WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12


WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca
www.dirittobancario.it
Giurisprudenza

Phishing: l’ABF sulla responsabilità della banca

10 Maggio 2022

Collegio ABF di Bari, 04 aprile 2022, n. 5460 – Pres. Tucci, Rel. Caterino

Di cosa si parla in questo articolo

La controversia attiene al disconoscimento di tre operazioni non autorizzate dal ricorrente. Nello specifico, si tratta di un giroconto on line di euro 14.989,00 e un altro giroconto on line di euro 10.100,00.

Il ricorrente dichiara di aver ricevuto sul proprio cellulare un SMS proveniente da un mittente apparentemente riconducibile all’intermediario, con cui veniva informato che le sue utenze stavano per essere sospese “per mancato aggiornamento” e che al fine di evitare tale sospensione avrebbe dovuto cliccare su un link ivi contenuto (phishing).

Il ricorrente riferisce poi di avere cliccato sul link e di essere stato reindirizzato ad una pagina con il logo dell’intermediario, in cui veniva invitato ad inserire alcuni suoi dati personali ma, al riguardo precisa di non avere comunque inserito i propri codici di sicurezza.

Successivamente si rendeva conto di non avere più fondi a disposizione sulla carta e, pertanto, si presentava a uno sportello dell’intermediario, presso il quale veniva informato del compimento delle suddette operazioni.

In tale occasione l’intermediario provvedeva solo a rigenerare i codici di sicurezza del conto del ricorrente, mentre non disponeva il blocco della carta.

Le operazioni sono state eseguite sotto il vigore del d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), entrato in vigore il 13/01/2018.

La disciplina richiamata prevede che il rischio di utilizzazione fraudolenta degli strumenti di pagamento ricada, in prima battuta, sull’intermediario, il quale può sottrarsi all’obbligo di rimborso delle somme fraudolentemente sottratte fornendo la prova del dolo ovvero della colpa grave dell’utilizzatore, ai sensi del combinato disposto degli artt. 7 e 12, co. 4, d. lgs. n. 11/2010, e della Sez. IV, § 2, del Provvedimento Banca d’Italia 5.7.2011.

In particolare, ai sensi dell’art. 10, d. lgs. n. 11/2010, “qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento sia stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.

Il secondo comma del medesimo art. 10 precisa, inoltre, che, ove l’utilizzatore neghi di avere autorizzato un’operazione di pagamento eseguita, “l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sè necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7“ (i.e., obblighi di custodia e di corretta utilizzazione dello strumento di pagamento).

Nello stesso comma è altresì precisato che “è onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente”.

L’intermediario afferma che le operazioni controverse sono state effettuate tramite l’app e sono state autorizzate mediante l’utilizzo del “codice ID” in app.

In particolare, dichiara che l’autenticazione delle operazioni controverse si è articolata in due fasi: preliminarmente, l’installazione dell’applicazione dell’intermediario su smartphone, con onboarding dello strumento di pagamento e configurazione dell’ID all’interno dell’app; a seguire, la disposizione delle operazioni fraudolente tramite inserimento del codice dell’ID in app.

Sul punto, evidenzia il Collegio, ai fini della prova della regolare autenticazione, esecuzione e contabilizzazione delle operazioni contestate, non è sufficiente la descrizione in astratto del processo, ma occorre che l’intermediario fornisca prova specifica di come le operazioni si sono svolte

Nello specifico, non sono presenti i log delle operazioni contestate, dai quali possa evincersi il funzionamento, nel caso concreto, della modalità autorizzativa pur astrattamente descritta

Il mancato assolvimento dell’onus probandi da parte dell’intermediario rende superfluo l’accertamento in ordine ai profili di colpa grave ascrivibili alle parti comportando l’accoglimento delle domande proposte dal cliente

Di cosa si parla in questo articolo

WEBINAR / 23 Gennaio
La tutela dei dati personali dei clienti della banca

ZOOM MEETING
Offerte per iscrizioni entro il 20/12

Iscriviti alla nostra Newsletter