0. BLAM Ree, ae 42 rt. N*0008685:2 dt 091062022 io Fnanaiane COLLEGIO DI TORINO composto dai signori: (TO) LUCCHINI GUASTALLA Presidente (TO) GRAZIADE! Membro designato dalla Banca d'ltalia (TO) COTTERLI Membro designato dalla Banca d'Italia (TO) SPENNACCHIO Membro di designazione rappresentativa degli intermediari (TO) CATTALANO Membro di designazione _rappresentativa dei clienti Relatore MICHELE GRAZIADE! Seduta del 23/05/2022 Esame del ricorso n. 0324733/2022 del 28/02/2022 proposto da nei confronti di 7601 - POSTE ITALIANE S.P.A v6bitro BancarisFinanziario COLLEGIO DI TORINO composto dai signori (TO) LUCCHINI GUASTALLA Presidente (TO) GRAZIADEI Membro designato dalla Banca d'ltalia (TO) COTTERLI Membro designato dalla Banca d'ttalia (TO) SPENNACCHIO Membro di designazione rappresentativa degli intermediari (TO) CATTALANO Membro di designazione rappresentativa dei clienti Relatore MICHELE GRAZIADEI Seduta del 23/05/2022 FATTO La parte ricorrente nel ricorso ¢ nell’allegata denuncia ha in sintesi affermato che in data 22/07/2021, all'interno del sito internet deli'intermediario convenuto, trovava un link che lo rimandava a una pagina web contenente l'awiso ‘verrai contatlato da un nostro operator”; a distanza di pochi minuti riceveva in effetti una chiamata dal numero 350""*531 a mezzo della quale un sedicente operatore dell'intermediario le riferiva che per poter operare on line doveva installare sul proprio cellulare un’applicazione denominata “Team Viewer Quick Support’; dopo il primo contatto telefonico con Voperatore ne seguivano altri due (rispettivamente alle 16:00 e alle 16:51) poiché dal momento dellinstallazione della menzionata applicazione aveva riscontrato la riduzione della luminosita dello schermo del suo smartphone; compariva quindi, appena visibile, la notifica di un addebito e subito dopo |'App del'intermediario scompariva dal proprio dispositivo; si recava presso un ufficio dellintermediario e apprendeva che sul suo conto erano state addebitate due operazioni dellmporto rispettivi di € 2.990,00 e € 990,00, dallo stesso mai autorizzate; presentava quindi denuncia ai Carabinieri, disconosceva formaimente le operazioni ¢ presentava reclamo allintermediario; la frode di cui @ stata vittima @ originata da un link rinvenuto all'intero del sito web delf'intermediario convenuto @ pertanto deve ricondursi alla tecnica frodatoria denominata ‘man in browser’; la circostanza da ultimo riferita ingenerava i! suo affidamento circa la genuinita della richiesta Pag. 26e (effettiva provenienza della stessa da parte dell’intermediario resistente; le azioni simultanee con la stessa veniva “arpionata” e poi “attaccata” (link presente all'intemo del sito ufficiale dellintermediario, chiamata ricevuta da numeri riferibili -all’intermediario stesso) ~ riconducibili alle tecniche di spoofing e vishing - sono tali da escludere fa sua colpa grave; constano numerosi precedenti ABF che, riconoscendo Ia particolare insidiosita di tali tipi di frode, hanno escluso la colpa grave del cliente che le ha subite; la materia é disciplinata dal D.lgs. 11/2010 in base al quale — in caso di operazioni disconosciute — le perdite sono a carico del prestatore di servizi di pagamento a meno che questi dimostri che le operazioni siano in effetti riconducili alla volonta delleffettivo titolare, siano state correttamente autenticate e autorizzate e sussista il dolo o la colpa grave del'utente; nel caso di specie t'intermediario non ha dimostrato nulla di tutto cid mentre istante ha rispettato tutti gli obbiighi contrattuali sulla stessa incombenti; la banca inoltre & Tesponsabile anche dei danni subiti a causa di un trattamento non conforme dei suoi dati personali, ai sensi dell'art. 15 D.lgs. 196/203, che richiama espressamente l'art. 2050 oc. Lintermediario, nelle controdeduzioni, ha rappresentato che nella documentazione allegata al reciamo e al successivo ricorso, il cliente dichiara: (j) di aver visionato un messaggio sul sito dellintermediario il quale ennunciava mminente contatto da parte di un operatore; (ii) di essere in effetti stato contattato da un finto operatore dellintermediario, presumibilmente fornendo le informazioni necessarie che hanno permesso al frodatore di carpire le credenziali di accesso ai suoi strumenti di pagamento; (il) di aver installato sotto la guida dello stesso un’applicazione sul proprio cellulare; la presente frode @ pertanto riconducibile alla tipologia di phishing definita “classica’ nella Decisione del Collegio di Coordinamento 3498/2012. In questi casi ¢ il cliente stesso che contribuisce in maniera determinante alla compromissione del suo dispositivo di Pagamento, fornendo incautamente a terzi i dati che invece @ tenuto a custodire diligentemente; le evidenze informatiche esaminate confermano che il contegno assunto dal cliente ha consentito al frodatore di eseguire i pagament illegittimi, ottenendo regolare autorizzazione da sistema ed eludendo i controlli di sicurezza preposti dall'intermediario; il contenuto del messaggio asseritamente visualizzato appare alquanto insolito, poiché non @ verosimile che I'stituto trasmetta al proprio cliente un SMS oppure messaggio nell’area personale, annunciando un contatto telefonico; le operazioni risultano regolarmente autorizzate con un sistema dinamico di autenticazione cid in quanto lesecuzione delle stesse ha necessitato lutilizzo del codice ****ID in App, ossia uno strumento di pagamento rispondente agli attuali standard tecnologici; per linstallazione dell App e per la configurazione dispositiva degli strumenti di pagamento é infatti necessario conascere: le credenziali di accesso ai servizi di internet banking; i dati della carta utilizzata per effettuare i pagamenti online (ossia PAN, CVV2 e data di scadenza); la password dinamica “usa e getta” inviata sul numero di cellulare rilasciato dal cliente all'intermediario, necessaria per impostare il “codice ****Id" per autorizzare le successive disposizioni di pagamenio effettuate da app. La procedura di autenticazione con il sistema autorizzativo *"**1D pud dirsi, quindi, rispondente ai requisiti previsti dalla normativa vigente per potersi qualificare come di autenticazione forte (Strong Customer Authentication), possedendo almeno (i necessari) due dei tre elementi previsti in materia, secondo quanto specificato dalla "Opinion of the European Banking Authority on the elements of strong customer authentication under PSD2", che considera il codice statico scelto dalf'utente un fattore di conoscenza, lutilizzo di una App previamente associata ad uno specifico dispositive come un fattore de! possesso; appare improbabile che parte ricorrente possa essere stata vittima di un fenomeno di sim swap, dal momento che non ha lamentato alcuna variazione intestazione della sim, la quale ha continuato comunque a funzi‘ito riawiio del cellulare, né risulta prodotta relativa documentazione del proprio gestore telefonico; mette a disposizione dei propri client il servizio di sms Alert, il quale pud essere attivato gratuitamente ed offre la possibilita di mantenere sotto controllo i movimenti relativi alla Carta: tale servizio é attivo DI DEFAULT alfinterno dell'App, della quale il cliente & fruitore; il ricorrente avrebbe potuto evitare ta truffa utilizzando una diligenza media; le modalita con le quali sembrerebbe essersi svolta la truffa non risultano assolutamente assimilabili all operativita di alcun servizio dell'intermediario; ha diffuso attraverso i propri canali dettagliata informativa alla clientela in merito alle tipologie pid ricorrenti di truffa La parte ricorrente chiede al Collegio di accertare la responsabilita contrattuale ed extracontrattuale ex art. 2050 c.¢ delt'intermediario convenuto e pertanto condannare questultimo, anche a titolo di risarcimento de! danno, al rimborso della somma di € 3.980,00, oltre ad interessi legali e rivalutazione dalla data delle operazioni. Chiede altresi la refusione delle spese collegate alla presentazione del ricorso, guantiticate in € 400,00. Lintermediario resistente chiede in via principale il rigetto del ricorso. Per Fipotesi di accoglimento delia richiesta di rimborso avanzata dal ricorrente, richiede la decurtazione della prevista franchigia. DIRITTO Le operazioni contestate sono disciplinate dal d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dellentrata in vigore (il 13/01/2018) del D.lgs. 15 dicembre 2017, n. 218, di recepimento della direttiva (UE) 2015/2366 (c.d. PSD2) relativa ai servizi di pagamento nel mercato interno, nonché adeguamento delle disposizioni interne al regolamento (UE) n. 75112015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta. Pill precisamente si tratta di due ricariche (di carta di pagamento) dellimporto rispettivo di € 2,980,00 ed € 990,00 disposte da App in data 22/07/2021, per un totale di € 3.980,00 Lintermediario ha riferito che le operazioni contestate sono state autorizzate con il sistema di autenticazione ****1D In merito al funzionamento ditale sistema autorizzativo e alla sua conformita allo standard dolla Strong Customer Authentication previsto dalla PSD2, lintermediario resistente ha versato in atti una scheda tecnica nella quale é specificato quanto segue: “In ottica Strong Customer Authentication, il processo di autenticazione / autorizzazione tramite ****ID garantisce la compliance con ta Normativa grazie allutilizzo di due fattori, in particolare: II fattore di conoscenza é rappresentato dal codice “ID, costruito con adeguati criteri di Password policy Il fattore di possesso é rappresentato dal device dell'utente, allinterno del quale risiedono gli elementi univoci in grado di generare le credenziali di accesso (OTP). Llassociazione di tali credenziali con il PIN inserito dall'utente, consente di sbloccare la chiave privata che risiede sullHardware Security Module3 utilizzato per autorizzare la transazione. | suddetti elementi univoci sono generati durante il processo di onboarding del prodotto finanziario in app, a partire da fattori di securizzazione del cliente rilasciati in fase di acquisto/arricchimento del prodotto.” In merito al fattore di conoscenza ha inoltre precisato che “é possibile utilizzare il fattore di conoscenza solo sul device su cui é stato abilitato precedentemente il prodotto finanziario e, in caso si sia in possesso del device ma non det codice, e i! cliente sbagli linserimento del codice alfanumerico per pit di 5 volte, & prevista una procedura di blocco del codice stesso.” Nelle controdeduzioni ha inoltre precisato quanto segue in relazione al funzionamento del sistema di autenticazione adottato: “ll funzionamento del ***D prevede che la transazione disposta da canale home banking venga firmata mediante certificato presente sul Back Pag. WEnd, La transazione firmata viene sottoposta a controllo da parte del framework Identita Digitale di [nome intermediario] (IDP). In caso di esito positivo, la transazione firmata genera una notifica push che invita il cliente ad attivare I'App, la quale verifica la firma sulla transazione apposta dal canale, mostra i dati transazione allutente e chiede il PIN per lautorizzazione. Viene quindi generata una OTP contenente ID Transazione, Chiave randomica e Chiave Simmetrica statica univoca. L’App autorizza la transazione inviando al Server di Firma di {nome intermediario] un messaggio (cifrato e firmato) contenete i seguenti parametri: OTP, ID Transazione, dati Transazione, PIN, identificativo della singola istanza del‘App. I Server di Firma, ricevuto il messaggio, autorizza la transazione recuperando dati App e chiave randomica, verificando la coerenza identificativo della singola istanza dell’App e generando un nuovo OTP (V_OTP), contenente ID Transazione, Chiave randomica e Chiave Simmetrica statica univoca, verificandone la congruenza rispetto alOTP generato dall'App. La transazione viene firmata tramite chiave privata presente sull Hardware Security Module e sbloccata dal PIN inserito dall'utente (Dynamic Linking). L’ App, una volta ricevuta la transazione firmata (che include il certificato pubblico utilizzato), invia i dati transazione e ID Transazione all'DP. Quest'ultimo, una volta ricevuta la transazione, verifica fa firma apposta tramite la chiave pubblica allinterno del certificato, verifica che la transazione non sia stata alterata, appone la propria firma mediante chiave privata e inoltra la transazione al canale Back- End. Quest ultimo, dopo avere verificato le firme apposte da IDP e utente, procede ad autorizzare 'operazione, restituendo Fesito all'utente.” Sulla prova della corretta autenticazione delle operazioni contestate, lintermediario ha prodotto: a) il Log informatico asseritamente attestante enrollment della carta di pagamento del ricorrente al sistema autorizzativo di tipo dinamico; b) Schermate informatiche contenent i! dettaglio dei movimenti controversi, In merito alle evidenze prodotte, le schermate informatiche in atti attestano che le operazioni controverse sono state disposte tramite App (v. indicazione “APP_CONTO” sotto la voce “canale"); dalle stesse schermate non é invece possibile desumere quali fattori di autenticazione siano stati in concreto adottati per autorizzare le operazioni oggetto di controversia: il campo “Transazione Securizzazione’, infatti, non contiene alcun dato, né @ altrove presente lindicazione delfinserimento del codice ““**ID e/o della generazione della password dinamica (OTP) da App. A fronte di questi rilievi, 1! Collegio ritiene che, per come in astratto descritto dallintermediario, il sistema di autenticazione **“**ID risulterebbe conforme agli standard dettati dalla normativa vigente e deciinati dall'EBA. Tuttavia, le evidenze versate in atti dailintermediario non consentono di desumere quali fattori di autenticazione siano stati fichiesti per autorizzare le operazioni oggetto di controversia e quindi di verificare Yadozione in concreto del sistema descritto dallintermediario. termediario non ha quindi provato la regolare autenticazione delle operazio contestate, ai sensi della disciplina applicabile sopra richiamata. Pertanto, a prescindere dalla questione sollevata circa la colpa grave del'attuale ricorrente, I'intermediario é tenuto a rifondere a quest'ultimo la somma di € 3.980,00 oltre gli interessi legali dal reclamo al saldo. Considerato che la prova della regolare autenticazioni di tali operazioni non é stata data, e che non si tratta qui di furto o di smarrimento dello strumento di pagamento, i Collegio non ritiene di applicare la franchigia. La domanda del ricorrente di ottenere la refusione di € 400,000 a titolo di spese per la presentazione del ricorso a sua volta non & accolta, in quanto la difesa tecnica non é obbligatoria avanti ai Collegi AB. P.QM. Pag. 576‘Abo Bancerio Finanziano. ll Collegio accoglie parzialmente il ricorso e dispone che l'intermediario corrisponda alla parte ricorrente la somma di € 3.980,00, oltre interessi legali dal reclamo al saldo. I Collegio dispone inoltre, ai sensi della vigente normativa, che lintermediario ponda alla Banca d'ttalia la somma di € 200,00, quale contributo alle spese della procedura, e alla parte ricorrente la somma di € 20,00, quale rimborso della somma versata alla presentazione del ricorso. IL PRESIDENTE Firma digitalmente do EMANUELE CESARE LUCCHINI GUASTALL# Pag. 06