Arbitro Bancario Finanziario, Collegio di Bari, decisione 24 luglio 2023, n. 7679
Domanda giudiziale
Il ricorrente ha adito il Collegio chiedendo il rimborso della somma di euro 1.450,00, relativa a due operazioni di pagamento.
A fondamento della domanda, egli ha rappresentato di essere stato vittima di una frode informatica realizzata tramite la tecnica dello smishing. In particolare, riferiva di aver ricevuto un SMS apparentemente proveniente dall’intermediario, inserito nella medesima conversazione contenente comunicazioni autentiche della banca, con cui veniva invitato a certificare il proprio dispositivo attraverso un link, al fine di evitare l’interruzione dei servizi. Dopo aver seguito le istruzioni e inserito i propri dati, apprendeva dell’esecuzione di operazioni di pagamento non autorizzate.
Il ricorrente evidenziava di aver prontamente reagito, bloccando i rapporti, denunciando l’accaduto e disconoscendo formalmente le operazioni. Negava, dunque, ogni forma di autorizzazione e imputava la responsabilità all’intermediario, ritenendo inadeguati i sistemi di sicurezza predisposti.
L’intermediario si costituiva contestando integralmente le pretese attoree. Sosteneva che le operazioni erano state correttamente autenticate mediante i sistemi di sicurezza previsti, fondati sull’utilizzo combinato di codici personali e dispositivi certificati. Attribuiva, pertanto, l’accaduto alla condotta gravemente negligente del cliente, il quale avrebbe consentito ai truffatori di attivare un nuovo dispositivo e di operare sul proprio conto.
Fatto
Le operazioni oggetto di contestazione consistono in due pagamenti online, rispettivamente di euro 1.300,00 e 150,00, eseguiti nella stessa giornata del 12 gennaio 2023. Tali pagamenti sono stati preceduti da un trasferimento interno tra conti intestati al ricorrente, finalizzato a rendere disponibili le somme necessarie.
Dalla ricostruzione della vicenda emerge che il cliente, tratto in inganno da un SMS fraudolento, ha interagito con un sito web riconducibile ai truffatori, inserendo dati personali. In conseguenza di ciò, è stato effettuato l’enrollment di un nuovo dispositivo associato al servizio di home banking, dal quale sono state poi autorizzate le operazioni tramite codice OTP.
L’intermediario ha prodotto una articolata documentazione tecnica, dalla quale risulta che le operazioni sono state correttamente autenticate, registrate e contabilizzate. In particolare, le tracciature informatiche attestano sia l’attivazione del nuovo dispositivo mediante codice inviato al numero di telefono del cliente, sia l’invio di notifiche di alert relative alle operazioni e agli accessi.
Disamina
Il Collegio individua la disciplina applicabile nel d.lgs. n. 11 del 2010, come modificato in attuazione della direttiva PSD2, che prevede una particolare tutela per il cliente in caso di operazioni non autorizzate. Tale tutela si traduce, sul piano probatorio, nell’onere posto a carico dell’intermediario di dimostrare non solo la corretta esecuzione delle operazioni, ma anche l’eventuale sussistenza del dolo o della colpa grave dell’utente.
Nel caso di specie, il Collegio ritiene che l’intermediario abbia assolto tale onere, avendo dimostrato l’adozione di sistemi di autenticazione forte conformi agli standard normativi e l’assenza di anomalie nel processo esecutivo delle operazioni.
Sotto il profilo della condotta del cliente, viene valorizzato il fatto che questi abbia seguito le indicazioni contenute in un messaggio fraudolento, cliccando su un link non riconducibile all’intermediario e fornendo elementi che hanno consentito l’attivazione di un nuovo dispositivo. Particolare rilievo assume anche la circostanza che il cliente abbia ricevuto specifici messaggi di avviso circa il rischio di frode e la necessità di non comunicare codici personali, senza tuttavia attivarsi tempestivamente per verificare l’accaduto.
Pur riconoscendo che la tecnica dello SMS spoofing può risultare particolarmente insidiosa, il Collegio osserva come, nel caso concreto, fossero presenti elementi idonei a suscitare un ragionevole dubbio circa l’autenticità del messaggio ricevuto. Ne consegue che l’affidamento del cliente non può considerarsi incolpevole.
Conclusione
Alla luce delle considerazioni svolte, il Collegio ritiene che le operazioni siano state correttamente eseguite e che l’intermediario abbia dimostrato l’adozione di adeguati presidi di sicurezza.
La responsabilità dell’evento fraudolento viene, pertanto, ricondotta alla condotta del ricorrente, qualificata in termini di colpa grave, con conseguente esclusione dell’obbligo restitutorio in capo alla banca.
Dunque, il ricorso è stato rigettato.
Principio di diritto
In caso di operazioni di pagamento disconosciute, l’intermediario deve dimostrare la corretta autenticazione delle stesse e l’adozione di sistemi di sicurezza adeguati, nonché fornire la prova della colpa grave del cliente. Nell’ambito di una frode realizzata mediante smishing, una condotta caratterizzata da significativa negligenza — come nel caso di interazione con link sospetti, comunicazione di codici o mancata considerazione degli alert di sicurezza — integra colpa grave e comporta l’esclusione della responsabilità dell’intermediario.
Legal Advice
Alla luce della decisione, l’intermediario bancario deve:
- adottare sistemi di autenticazione forte conformi alla normativa vigente;
- implementare sistemi di monitoraggio delle anomalie (ad esempio, enrollment su nuovi dispositivi);
- inviare alert chiari e tempestivi in caso di operazioni sospette;
- conservare tracciature informatiche complete per finalità probatorie;
- rafforzare le campagne informative rivolte ai clienti sui rischi di smishing e phishing.
