COLLEGIO DI TORINO

composto dai signori:

(TO) LUCCHINI GUASTALLA Presidente

(TO) FERRANTE Membro designato dalla Banca d'Italia

(TO) SETTEMBRE Membro designato dalla Banca d'Italia

(TO) SPENNACCHIO Membro di designazione rappresentativa

degli intermediari

(TO) CATTALANO Membro di designazione rappresentativa

dei clienti

Relatore LUCA CATTALANO

Seduta del 15/02/2023

Esame del ricorso n. 1603958/2022 del 28/10/2022

proposto da MAZZITELLI ORNELLA

nei confronti di 36081 - POSTEPAY S.P.A.

1/8
 COLLEGIO DI TORINO

composto dai signori:

(TO) LUCCHINI GUASTALLA Presidente

(TO) FERRANTE Membro designato dalla Banca d'Italia

(TO) SETTEMBRE Membro designato dalla Banca d'Italia

(TO) SPENNACCHIO Membro di designazione rappresentativa

degli intermediari

(TO) CATTALANO Membro di designazione rappresentativa

dei clienti

Relatore LUCA CATTALANO

Seduta del 15/02/2023

FATTO

Parte ricorrente, dopo aver inutilmente esperito reclamo in data 04/10/2022, assumeva di
essere titolare intestataria del conto corrente n. xxxx2454 al quale risultava collegata la
carta n. xxxx7927.
Riferiva che in data 23/09/2022, alle ore 15:45, riceveva sulla propria utenza telefonica un
sms, apparentemente proveniente dall’intermediario, che la avvisava di un dispositivo
anomalo collegato al proprio conto.
Rilevava che in data 28/09/2022 riceveva una telefonata da una presunta agente della
“polizia antifrode” che le riferiva che erano state effettuate delle operazioni non autorizzate
dalla stessa parte odierna ricorrente per un importo di € 6.600,00 su piattaforme di e-
commerce: in particolare veniva riferito che, per annullare le suddette operazioni, sarebbe
stato necessario predisporre un giroconto di € 6.600,00, con causale “annullamento
pagamento urgente” e con altri dati indicati dalla chiamante.
Dava atto che il messaggio iniziale era pervenuto nella medesima chat nella quale la parte
ricorrente riceveva le comunicazioni ufficiali della banca, circostanza che aveva generato
affidamento sulla genuinità della comunicazione.

Pag. 2/8
Lamentava di essere stata vittima di un attacco informatico complesso che aumentava
l’impercettibilità della frode e il convincimento della vittima della veridicità del falso accesso
non autorizzato al proprio conto e che pertanto l’intermediario era responsabile per la
captazione dei dati dei correntisti che subivano danni cagionati all’interessato da un
trattamento non conforme degli stessi.
Sosteneva che la banca era obbligata ad adottare gli accorgimenti adeguati a prevenire
l’illecita captazione di dati attraverso il phishing.

Concludeva per il rimborso della somma di € 6.600,00, unitamente agli interessi maturati e
alla rivalutazione dalla data dell’operazione a quella dell’effettivo rimborso.

Si costituiva con controdeduzioni l’intermediario resistente che confermava che parte

ricorrente era titolare di carta n. xxxx7927 ed agiva per il rimborso dell’importo di
un’operazione di giroconto on line disposta in data 28/09/2022.
Evidenziava che l’operazione risultava interamente eseguita dalla parte ricorrente, come la
stessa aveva affermato in sede di denuncia, pertanto il relativo addebito era
esclusivamente ascrivibile alla condotta della parte ricorrente stessa nell’ambito della
vicenda.
Sosteneva che dalle evidenze digitali si evinceva che la transazione risultava effettuata in
assenza di anomalie, previa autenticazione in app da parte della cliente e autorizzazione
della titolare tramite inserimento del codice Id.
Rilevava che i fatti narrati nella denuncia rivelavano che quanto lamentato dalla parte
ricorrente era del tutto estraneo alla banca, essendo mera conseguenza dell’ingenuità
della stessa, la quale aveva eseguito fino alla fine gli ordini telefonici impartiti da uno
sconosciuto interlocutore, consentendo di fatto l’attuazione della truffa ai suoi danni.
Eccepiva che come aveva dichiarato la parte ricorrente, questa aveva ricevuto sulla
propria utenza un sms dal carattere chiaramente anomalo, contenente un link truffaldino
sul quale aveva presumibilmente cliccato inserendo i propri dati all’interno del sito “civetta”
così raggiunto. La parte ricorrente era stata quindi contattata da un finto operatore, che
chiamava da un numero di cellulare sconosciuto e dal quale si era fatta guidare,
seguendone pedissequamente le istruzioni.
Sosteneva che la parte ricorrente aveva pertanto provveduto ad eseguire di propria
volontà l’operazione in parola, seppure sotto la guida del finto operatore che l’aveva
indotta a credere di dover agire in tal modo al fine di tutelare i propri risparmi.
Richiamava il fatto che in riferimento alle frodi di tale genere ormai da tempo
l’intermediario resistente stava rendendo edotta la propria clientela, quindi la parte
ricorrente avrebbe potuto evitare la truffa utilizzando la diligenza media, posto che
l’Intermediario interloquiva con i propri clienti solo tramite canali ufficiali e mai richiedendo
la comunicazione di dati relativi agli strumenti di pagamento forniti.
Evidenziava in particolare che le modalità con le quali sembrava essersi svolta la truffa
non risultavano assolutamente assimilabili all’operatività di alcun servizio dell’Intermediario
poiché, come riferito compiutamente in più campagne informative sopra accennate,
l’intermediario odierno resistente non chiedeva mai al cliente di riferire i propri codici
personali tramite telefono o SMS, non allegava link, non minacciava la chiusura del conto
o dell’home banking con SMS o e-mail, non inviava email ultimatum volte a sollecitare il
cliente a fornire informazioni personali.
Precisava, infine, che per quanto riguardava la protezione dei dati, che l’intermediario
resistente non era mai venuto meno a tale dovere, essendo stata la parte ricorrente
stessa a fornire i propri dati dando seguito al messaggio truffaldino, ricordando altresì che
la comunicazione dei dati avveniva al giorno d’oggi ad opera dei titolari degli stessi nei

Pag. 3/8
modi più differenti mediante la registrazione ad un qualsivoglia sito internet e per questo
non poteva essere considerata responsabile la banca per la tutela dei dati, anche con
riferimento a soggetti terzi estranei.

Formulava conclusioni in forma gradata, chiedendo:

- in via principale, il rigetto del ricorso;
- in via subordinata, l’applicazione della franchigia.

Nel replicare alle controdeduzioni, la parte ricorrente evidenziava che la truffa avvenuta
nel caso di specie non era assimilabile ad un phishing classico, come testimoniato dal
fatto che la stessa aveva preso le mosse a seguito della ricezione da parte della parte
ricorrente di un sms inseritosi nella chat dell’intermediario collegata all’home banking.
Sosteneva trattarsi di un cd “man in the browser”, ossia un artifizio che, come chiarito dal
Collegio di Coordinamento con dec. 3498/2012, consisteva nell’interposizione ad opera di
un malware tra il sistema centrale dell’intermediario e quello del singolo utente: la
complessità della truffa era stata resa ancor più grave dal successivo attacco di vishing.
Eccepiva che l’intermediario non aveva provato la corretta esecuzione e contabilizzazione
dell’operazione disconosciuta, non avendo allegato i log integrali delle operazioni ed
essendosi invece limitato “a inserire delle semplici immagini tratte da video di alcuni non
meglio precisati documenti informatici del tutto inconferenti”.
Richiamava che i Collegi Abf richiedevano non soltanto l’allegazione dei log informatici ma
anche che gli stessi fossero di facile leggibilità e comprensione.
Lamentava che l’intermediario resistente affermava che l’operazione era avvenuta anche
con l’inserimento dei codici statici della carta (numero carta, data di scadenza e CVV), ma
tali dati, come chiarito dall’opinion dell’EBA, non costituivano un valido fattore di
autenticazione.
Riferiva, con riferimento alle presunte campagne informative effettuate dall’intermediario,
che l’art. 8 del D. Lgs 11/2010 prescriveva che l’istituto di credito, in adempimento alla
diligenza dell’accorto banchiere, dovesse porre in essere tutte le difese contro gli attacchi
informatici conosciute in quel momento storico dal progresso tecnico e informatico: sicché
l’intermediario non poteva pertanto limitarsi ad avvisare il cliente con la descrizione della
truffa ma era obbligato ad assumere le contromisure idonee a prevenirlo.
Riferiva che l’intermediario resistente non aveva provato la sussistenza di quella
“straordinaria e inescusabile negligenza” a carico della parte ricorrente: in ogni caso
l’operazione effettuata avrebbe dovuto essere bloccata anche per l’evidente anomalia
rispetto alla storicità e operatività del conto corrente (anche alla luce di un IP diverso da
quello solitamente utilizzato e un timing “non umano” di operatività).

Nelle controrepliche l’intermediario sosteneva che la frode era iniziata nel momento in cui
la parte ricorrente aveva cliccato sul link ricevuto tramite l’sms truffaldino, pertanto non
nelle modalità sopra descritte e che pertanto, era di tutta evidenza che il caso oggetto di
ricorso si configurava come phishing classico e non poteva riguardare il fenomeno del
man in the browser.

DIRITTO

Il presente ricorso riguarda un’operazione contestata di pagamento di € 6.600,00 eseguita

mediante giroconto on line disposto in data 28/09/2022 alle ore 14:44.

Pag. 4/8
Tanto premesso in ordine alla tipologia delle operazioni contestate, va preliminarmente
ricordato che il d.lgs. n. 11/2010 di recepimento della direttiva 2007/64/CE in materia di
servizi di pagamento (meglio nota come PSD) ha ripartito gli obblighi del prestatore e
dell’utilizzatore di tali servizi, da un lato, imponendo all’utilizzatore gli obblighi di utilizzare
lo strumento di pagamento in conformità con il contratto stipulato con il prestatore (art. 7),
di comunicare senza indugio al prestatore le operazioni di pagamento non autorizzate di
cui sia venuto a conoscenza (art. 9) e di adottare accorgimenti idonei a garantire la
sicurezza e la riservatezza dei dispositivi personalizzati che consentono l’utilizzo dello
strumento stesso (art. 12) e, dall’altro lato, imponendo al prestatore, tra gli altri, l’obbligo di
adottare presidi di sicurezza atti ad “assicurare che i dispositivi personalizzati che
consentono l’utilizzo di uno strumento di pagamento non siano accessibili a soggetti
diversi dall’utilizzatore legittimato ad usare lo strumento medesimo, fatti salvi gli obblighi
posti in capo a quest’ultimo” (così l’art. 8, comma 1, lett. a), del citato d.lgs. n. 11/2010).
Un portato della normativa appena richiamata è che, qualora l’utilizzatore neghi di aver
autorizzato un’operazione di pagamento, grava sull’intermediario provare che l’operazione
stessa è stata autenticata, correttamente registrata, contabilizzata, e che durante la sua
esecuzione non si siano verificati malfunzionamenti delle procedure necessarie per la sua
esecuzione o di altri inconvenienti (art. 10). Nel caso di mancato assolvimento, in tutto o in
parte, di detto onere probatorio gravante sull’intermediario, la richiamata disciplina
prevede che l’intermediario sopporti la relativa perdita, atteso il fatto che quest’ultimo si è
assunto il rischio d’impresa connesso con l’esercizio dell’attività ed è in grado di ribaltare
tale rischio sulla massa degli utenti attraverso la determinazione dei prezzi per la fornitura
del servizio (cfr. Collegio di Roma, decisione n. 1111/2010, richiamata dalla decisione del
Collegio di Coordinamento n. 3498/2012).
Quanto precede trova un limite nella circostanza che l’utilizzatore abbia agito mancando di
osservare in modo fraudolento o gravemente colposo i richiamati obblighi di corretto
utilizzo e di custodia degli strumenti di pagamento, situazione nella quale l’art. 12, comma
4, del d.lgs. n. 11/2010, prevede che l’utilizzatore sopporti per intero le perdite subite.
Si deve optare, invece, per l’accertamento di un concorso di colpa tra le parti quando si
verifichi, da un lato, la presenza di indici di anomalia nell’operatività su home banking e,
dall’altro lato, che il comportamento della parte ricorrente abbia colposamente collaborato
con il truffatore, ad esempio cliccando su un link truffaldino (cfr. decisione Collegio di
Torino n. 16061/2020 o n. 934/2021).

Come è noto in tema di responsabilità della banca in caso di operazioni effettuate a mezzo
di strumenti elettronici è del tutto ragionevole ricondurre nell'area del rischio professionale
del prestatore dei servizi di pagamento, prevedibile ed evitabile con appropriate misure
destinate a verificare la riconducibilità delle operazioni alla volontà del cliente, la possibilità
di una utilizzazione dei codici di accesso al sistema da parte dei terzi, non attribuibile al
dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in
anticipo.

Il Collegio alla luce di quanto sopra esposto richiama il principio secondo cui le banche
svolgono attività professionale e devono adempiere tutte le obbligazioni assunte nei
confronti dei propri clienti con la diligenza particolarmente qualificata dell'”accorto
banchiere”, non solo con riguardo all'attività di esecuzione di contratti bancari in senso
stretto, ma pure in relazione a ogni tipo di atto o di operazione oggettivamente esplicate.
Perciò, la banca è responsabile fino a prova contraria dell'approntamento dei mezzi
meccanici, dell'idoneità e funzionamento dei relativi servizi, in modo tale che la banca non

Pag. 5/8
può liberarsi dal dovere di tenere un comportamento che si attesti sul livello di
professionalità dell'”accorto banchiere”.

L’intermediario, in riferimento a tale ultimo punto, ha precisato che “che la transazione

risulta effettuata […], previa autenticazione in App da parte della cliente e autorizzazione
della titolare tramite inserimento del Intermediario ID”.

La parte resistente ha specificato il funzionamento tecnico del Intermediario ID rinviando

per ulteriori dettagli alla scheda tecnica, che ha allegato alle difese.

Sulla prova della corretta autenticazione delle operazioni contestate, l’intermediario

resistente ha però allegato il solo elenco movimenti dal quale risulta che l’operazione di
giroconto è stata effettuata mediante App: di contro parte resistente non ha prodotto, però,
evidenze relative all’autenticazione dell’operazione disconosciuta.

Alla luce di quanto sopra, si rileva che il sistema di autenticazione dell’intermediario, per
come descritto, potrebbe essere basato sui seguenti fattori:

1. elemento di conoscenza: Intermediario ID;

2. elemento di possesso: codice OTP inviato tramite Push sul device certificato (della
cliente): di quest’ultimo non risultano, come già illustrato, prodotte le evidenze.

In buona sostanza le schermate allegate alle difese si limitano a rappresentare le

movimentazioni sul conto della parte ricorrente e non già il processo di autenticazione:
come per altro da quest’ultima espressamente eccepito nelle repliche.

Il Collegio in riferimento al riparto dell’onere probatorio richiama la decisione n.

22745/2019 del Collegio di Coordinamento che ha evidenziato come: “la previsione di cui
all’art. 10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della
prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso
che la produzione documentale volta a provare l’”autenticazione” e la formale regolarità
dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario
che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che
caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via
presuntiva, della colpa grave dell’utente”.

In buona sostanza, secondo il regime di responsabilità come sopra delineato (in ragione
delle specifiche norme di cui al D.Lgs. n. 11 del 2010 e dei principi ordinari previsti dal
codice civile in materia contrattuale), da un lato, grava sulla banca l'onere di diligenza di
impedire prelievi abusivi, dall'altro lato, grava sempre sulla banca l'onere di dimostrare che
il prelievo non è opera di terzi, ma è riconducibile comunque alla volontà del cliente:
l’inassolvimento di tale onere comporta l’accoglimento della domanda di parte ricorrente.

Ciò in quanto l’intermediario è tenuto ad adottare le misure più idonee, alla luce dello
sviluppo tecnologico, necessarie per impedire l'utilizzo abusivo dello strumento di
pagamento.

Come è noto per innalzare i livelli di sicurezza e chiarire gli obblighi minimi a carico dei
prestatori dei servizi la direttiva PSD2, n. 2015/2366/UE, recepita dall'Italia con d.lgs

Pag. 6/8
218/2017 (entrato in vigore il 13.01.2018) ha introdotto la cd. autenticazione forte del
cliente (Strong Customer Authentication - SCA).

Si tratta di una procedura per convalidare l'identificazione di un utente basata sull'uso di

due o più elementi di autenticazione (cd. "autenticazione a due fattori"), appartenenti ad
almeno due categorie tra le seguenti:

- conoscenza (qualcosa che solo l'utente conosce, come una password o un PIN);

- possesso (qualcosa che solo l'utente possiede, come un token/chiavetta, o uno

smartphone);

- inerenza (qualcosa che caratterizza l'utente, come l'impronta digitale o il riconoscimento

facciale).

Questi elementi devono essere indipendenti tra loro, in modo che un'eventuale violazione
di uno di essi non comprometta l'affidabilità degli altri.

Nel caso di specie manca la prova, a carico dell’intermediario resistente, della corretta
autenticazione della operazione effettuata.

In mancanza di tal prova l'intermediario sopporta integralmente le conseguenze della

operazione disconosciuta (cfr. ex multis Collegio di Bologna 15627/2022).

Infatti il Collegio, con riferimento al difetto di prova ovvero della prova non esaustiva di
autenticazione (forte), richiama come i Collegi siano unanimi nel ritenere che in tali ipotesi
il ricorso vada accolto integralmente, posto che la mancanza anche parziale della prova di
autenticazione è risolutiva e dirimente rispetto alla valutazione di eventuali profili di colpa
ascrivibili al cliente. La prova di autenticazione rappresenta infatti, in aderenza al dato
normativo, un prius logico rispetto alla prova della colpa grave dell’utente (ex multis del
Collegio di Bologna N. 15627 del 12 dicembre 2022).

Risulta pertanto superfluo alla luce di quanto sopra illustrato verificare eventuali profili di
responsabilità ascrivibili alla parte ricorrente, in relazione alla condotta tenuta nella
vicenda.

Il Collegio ritiene che la somma sottratta vada, quindi, liquidata in rimborso nella sua
interezza: pertanto la somma dovuta alla parte ricorrente è pari a € 6.600,00, oltre
interessi maturati.
Infatti, quanto alla richiesta della parte ricorrente di rimborso degli interessi legali, si rileva
come la stessa vada accolta, secondo il consolidato orientamento dei Collegi, a partire dal
reclamo, inteso quale atto formale di messa in mora da parte del creditore della
prestazione sino al saldo (Collegio di Coordinamento 5304/2013; 6167/2014).
Di contro, con riguardo alla richiesta inerente alla rivalutazione monetaria, il Collegio
ritiene che questa non possa trovare accoglimento, trattandosi nella specie di debito di
valuta e non già di valore.

Quanto alla domanda subordinata di parte resistente relativa all’applicazione della

franchigia il Collegio ritiene di dare applicazione al principio illustrato dal Collegio di
coordinamento, nella pronuncia n. 24366/2019, che si è espresso in senso negativo
Pag. 7/8
rispetto all’applicazione della franchigia atteso che la franchigia “è prevista in ipotesi di
‘utilizzo indebito dello strumento di pagamento conseguente al suo furto, smarrimento o
appropriazione indebita.’ (art. 12, co. 3 d.lgs. n.11/2010)”.
Secondo l’orientamento consolidato dei Collegi ABF, che si condivide, in caso di mancata
produzione di documentazione idonea a dimostrare la corretta e regolare autenticazione
della transazione contestata, l’intermediario è tenuto al rimborso integrale della somma,
senza applicazione della franchigia (cfr. Collegio di Bologna, decisione n. 18713/2021;
Collegio di Milano, decisione n. 20530/2020; Collegio di Torino, decisione n. 3464/2018).

P.Q.M.

Il Collegio accoglie parzialmente il ricorso e dispone che l'intermediario corrisponda

alla parte ricorrente la somma di € 6.600,00, oltre interessi legali dal reclamo al
saldo.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l'intermediario
corrisponda alla Banca d'Italia la somma di € 200,00, quale contributo alle spese
della procedura, e alla parte ricorrente la somma di € 20,00, quale rimborso della
somma versata alla presentazione del ricorso.

IL PRESIDENTE

firma 1

Pag. 8/8