Disconoscimento pagamenti con la carta: la responsabilità della banca – guida rapida

Disconoscimento pagamenti con la carta – guida rapida

• La richiesta del cliente
• Le controdeduzioni
• Gli obblighi delle parti
• La ripartizione delle responsabilità
• La posizione della banca
• Le valutazioni del Collegio
• La sostituzione dei dati di contatto

Un cliente di un istituto di credito, dopo aver inutilmente esperito un duplice reclamo, afferma di essere titolare e unico utilizzatore di un conto corrente acceso presso la parte resistente e di aver ricevuto sul proprio numero di cellulare 4 SMS, con mittente il nome della banca.

Cosa è successo

Senza cliccare su alcun link presente nel corpo dei messaggi, effettuava separato accesso nella propria area riservata dall’applicazione della banca, in cui non veniva segnalata alcuna notifica o irregolarità del conto. Tuttavia, pochi giorni dopo, al momento dell’effettuazione di un pagamento mediante POS con il proprio bancomat, l’esercente comunicava il superamento della soglia di spesa.

Immaginando che si trattasse di un semplice malfunzionamento del dispositivo POS dell’esercente, il cliente nell’immediato non fa alcunché, ma qualche giorno dopo effettua un nuovo accesso presso la propria area riservata tramite app, avvedendosi della presenza di una nuova notifica pervenuta dai servizi finanziari che confermava il rimborso di un buono fruttifero di 4.000 euro.

Non avendo autorizzato l’operazione, il cliente verifica così l’estratto conto apprendendo che erano presenti n. 3 movimenti in uscita per un totale 7.668 euro. Evidenzia dunque il contatto telefonico con il proprio referente presso la filiale di riferimento e di aver sporto denuncia e compilazione del modulo di contestazione.

Su consiglio della banca, il cliente cambia anche le credenziali di accesso, riscontrando in questo caso che l’indirizzo email ed il numero di cellulare associato al proprio profilo non corrispondevano ai suoi dati. Ancora, il cliente eccepisce come nonostante la tempestiva comunicazione al proprio datore di lavoro di mutamento delle coordinate bancarie sulle quali accreditare le somme a titolo di stipendio, lo stesso procedeva comunque alla corresponsione degli emolumenti relativi alla mensilità di dicembre mediante bonifico sull’IBAN associato al conto corrente hackerato.

La richiesta del cliente della banca

Il cliente segnala di non poter modificare i dati “nome utente” e “numero di cellulare” richiesti per la doppia autenticazione, essendo pertanto evidente la manomissione ad opera di terzo. Lamenta anche che la situazione così descritta non si verificava tramite accesso da smartphone, nell’area della banca.

Per il cliente, appare evidente che alcuna responsabilità per la frode gli fosse ascrivibile, essendo sussistente responsabilità della banca, avendo questi l’obbligo di garantire al correntista la sicurezza nelle transazioni e di impedire che soggetti terzi possano intromettersi nelle procedure informatiche e nei sistemi dell’intermediario.

Il cliente domanda dunque il rimborso della somma di 11.668 euro e “la sostituzione dei dati di contatto presenti nell’area […] illecitamente inseriti, e necessari per la doppia autenticazione”.

Leggi anche: Carta di credito, cos’è e come funziona

Le controdeduzioni

Si costituiva con controdeduzioni l’intermediario resistente, dando atto che le verifiche effettuate avevano accertato la legittima esecuzione e sostanziale regolarità delle operazioni contestate, in quanto la parte ricorrente si era correttamente registrata sull’Home Banking del resistente intermediario e si era correttamente autenticata sulla piattaforma dei pagamenti con le proprie credenziali il giorno dell’esecuzione delle operazioni.

Ancora, la banca riferiva come le transazioni fossero state autorizzate con procedura di autenticazione forte, mediante inserimento del codice di sicurezza al ricevimento della notifica in app, in cui veniva riportata la descrizione in dettaglio dell’operazione per la quale era richiesta l’autorizzazione.

Quindi, in virtù di tali modalità la banca concludeva che le operazioni disconosciute avrebbero potuto essere eseguite soltanto dal titolare dello strumento di pagamento, che era in possesso del device su cui era inviata la notifica i app per l’inserimento del codice di sicurezza o, in ultima istanza, da un terzo a cui avrebbero potuto essere stati forniti i codici.

Infine, la banca concludeva affermando di mettere a disposizione dei propri clienti il servizio di SMS Alert, che poteva essere attivato gratuitamente e che offre la possibilità di mantenere sotto controllo i movimenti relativi alla carta.

Gli obblighi delle parti nell’uso dei servizi di pagamento come la carta

Così definita la questione, l’Arbitro Bancario Finanziario condivide come il quadro normativo in materia di servizi di pagamento (PSD) abbia ripartito gli obblighi del prestatore e dell’utilizzatore di tali servizi, da un lato:

• imponendo all’utilizzatore gli obblighi di utilizzare lo strumento di pagamento in conformità con il contratto stipulato con il prestatore
• di comunicare senza indugio al prestatore le operazioni di pagamento non autorizzate di cui sia venuto a conoscenza
• di adottare accorgimenti idonei a garantire la sicurezza e la riservatezza dei dispositivi personalizzati che consentono l’utilizzo dello strumento stesso

e, dall’altro lato:

• imponendo al prestatore l’obbligo di adottare presidi di sicurezza atti ad “assicurare che i dispositivi personalizzati che consentono l’utilizzo di uno strumento di pagamento non siano accessibili a soggetti diversi dall’utilizzatore legittimato ad usare lo strumento medesimo, fatti salvi gli obblighi posti in capo a quest’ultimo”.

La normativa ora citata prevede che se l’utilizzatore nega di aver autorizzato un’operazione di pagamento, grava sull’intermediario provare che l’operazione stessa è stata autenticata, correttamente registrata, contabilizzata, e che durante la sua esecuzione non si siano verificati malfunzionamenti delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

Leggi anche: Responsabilità della banca per truffe con carta di credito

La ripartizione della responsabilità per le truffe sulla carta

Nel caso di mancato assolvimento, in tutto o in parte, di tale onere probatorio gravante sull’intermediario, la disciplina prevede che l’intermediario sopporti la relativa perdita, visto che quest’ultimo si è assunto il rischio d’impresa connesso con l’esercizio dell’attività ed è in grado di ribaltare tale rischio sulla massa degli utenti attraverso la determinazione dei prezzi per la fornitura del servizio.

Quanto precede trova però un limite nel caso in cui l’utilizzatore abbia agito mancando di osservare in modo fraudolento o gravemente colposo i richiamati obblighi di corretto utilizzo e di custodia degli strumenti di pagamento. In questo caso, infatti, è l’utilizzatore che deve sopportare per intero le perdite subite.

Si opta infine per un concorso di colpa tra le parti se da un lato si verifica la presenza di indici di anomalia nell’operatività su home banking e, dall’altro lato, che il comportamento della parte ricorrente abbia colposamente collaborato con il truffatore, ad esempio cliccando su un link truffaldino.

La posizione della banca

Pur a fronte di un quadro normativo in continua evoluzione, in tema di responsabilità della banca in caso di operazioni effettuate a mezzo di strumenti elettronici “è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo”.

Alla luce di tale principio il Collegio di coordinamento ABF richiama il principio secondo cui le banche svolgono attività professionale e devono adempiere tutte le obbligazioni assunte nei confronti dei propri clienti con la diligenza particolarmente qualificata dell’”accorto banchiere”, non solo con riguardo all’attività di esecuzione di contratti bancari in senso stretto, ma pure in relazione a ogni tipo di atto o di operazione oggettivamente esplicate.

Pertanto, la banca è ritenuta responsabile fino a prova contraria dell’approntamento dei mezzi meccanici, dell’idoneità e funzionamento dei relativi servizi, in modo tale che la banca non può liberarsi dal dovere di tenere un comportamento che si attesti sul livello di professionalità dell’”accorto banchiere”.

L’autenticazione delle operazioni secondo la banca

In questo ambito l’intermediario resistente riferisce che le transazioni online sono autenticate tramite codici di sicurezza in app, a seguito di enrollment della app su un nuovo device e configurazione nello stesso del codice. Inoltre, la parte resistente ha specificato che, ai fini dell’abilitazione del codice di sicurezza è necessario in via preventiva installare l’app della banca sul device, associare lo strumento di pagamento (carta di pagamento o conto corrente) e configurare il codice suddetto, attraverso l’inserimento delle credenziali di accesso ai servizi di internet banking (username e password), dei dati statici dello strumento di pagamento utilizzato per effettuare i pagamenti online, della password dinamica “usa e getta” (c.d. “OTP”) inviata via SMS sul numero di cellulare certificato fornito dal cliente e associato allo strumento di pagamento in modo sicuro.

Sulla prova della corretta autenticazione delle operazioni contestate, l’intermediario ha prodotto evidenze sia in ordine all’enrollment del nuovo dispositivo e alla configurazione del codice di sicurezza sul device del frodatore, sia per quanto attiene all’invio degli sms al numero di telefono certificato della parte ricorrente.

A quest’ultimo proposito parte resistente ha allegato documentalmente una schermata che dovrebbe attestare “l’avvenuto enrollment della carta di pagamento […] di titolarità della parte ricorrente al sistema autorizzativo di tipo dinamico funzionante mediante invio con sms della password dinamica sul numero di cellulare altresì indicato dal cliente nel modulo di reclamo”.

Nella ricostruzione della vicenda, il Collegio rileva poi come la parte ricorrente abbia dichiarato di non aver ricevuto alcun SMS OTP e che una volta disconosciute le operazioni si avvedeva che il numero di telefono e l’email collegate al suo conto e certificate dalla banca non erano le sue. Per supportare tale tesi, ha prodotto evidenze documentali che riportano, seppur parzialmente, delle credenziali non riconducibili all’istante.

Le valutazioni del Collegio sugli oneri per l’uso della carta

A margine di quanto sopra, il Collegio ricorda che, ove venga posta in discussione la responsabilità per l’abusiva utilizzazione delle credenziali informatiche del correntista nell’ambito del servizio home banking, lo stesso è onerato unicamente della prova del danno, mentre sarà onere dell’istituto bancario fornire la prova liberatoria consistente nell’aver adottato tutte le misure idonee ad evitare il danno di natura ingannevole.

Ora, tale onere si traduce propriamente nell’adozione di misure preventive di sicurezza il cui fine sia quello di ridurre al minimo la soglia dei rischi dannosi, tra i quali è annoverabile l’accesso non autorizzato al proprio conto.

Nella fattispecie in esame, non è stata però provata tale circostanza, atteso che la parte resistente si è limitata esclusivamente ad esporre la modalità di accesso al servizio, senza fornire specifiche indicazioni relativamente ad eventuali sistemi software di protezione e all’utilizzo dei mezzi di autenticazione dei codici per autorizzare le singole operazioni.

Richiamando poi la motivazione espressa dal Collegio di Bologna (n. 822/2023 ) il Collegio annota che “è onere dell’intermediario provare la corretta autenticazione di un’operazione contestata (articolo 10, comma 1, d.lgs. n. 11/2010): in difetto di tale prova è diritto del cliente ottenere il rimborso dell’operazione disconosciuta a prescindere da sue eventuali negligenze nella custodia degli strumenti di pagamento e delle connesse credenziali (articolo 12 d.lgs. n. 11/2010)”.

Dalle evidenze informatiche prodotte dall’intermediario non risulta la corretta autenticazione del bonifico contestato: non risulta l’accesso alla piattaforma di internet banking mediante corretto inserimento delle credenziali, né l’inserimento del “codice di sicurezza” in risposta a notifica push ricevuta tramite app; non vi è infine evidenza della procedura di enrollment descritta dal resistente, non risultando l’inserimento delle credenziali d’accesso all’internet banking né dell’OTP ricevuto “sul numero di cellulare certificato fornito dal cliente”.

I messaggi inviati dalla banca per l’uso della carta

Dalla denuncia presentata dal cliente emerge poi come riceva4 messaggi dalla banca che lo informavano che il suo conto era temporaneamente sospeso per motivi di sicurezza, invitandolo a cliccare su un link negli stessi riportato. Si precisa che parte ricorrente ha dichiarato di aver ignorato tali messaggi.

Esclusivamente nel ricorso e in una comunicazione indirizzata alla polizia postale il cliente ha poi dichiarato che una volta ricevuti tali messaggi aveva effettuato un accesso all’app per controllare se vi fosse qualche notifica inerente la sospensione del conto riferita con i messaggi e che, non essendo presente alcun avviso in tal senso, non dava peso agli SMS ricevuti. Quindi, ha riferito di essersi accorta della liquidazione del buono per 4.000 euro e delle operazioni solo successivamente, dopo aver provato ad effettuare un pagamento senza successo.

Per altro il Collegio osserva, a comprova della assunta decisione, che il messaggio civetta risulta in una chat intestata all’intermediario resistente e che nel testo dell’SMS non vi sono errori di grammatica o di sintassi: con il che anche tale elemento concorre – unitamente alle considerazioni che precedono – per escludere la colpa della parte ricorrente nella causazione del lamentato danno.

Il Collegio, pertanto, ritiene che parte ricorrente ha diritto al rimborso delle operazioni depauperative disconosciute per un totale di 7.688 euro.

La sostituzione dei dati di contatto

Infine, il Collegio evidenzia come il cliente abbia domandato che venga disposta “la sostituzione dei dati di contatto presenti nell’area […] illecitamente inseriti, e necessari per la doppia autenticazione”.

In tal senso il cliente ha riferito che gli è impossibile procedere alla modifica dei suoi dati, in quanto, essendo ancora registrato il telefono del truffatore, i messaggi OTP per procedere alla variazione del numero certificato arriverebbero al malfattore.

Come da orientamento consolidato, l’ABF non può però emettere pronunce con carattere costitutivo e gli è precluso ordinare all’intermediario un facere infungibile. Può tuttavia accertare la violazione dell’art. 8 del d.lgs. 11/2010 in base al quale

Il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l’obbligo di: assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest’ultimo ai sensi dell’articolo 7 ….

Effettivamente, dai dati in possesso, la prescrizione normativa risultava violata ed il Collegio ha pertanto disposto che oltre al rimborso della somma la banca assicuri la corrispondenza uniforme e correttamente allineata delle credenziali di sicurezza e dei dati personali della parte ricorrente nell’ambito degli strumenti informatici messi a disposizione dall’intermediario resistente, all’uopo correggendo ed emendando eventuali anomalie.