato.

L'intermediario infatti nelle proprie difese ha dichiarato che i fattori di autenticazione adottati consistono in un codice statico (Pin) e in uno smart code, che può essere rappresentato o da un codice OTP ricevuto per SMS oppure da un codice biometrico richiesto dal device per mezzo del quale viene autenticata l'operazione. Quanto sopra al fine di ottemperare a due dei tre fattori richiesti per l'autenticazione forte dall'art. 1 c. 1 q-bis del d. Lgs. n. 11/2010 e che devono essere classificati nelle categorie della conoscenza o del possesso o dell'inerenza.

In particolare l'attenzione del Collegio decidente si focalizza sui log forniti dalla banca che, privi come sono di una "legenda esplicativa intellegibile", di fatto non consentono in concreto l'individuazione del fattore di autenticazione concretamente utilizzato per l'acceso al sito e per l'esecuzione del bonifico.

La decisione in esame, in punto di diritto applica correttamente, a sommesso avviso di chi scrive, la normativa settoriale che, più che essere caratterizzata da "favor probatorio" per gli utenti, come scrive il Collegio, prende atto pragmaticamente di un ineludibile onere probatorio del prestatore del servizio di pagamento, in questo caso, posto che è esso stesso a gestire e processare tutte le fasi della transazione, di fatto subìte dall'utente.

_____

*A cura dell'Avv. Massimo Melpignano, Studio Legale Melpignano