Il ricorrente, titolare di una carta di pagamento, riferisce di aver ricevuto, un sms inserito nella “chat” ufficiale dell’intermediario, che, segnalando un accesso anomalo, lo invitava a cliccare un link, cosa che faceva, venendo reindirizzato su sito riconducibile alla parte convenuta, dove veniva avvisato che sarebbe stato contattato da un operatore.
In effetti, veniva effettivamente contattato da un falso addetto, che gli suggeriva di accedere al proprio conto tramite la App installata sul cellulare e di controllare se attraverso notifica push risultava segnalato un pagamento in uscita a favore di un sito straniero. Sussistendo una richiesta di autorizzazione, afferma di aver cliccato sull’opzione “non autorizza” e di aver ricevuto un sms dalla banca che l’informava del blocco dell’operatività sul conto.
Telefonando al numero verde, apprendeva di essere stato vittima di una truffa:
- ammette di aver cliccato sul link contenuto nel messaggio civetta;
- di aver effettuato accesso alla App della banca;
- di aver fornito all’operatore il nuovo codice PIN generato dallo stesso truffatore;
- nega di aver fornito credenziali della carta o codici dispositivi.
Sul punto, evidenzia l’ABF, a fronte del disconoscimento di operazioni di pagamento da parte dell’utente, incombe sull’intermediario l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata ai sensi dell’art. 10, comma 1, d.lgs. n. 11/2010, che così dispone: “Qualora l’utilizzatore dei servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente seguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Quanto alle modalità di autenticazione, l’art. 10- bis del medesimo d.lgs. prevede: “Conformemente all’art. 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l’autenticazione forte al cliente quando l’utente:
- a) accede al suo conto di pagamento online;
- b) dispone un’operazione di pagamento elettronico:
- c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi”.
Qualora non sia stata adottata la c.d. autenticazione forte (SCA), il cliente risponde soltanto in caso di frode.
Per autenticazione forte s’intende (ai sensi dell’art. 1, lett. q-bis d.lgs. n. 11/2010) quella “basata sull’uso di due o più elementi, classificati nelle categorie:
- della conoscenza (qualcosa che solo l’utente conosce);
- del possesso (qualcosa che solo l’utente possiede);
- dell’inerenza (qualcosa che caratterizza l’utente);
che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.
Nel caso di specie, dal log informatico prodotto dalla banca, risulta che la transazione fraudolenta è stata perfezionata con l’utilizzo del protocollo 3D Secure, ovvero dire con il corretto inserimento dei dati della carta (comprensivi del cvv) e del codice OTP generato tramite token in dotazione alla cliente.
Sul punto, evidenzia l’ABF, l’Opinion dell’EBA del 2019 ha escluso che i dati della carta di credito possano essere qualificati come uno degli elementi di conoscenza rilevanti ai fini della SCA.
Questa conclusione trova conforto in una recente decisione del Collegio ABF (Collegio di Roma, decisione n. 9905 del 13.04.2021) in cui è rilevato che i dati riportati sulla carta (numero, scadenza e cvv), non costituiscono un elemento di possesso e di conoscenza e che, pertanto essi non integrano un idoneo fattore di autenticazione.
In questo contesto fattuale l’indagine sulla eventuale colpa grave del cliente risulta pertanto irrilevante.