Nel caso in oggetto, il ricorrente asseriva di aver dato seguito alle indicazioni oggetto di un SMS il cui mittente era apparentemente riconducibile all'intermediario.
Il ricorrente affermava di aver subito una truffa informatica a causa della quale erano stati sottratti 500euro dalla sua carta prepagata. Nello specifico, egli sostiene di aver dato seguito alle indicazioni di un SMS e, convinto di essere stato effettivamente contattato dall'intermediario, di aver ceduto le credenziali ai fini dell'accesso al proprio...
Svolgimento del processo
Il ricorrente riferisce di aver subito, a seguito di una truffa informatica, la sottrazione della somma complessiva di € 500,00 dalla propria carta prepagata.
In particolare dichiara di aver dato seguito alle indicazioni contenute in un SMS e, nella convinzione di essere stato effettivamente contattato dall’intermediario, di aver ceduto le credenziali per l’accesso al proprio conto corrente.
Dopo aver richiamato la normativa applicabile in materia di strumenti di pagamento, rappresenta che nell’ipotesi di disconoscimento delle operazioni non autorizzate grava sul PSP l’onere di dimostrare che le medesime siano state correttamente autenticate; cita inoltre l’orientamento dell’Arbitro, secondo cui solo la procedura di autenticazione forte è idonea a garantire la sicurezza delle transazioni di pagamento e a tutelare la riservatezza dei dati dell’utente (ex multis Collegio di Palermo, decisione n. 18876/21 e Collegio di Milano, decisione n. 20634/21).
Specifica che gli importi da ritenere disconosciuti sono quelli a partire “dalla data del 1° dicembre 2020 all’11 dicembre 2020”; evidenzia altresì che, come emerge dalla lista movimenti, l’intermediario ha provveduto proprio l’11 dicembre al riaddebito della somma di € 2.093,44, eccependo l’asserita legittimità delle transazioni disconosciute.
Ritiene che tali incongruenze siano la conseguenza anche del mancato coordinamento degli operatori dell’intermediario, i quali potrebbero essere considerati colposamente corresponsabili della perpetrazione di un illecito civile ex artt. 2043 c.c. e 2049 c.c.
Chiede dunque la restituzione dell’importo di € 500,00, quale “somma effettiva contenuta nella carta di credito, prima di tale increscioso evento”; inoltre, in caso di accoglimento del ricorso, domanda il riconoscimento degli interessi moratori maturati dalla data del furto del credito, quantificati in € 47,67 per “il mancato utilizzo attivo della scheda”, oltre alla restituzione del contributo di € 20,00.
Costituitosi, l’intermediario eccepisce anzitutto che lo stesso ricorrente ha dichiarato di aver ricevuto sulla propria utenza telefonica un SMS (di cui non allega alcuna evidenza) e altri messaggi contenenti codici OTP; ha poi riferito di essere stato informato del blocco della carta dall’assistenza clienti e di essersi avveduto, consultando la lista movimenti, che erano state eseguite operazioni di ricarica verso la carta di propria titolarità e transazioni di pagamento in favore di terzi.
Precisa che l’oggetto della presente controversia concerne, oltre “all’approfondimento di quanto contestato”, la restituzione della somma presente sulla carta in questione alla data precedente il primo movimento anomalo, ovvero al 30/11/2020.
Ciò posto, afferma che le evidenze informatiche a disposizione attestano la regolare autorizzazione al primo tentativo delle transazioni disconosciute, le quali non sono state precedute da richieste negate (ad esempio, per errata digitazione delle credenziali della carta); tale circostanza ha consentito al frodatore di assumere un comportamento analogo a quello dell’utente in buona fede e ha evitato l’attivazione dei presidi di monitoraggio preposti.
Rappresenta che le transazioni disconosciute hanno comportato l’impiego del cosiddetto “3DS”, sistema di autenticazione a due fattori che rappresenta tuttora la tecnologia più avanzata ed affidabile nell’ambito dei pagamenti online; al riguardo allega la schermata relativa alla registrazione della carta intestata alla controparte al suddetto protocollo di sicurezza.
Evidenzia che la rettifica riscontrata sulla carta risulta riconducibile ad un’operazione di recupero delle somme derivante dal disconoscimento, da parte di un terzo, di una ricarica ricorrente in favore della carta di titolarità del cliente.
Ritiene che la frode in esame sia riconducibile al cd. phishing di tipo “classico”, nei termini di cui alla decisione n. 3498/12 del Collegio di Coordinamento; riporta poi alcuni screenshot della campagna informativa attuata a tutela della clientela, precisando che la compromissione dello strumento finanziario è imputabile esclusivamente al contegno gravemente colposo tenuto dalla controparte.
Chiede quindi il rigetto del ricorso.
In sede di repliche il ricorrente ribadisce di aver prontamente comunicato di aver ricevuto messaggi contenenti codici OTP e di aver contattato senza indugio il numero verde dell’intermediario, così apprendendo dell’avvenuto blocco della carta.
Rappresenta che, diversamente da quanto sostenuto dalla convenuta, la frode in esame è riconducibile al cd. SMS spoofing, avendo ricevuto il messaggio da un mittente apparentemente riconducibile alla resistente.
Evidenzia che, in ogni caso, il sistema di autenticazione e di protezione adottato dall’intermediario non risulta conforme allo Strong Customer Authentication atteso che, dalla documentazione allegata alle controdeduzioni, sembra emergere la digitazione del PAN della carta ai fini dell’esecuzione delle operazioni disconosciute (sull’assenza di conformità alla SCA del sistema 3DSecure, cita e allega la decisione n. 156/22 del Collegio di Roma).
Ritiene dunque di aver diritto, in via principale, al rimborso della somma indebitamente sottratta, pari a € 500,00. Afferma altresì di poter avanzare, in via subordinata, una richiesta di rimborso di € 2.093,14, quale saldo effettivo della carta prima della rettifica in addebito operata dall’intermediario; al riguardo, precisa che non intende integrare il “quantum debeatur”, bensì esclusivamente mettere in luce “la manifesta scorrettezza della convenuta”.
Motivi della decisione
La controversia sottoposta alla cognizione dell'Arbitro concerne il disconoscimento di una serie di operazioni di pagamento on line disposte sul conto corrente del ricorrente.
Le operazioni contestate sono state eseguite sotto il vigore del d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), entrato in vigore il 13/01/2018.
In sede di denuncia, il ricorrente dichiarava di aver riscontrato, nel pomeriggio del 05/12/2020, l’impossibilità di accedere all’app dell’intermediario per la consultazione della lista dei movimenti e del saldo contabile della propria carta prepagata. Nel corso dell’interlocuzione telefonica con l’assistenza clienti, apprendeva che lo strumento di pagamento era stato bloccato a seguito di movimentazioni anomale, eseguite dal 01/12/2020 al 04/12/2020. Ipotizzava così la clonazione dell’app in quanto, in precedenza, riceveva sulla propria utenza telefonica i messaggi di conferma delle operazioni effettuate mediante l’utilizzo della carta.
Nel modulo di disconoscimento, il ricorrente precisava altresì che la frode sarebbe scaturita da un SMS contenente un link, al quale avrebbe fatto seguito “un susseguirsi di codici OTP”.
Nel ricorso ha ribadito tale circostanza, affermando di aver dato seguito alle indicazioni contenute nel citato SMS e di aver ceduto le credenziali per l’accesso al proprio conto corrente. In sede di repliche ha altresì evidenziato che il messaggio in questione è stato inviato da un mittente apparentemente riconducibile alla resistente. Non è però in atti lo screenshot della schermata del cellulare, da cui possano evincersi la provenienza del messaggio civetta e il relativo contenuto.
Nel dettaglio, dalla lista movimenti allegata al ricorso e dalla documentazione contabile riportata dall’intermediario nelle controdeduzioni, emerge che le operazioni addebitate sulla carta del ricorrente sono quattro pagamenti online di € 555,50, € 194,70, € 1.857,89 ed € 728,55, eseguiti in data 01/12/2020 e un quinto pagamento online di € 1.547,95 eseguito in data 02/12/2020.
Prima dell’esecuzione delle suddette operazioni, il frodatore ha effettuato quattro ricariche automatiche di € 2.100,00, € 700,00, € 1.620,00 ed € 2.000,00 in favore del ricorrente, a valere sulla carta prepagata di un soggetto terzo. A seguito dell’apertura, da parte di quest’ultimo, della pratica di disconoscimento è stata addebitata la somma complessiva di € 2.093,14 sullo strumento di pagamento di titolarità del ricorrente, operazione che ha determinato l’azzeramento del saldo disponibile della carta.
Oggetto della presente controversia è dunque la richiesta di restituzione della somma giacente sulla carta prepagata prima dell’esecuzione dell’intera operatività fraudolenta (le ricariche in accredito e i pagamenti online in addebito); tale importo risultava pari a € 557,73, come emerge dalla lista movimenti e dalla inquiry allegata dall’intermediario. Il ricorrente ha chiesto, invece, il rimborso del minore importo di € 500,00.
Quanto alle modalità di autenticazione delle operazioni disconosciute, l’intermediario eccepisce che le transazioni in questione - eseguite correttamente al primo tentativo, senza essere state precedute da richieste negate (cfr. schermate riportate nelle controdeduzioni) - sono state autorizzate attraverso il sistema “3DS”, ossia attraverso un “sistema di autenticazione a due fattori”.
Al riguardo, produce una schermata che attesterebbe l’avvenuto enrollment della carta intestata alla controparte al protocollo di sicurezza 3DS; si rileva che il numero di cellulare associato al servizio risulta differente da quello indicato nel modulo di ricorso, nel reclamo e nella denuncia (cfr. evidenza informatica riportata nelle controdeduzioni e documentazione allegata al ricorso).
L’intermediario però non specifica quali siano i fattori di autenticazione richiesti nel sistema “3DS”; ove pure si volesse ritenere quale primo elemento di autenticazione la OTP inviata via sms, l’intermediario non fornisce indicazioni in merito all’adozione di ulteriori fattori di autenticazione conformi alla SCA.
Dalle ulteriori evidenze informatiche allegate, si evince altresì l’avvenuta digitazione manuale del PAN della carta ai fini dell’esecuzione delle operazioni contestate, il quale peraltro non può costituire un elemento affidabile di cui l’utilizzatore abbia il possesso o la conoscenza. Ciò posto, il Collegio osserva che il sistema di sicurezza predisposto dall’intermediario non richiede una autenticazione forte, prevedendo, accanto all’inserimento dell’OTP, quello dei dati statici della carta. Secondo le Opinion dell’EBA del 21.06.2019, mentre l’OTP ricevuta tramite sms ovvero prodotta da token integra un elemento di possesso, i dati identificativi della carta e il codice di sicurezza stampati sulla stessa non costituiscono un elemento affidabile di cui l’utilizzatore ha il possesso o la conoscenza, non assicurando pertanto il loro utilizzo l’autenticazione forte prevista dal d.gs. n. 11 del 2010 (ex multis Coll. di Bari, dec. n. 5363/2022). La mancanza della prova dell’autenticazione da parte dell’intermediario è risolutiva e dirimente rispetto alla valutazione di eventuali profili di colpa ascrivibili al cliente. La prova di autenticazione rappresenta, infatti, in aderenza al dato normativo, un prius logico rispetto alla prova della colpa grave dell’utente (cfr. Coll. di Torino, dec. n. 3961/2022).
Il Collegio reputa, pertanto, che la richiesta di rimborso dell'importo delle operazioni contestate meriti di essere integralmente accolta nei limiti della domanda di € 500,00 formulata dal ricorrente.
Inammissibile è invece la domanda di restituzione anche degli interessi moratori “per il mancato utilizzo attivo della scheda”, maturati dalla data del furto del credito e quantificati in € 47,67, essendo tale richiesta stata avanzata per la prima volta nel ricorso e non nel reclamo.
P.Q.M.
Il Collegio, in parziale accoglimento del ricorso, dispone che l’intermediario corrisponda al ricorrente la somma di € 500,00.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario corrisponda alla Banca d’Italia la somma di € 200,00 quale contributo alle spese della procedura e al ricorrente la somma di € 20,00 quale rimborso della somma versata alla presentazione del ricorso.