Il Collegio di Coordinamento dell’Arbitro bancario e Finanziario (ABF), con decisione n. 8671 del 23 luglio 2024, pubblicata nella giornata di ieri, è tornato a pronunciarsi su operazioni non autorizzate basate sulla tecnica dello spoofing, con particolare riferimento all’applicabilità dell’autenticazione forte a operazioni di costituzione della provvista.
Nel caso di specie, il ricorrente contestava e chiedeva il rimborso di due operazioni di ricarica di una carta intestata ad un terzo, pacificamente compiute dal ricorrente stesso, personalmente, allo sportello, sotto dettatura del malfattore collegato telefonicamente; tali ricariche erano state precedute da due operazioni di spostamento fondi:
- una ricarica della carta del ricorrente, disposta dal suo libretto
- un girofondo, sempre disposto dal libretto del ricorrente a favore del proprio conto
Il ricorrente aveva in sostanza ricevuto una telefonata da un soggetto qualificatosi come operatore del servizio anti frode dell’intermediario, che lo avvertiva che avrebbe ricevuto un messaggio di avviso per il riscontro di movimenti anomali sul proprio conto corrente, che, dimostrando di essere a conoscenza dei suoi dati personali, domandava se fosse in attesa di ricevere dei pagamenti, invitandolo, a fronte della sua risposta negativa, a fare un estratto conto dall’ATM dell’ufficio postale e, una volta verificato l’avvenuto versamento di somme inattese ed indebitamente ricevute, a restituirle.
Dopo avere svolto tale verifica e avere rilevato un saldo con maggiori somme, aveva proceduto al rimborso presso lo sportello, avendo contezza solo in seguito che tali maggiori somme derivavano in realtà direttamente dal proprio libretto postale, in quanto terzi vi avevano operato effettuando una ricarica della sua carta ed un girofondo sul suo conto corrente.
Il Collegio ha quindi affermato i seguenti principi di diritto:
- Sull’applicabilità della previsione di cui all’art. 10-bis del D. Lgs. n. 11/10 alle operazioni di costituzione della provvista prodromiche ai pagamenti nei confronti dei terzi contestati dal cliente, il Collegio ha affermato il seguente principio di diritto:
I pagamenti da e verso lo stesso utente titolare di diversi conti accesi presso lo stesso intermediario possono essere sottratti all’obbligo della SCA anche nell’ipotesi in cui essi abbiano costituito la provvista necessaria per la realizzazione di successive operazioni fraudolente.
- Sulla responsabilità del prestatore di servizi di pagamento per il pregiudizio subito dal cliente in conseguenza del compimento di pagamenti da lui autorizzati verso terzi ai sensi dell’art. 11 del D. Lgs. n. 11/2010, sono stati affermati invece i seguenti principi di diritto:
Per l’applicazione del D. Lgs. n. 11/2010, è necessario che sussista un nesso causale immediato e diretto fra l’assenza della SCA – quale prodromo del fatto antigiuridico realizzato dai frodatori accedendo al libretto di risparmio del cliente e realizzando i trasferimenti sul conto corrente di quest’ultimo – e il pregiudizio finale da lui subito.
Osserva il Collegio infatti che, anche se l’intera frode è concepita e basata sulla simulazione di uno scenario attendibile agli occhi del titolare dello strumento di pagamento e sull’acquisizione della fiducia di quest’ultimo – che viene addirittura invitato a procurarsi un estratto conto presso il più vicino ATM ed indotto prima a verificare l’avvenuto versamento di somme inattese ed indebitamente ricevute sul suo conto e, poi, a restituirle il prima possibile eseguendo operazioni a favore di terzi – le operazioni di costituzione della provvista non sono solo temporalmente prodromiche rispetto ai veri e propri pagamenti, ma rappresentano antecedenti causali senza i quali questi non avrebbero potuto realizzarsi.
La perdita patrimoniale subita dal ricorrente non può dirsi, tuttavia, in concreto, conseguenza immediata e diretta di un inadempimento del PSP, in quanto deriva dal compimento, da parte del cliente, di pagamenti verso terzi
I pagamenti interamente eseguiti dal titolare dello strumento di pagamento non rientrano, secondo il consolidato orientamento dell’Arbitro, nella fattispecie della responsabilità oggettiva del prestatore di servizi di pagamento per le operazioni non autorizzate dai clienti: fattispecie che, come ha sottolineato la Corte di Giustizia nella decisione del 2 settembre 2021, causa C-337/20, è disciplinata in via esclusiva dal D. Lgs. n. 11/2010.
Ciò non impedisce, tuttavia, che, proprio in quanto sottratti al perimetro di operatività della normativa citata, i danni subiti dal cliente per i pagamenti da lui “autorizzati” possano, in astratto, essere risarciti ai sensi dell’art. 1218 C.c., qualora sia dimostrata la negligenza dell’intermediario nell’adempimento di obblighi contrattuali.
Ciò può verificarsi, in particolare, se sia accertata l’omessa adozione di misure di sicurezza e di monitoraggio adeguate a contrastare scenari di truffa dotati di una tipicità sociale (per esempio, in caso di mancata valorizzazione di indici di frode, là dove il cliente sia stato indotto dal truffatore a disporre dei pagamenti nella convinzione di effettuare accrediti in conto, mentre la ricezione di alert o la sospensione delle transazioni gli avrebbe consentito di acquisire consapevolezza della frode e di evitarne il perfezionarsi).
Nel caso di specie, il Collegio non ha quindi ravvisato evidenti profili di negligenza nella condotta dell’intermediario, mentre il fatto colposo della parte ricorrente – recatasi di persona a effettuare i versamenti in filiale, presso uno sportello presidiato da un dipendente e omettendo di esporre a quest’ultimo le richieste del frodatore – ha assorbito il rilievo causale di qualsiasi inadempimento della banca.