Il Collegio ABF di Milano si è espresso in merito agli obblighi di autenticazione forte del cliente (Strong customer authentication – SCA) gravanti sulla banca nella tutela dei clienti e il relativo onere della prova da parte dell’intermediario in caso di frode informatica.
Nel caso di specie, il cliente afferma di avere aperto il link che aveva ricevuto sul proprio cellulare, di avere determinato così il blocco del telefono, non riuscendo a utilizzare le applicazioni installate sullo stesso.
Il Collegio ABF, richiamati, in particolare, gli artt. 10 e 12 del D.lgs. 27 gennaio 2010, n. 11, ricorda che nel caso di frode informatica è l’intermediario a dover provare, oltre all’insussistenza di malfunzionamenti, l’autenticazione, la corretta registrazione e la contabilizzazione.
L’assolvimento di tale onere probatorio, peraltro, non fa presumere la frode del cliente o il mancato adempimento, da parte sua, a uno o più degli obblighi di cui all’art. 7, con dolo o colpa.
È, infatti, sempre l’intermediario a dover provare le circostanze capaci di dimostrare le ipotesi nelle quali l’utilizzatore può patire le conseguenze dell’utilizzo fraudolento dello strumento di pagamento.
In particolare, la valutazione della condotta dell’utilizzatore dello strumento di pagamento, ai fini dell’eventuale giudizio di dolo o colpa grave, deve fondarsi sulla considerazione del complesso di circostanze che caratterizzano il caso concreto.
Trattandosi di pagamento elettronico, il Collegio deve ulteriormente verificare il sistema predisposto dall’intermediario alla luce dei criteri previsti per l’autenticazione forte e, a tal fine, richiama l’art. 10-bis (Autenticazione e misure di sicurezza) e l’art. 12 del d.lgs. 27.1.2010, n. 11 (“Responsabilità del pagatore per l’utilizzo non autorizzato di strumenti o servizi di pagamento”), che recita: “Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente”.
Il Collegio ricorda altresì che, in base all’art. 1, lett. q-bis, l’“autenticazione forte del cliente” è definita come “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”. I requisiti appena citati – si precisa – devono sussistere sia nella fase di accesso al conto, sia in quella dell’esecuzione delle singole operazioni.
Nel caso di specie, il Collegio conclude che la documentazione prodotta dall’intermediario non sia sufficiente a offrire la prova dell’adozione di un sistema di autenticazione forte, richiesto per i pagamenti elettronici dalle fonti normative su richiamate.
Dato il fallimento della prova dell’adozione di un sistema di autenticazione forte, diviene irrilevante accertare se siano fondate le controdeduzioni dell’intermediario tese a dimostrare la colpa grave del cliente (che sarebbe stato vittima di un tipo di frode facilmente evitabile con una diligenza media) nell’adempimento degli obblighi di cui all’art. 7 del d.lgs. 27.1.2010, n. 11.
Per escludere la responsabilità dell’intermediario per la frode informatica, secondo l’ABF, infatti, sarebbe necessario provare che il cliente ha agito in modo fraudolento (art. 12 2-bis del citato decreto legislativo).
Pertanto, sempre richiamato l’art. 12 2-bis del d.lgs. 27.1.2010, la responsabilità per l’esecuzione fraudolenta del bonifico grava sull’intermediario.