0. BLAM
Ree, ae
42 rt. N*0008685:2 dt 091062022
io Fnanaiane
COLLEGIO DI TORINO
composto dai signori:
(TO) LUCCHINI GUASTALLA Presidente
(TO) GRAZIADE! Membro designato dalla Banca d'ltalia
(TO) COTTERLI Membro designato dalla Banca d'Italia
(TO) SPENNACCHIO Membro di designazione rappresentativa
degli intermediari
(TO) CATTALANO Membro di designazione _rappresentativa
dei clienti
Relatore MICHELE GRAZIADE!
Seduta del 23/05/2022
Esame del ricorso n. 0324733/2022 del 28/02/2022
proposto da
nei confronti di 7601 - POSTE ITALIANE S.P.A
v6bitro BancarisFinanziario
COLLEGIO DI TORINO
composto dai signori
(TO) LUCCHINI GUASTALLA Presidente
(TO) GRAZIADEI Membro designato dalla Banca d'ltalia
(TO) COTTERLI Membro designato dalla Banca d'ttalia
(TO) SPENNACCHIO Membro di designazione rappresentativa
degli intermediari
(TO) CATTALANO Membro di designazione rappresentativa
dei clienti
Relatore MICHELE GRAZIADEI
Seduta del 23/05/2022
FATTO
La parte ricorrente nel ricorso ¢ nell’allegata denuncia ha in sintesi affermato che in data
22/07/2021, all'interno del sito internet deli'intermediario convenuto, trovava un link che lo
rimandava a una pagina web contenente l'awiso ‘verrai contatlato da un nostro
operator”; a distanza di pochi minuti riceveva in effetti una chiamata dal numero
350""*531 a mezzo della quale un sedicente operatore dell'intermediario le riferiva che
per poter operare on line doveva installare sul proprio cellulare un’applicazione
denominata “Team Viewer Quick Support’; dopo il primo contatto telefonico con
Voperatore ne seguivano altri due (rispettivamente alle 16:00 e alle 16:51) poiché dal
momento dellinstallazione della menzionata applicazione aveva riscontrato la riduzione
della luminosita dello schermo del suo smartphone; compariva quindi, appena visibile, la
notifica di un addebito e subito dopo |'App del'intermediario scompariva dal proprio
dispositivo; si recava presso un ufficio dellintermediario e apprendeva che sul suo conto
erano state addebitate due operazioni dellmporto rispettivi di € 2.990,00 e € 990,00, dallo
stesso mai autorizzate; presentava quindi denuncia ai Carabinieri, disconosceva
formaimente le operazioni ¢ presentava reclamo allintermediario; la frode di cui @ stata
vittima @ originata da un link rinvenuto all'intero del sito web delf'intermediario convenuto
@ pertanto deve ricondursi alla tecnica frodatoria denominata ‘man in browser’; la
circostanza da ultimo riferita ingenerava i! suo affidamento circa la genuinita della richiesta
Pag. 26e (effettiva provenienza della stessa da parte dell’intermediario resistente; le azioni
simultanee con la stessa veniva “arpionata” e poi “attaccata” (link presente all'intemo del
sito ufficiale dellintermediario, chiamata ricevuta da numeri riferibili -all’intermediario
stesso) ~ riconducibili alle tecniche di spoofing e vishing - sono tali da escludere fa sua
colpa grave; constano numerosi precedenti ABF che, riconoscendo Ia particolare
insidiosita di tali tipi di frode, hanno escluso la colpa grave del cliente che le ha subite; la
materia é disciplinata dal D.lgs. 11/2010 in base al quale — in caso di operazioni
disconosciute — le perdite sono a carico del prestatore di servizi di pagamento a meno che
questi dimostri che le operazioni siano in effetti riconducili alla volonta delleffettivo titolare,
siano state correttamente autenticate e autorizzate e sussista il dolo o la colpa grave
del'utente; nel caso di specie t'intermediario non ha dimostrato nulla di tutto cid mentre
istante ha rispettato tutti gli obbiighi contrattuali sulla stessa incombenti; la banca inoltre &
Tesponsabile anche dei danni subiti a causa di un trattamento non conforme dei suoi dati
personali, ai sensi dell'art. 15 D.lgs. 196/203, che richiama espressamente l'art. 2050
oc.
Lintermediario, nelle controdeduzioni, ha rappresentato che nella documentazione
allegata al reciamo e al successivo ricorso, il cliente dichiara: (j) di aver visionato un
messaggio sul sito dellintermediario il quale ennunciava mminente contatto da parte di
un operatore; (ii) di essere in effetti stato contattato da un finto operatore
dellintermediario, presumibilmente fornendo le informazioni necessarie che hanno
permesso al frodatore di carpire le credenziali di accesso ai suoi strumenti di pagamento;
(il) di aver installato sotto la guida dello stesso un’applicazione sul proprio cellulare; la
presente frode @ pertanto riconducibile alla tipologia di phishing definita “classica’ nella
Decisione del Collegio di Coordinamento 3498/2012. In questi casi ¢ il cliente stesso che
contribuisce in maniera determinante alla compromissione del suo dispositivo di
Pagamento, fornendo incautamente a terzi i dati che invece @ tenuto a custodire
diligentemente; le evidenze informatiche esaminate confermano che il contegno assunto
dal cliente ha consentito al frodatore di eseguire i pagament illegittimi, ottenendo regolare
autorizzazione da sistema ed eludendo i controlli di sicurezza preposti dall'intermediario; il
contenuto del messaggio asseritamente visualizzato appare alquanto insolito, poiché non
@ verosimile che I'stituto trasmetta al proprio cliente un SMS oppure messaggio nell’area
personale, annunciando un contatto telefonico; le operazioni risultano regolarmente
autorizzate con un sistema dinamico di autenticazione cid in quanto lesecuzione delle
stesse ha necessitato lutilizzo del codice ****ID in App, ossia uno strumento di
pagamento rispondente agli attuali standard tecnologici; per linstallazione dell App e per la
configurazione dispositiva degli strumenti di pagamento é infatti necessario conascere: le
credenziali di accesso ai servizi di internet banking; i dati della carta utilizzata per
effettuare i pagamenti online (ossia PAN, CVV2 e data di scadenza); la password
dinamica “usa e getta” inviata sul numero di cellulare rilasciato dal cliente all'intermediario,
necessaria per impostare il “codice ****Id" per autorizzare le successive disposizioni di
pagamenio effettuate da app. La procedura di autenticazione con il sistema autorizzativo
*"**1D pud dirsi, quindi, rispondente ai requisiti previsti dalla normativa vigente per potersi
qualificare come di autenticazione forte (Strong Customer Authentication), possedendo
almeno (i necessari) due dei tre elementi previsti in materia, secondo quanto specificato
dalla "Opinion of the European Banking Authority on the elements of strong customer
authentication under PSD2", che considera il codice statico scelto dalf'utente un fattore di
conoscenza, lutilizzo di una App previamente associata ad uno specifico dispositive
come un fattore de! possesso; appare improbabile che parte ricorrente possa essere stata
vittima di un fenomeno di sim swap, dal momento che non ha lamentato alcuna variazione
intestazione della sim, la quale ha continuato comunque a funzi‘ito
riawiio del cellulare, né risulta prodotta relativa documentazione del proprio gestore
telefonico; mette a disposizione dei propri client il servizio di sms Alert, il quale pud essere
attivato gratuitamente ed offre la possibilita di mantenere sotto controllo i movimenti relativi
alla Carta: tale servizio é attivo DI DEFAULT alfinterno dell'App, della quale il cliente &
fruitore; il ricorrente avrebbe potuto evitare ta truffa utilizzando una diligenza media; le
modalita con le quali sembrerebbe essersi svolta la truffa non risultano assolutamente
assimilabili all operativita di alcun servizio dell'intermediario; ha diffuso attraverso i propri
canali dettagliata informativa alla clientela in merito alle tipologie pid ricorrenti di truffa
La parte ricorrente chiede al Collegio di accertare la responsabilita contrattuale ed
extracontrattuale ex art. 2050 c.¢ delt'intermediario convenuto e pertanto condannare
questultimo, anche a titolo di risarcimento de! danno, al rimborso della somma di €
3.980,00, oltre ad interessi legali e rivalutazione dalla data delle operazioni.
Chiede altresi la refusione delle spese collegate alla presentazione del ricorso,
guantiticate in € 400,00.
Lintermediario resistente chiede in via principale il rigetto del ricorso.
Per Fipotesi di accoglimento delia richiesta di rimborso avanzata dal ricorrente, richiede la
decurtazione della prevista franchigia.
DIRITTO
Le operazioni contestate sono disciplinate dal d.lgs. 27 gennaio 2010, n. 11, modificato a
seguito dellentrata in vigore (il 13/01/2018) del D.lgs. 15 dicembre 2017, n. 218, di
recepimento della direttiva (UE) 2015/2366 (c.d. PSD2) relativa ai servizi di pagamento nel
mercato interno, nonché adeguamento delle disposizioni interne al regolamento (UE) n.
75112015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su
carta. Pill precisamente si tratta di due ricariche (di carta di pagamento) dellimporto
rispettivo di € 2,980,00 ed € 990,00 disposte da App in data 22/07/2021, per un totale di €
3.980,00
Lintermediario ha riferito che le operazioni contestate sono state autorizzate con il sistema
di autenticazione ****1D
In merito al funzionamento ditale sistema autorizzativo e alla sua conformita allo standard
dolla Strong Customer Authentication previsto dalla PSD2, lintermediario resistente ha
versato in atti una scheda tecnica nella quale é specificato quanto segue: “In ottica Strong
Customer Authentication, il processo di autenticazione / autorizzazione tramite ****ID
garantisce la compliance con ta Normativa grazie allutilizzo di due fattori, in particolare: II
fattore di conoscenza é rappresentato dal codice “ID, costruito con adeguati criteri di
Password policy Il fattore di possesso é rappresentato dal device dell'utente, allinterno del
quale risiedono gli elementi univoci in grado di generare le credenziali di accesso (OTP).
Llassociazione di tali credenziali con il PIN inserito dall'utente, consente di sbloccare la
chiave privata che risiede sullHardware Security Module3 utilizzato per autorizzare la
transazione. | suddetti elementi univoci sono generati durante il processo di onboarding
del prodotto finanziario in app, a partire da fattori di securizzazione del cliente rilasciati in
fase di acquisto/arricchimento del prodotto.” In merito al fattore di conoscenza ha inoltre
precisato che “é possibile utilizzare il fattore di conoscenza solo sul device su cui é stato
abilitato precedentemente il prodotto finanziario e, in caso si sia in possesso del device ma
non det codice, e i! cliente sbagli linserimento del codice alfanumerico per pit di 5 volte, &
prevista una procedura di blocco del codice stesso.”
Nelle controdeduzioni ha inoltre precisato quanto segue in relazione al funzionamento del
sistema di autenticazione adottato: “ll funzionamento del ***D prevede che la transazione
disposta da canale home banking venga firmata mediante certificato presente sul Back
Pag. WEnd, La transazione firmata viene sottoposta a controllo da parte del framework Identita
Digitale di [nome intermediario] (IDP). In caso di esito positivo, la transazione firmata
genera una notifica push che invita il cliente ad attivare I'App, la quale verifica la firma
sulla transazione apposta dal canale, mostra i dati transazione allutente e chiede il PIN
per lautorizzazione. Viene quindi generata una OTP contenente ID Transazione, Chiave
randomica e Chiave Simmetrica statica univoca. L’App autorizza la transazione inviando al
Server di Firma di {nome intermediario] un messaggio (cifrato e firmato) contenete i
seguenti parametri: OTP, ID Transazione, dati Transazione, PIN, identificativo della
singola istanza del‘App. I Server di Firma, ricevuto il messaggio, autorizza la transazione
recuperando dati App e chiave randomica, verificando la coerenza identificativo della
singola istanza dell’App e generando un nuovo OTP (V_OTP), contenente ID Transazione,
Chiave randomica e Chiave Simmetrica statica univoca, verificandone la congruenza
rispetto alOTP generato dall'App. La transazione viene firmata tramite chiave privata
presente sull Hardware Security Module e sbloccata dal PIN inserito dall'utente (Dynamic
Linking). L’ App, una volta ricevuta la transazione firmata (che include il certificato pubblico
utilizzato), invia i dati transazione e ID Transazione all'DP. Quest'ultimo, una volta
ricevuta la transazione, verifica fa firma apposta tramite la chiave pubblica allinterno del
certificato, verifica che la transazione non sia stata alterata, appone la propria firma
mediante chiave privata e inoltra la transazione al canale Back- End. Quest ultimo, dopo
avere verificato le firme apposte da IDP e utente, procede ad autorizzare 'operazione,
restituendo Fesito all'utente.”
Sulla prova della corretta autenticazione delle operazioni contestate, lintermediario ha
prodotto: a) il Log informatico asseritamente attestante enrollment della carta di
pagamento del ricorrente al sistema autorizzativo di tipo dinamico; b) Schermate
informatiche contenent i! dettaglio dei movimenti controversi,
In merito alle evidenze prodotte, le schermate informatiche in atti attestano che le
operazioni controverse sono state disposte tramite App (v. indicazione “APP_CONTO”
sotto la voce “canale"); dalle stesse schermate non é invece possibile desumere quali
fattori di autenticazione siano stati in concreto adottati per autorizzare le operazioni
oggetto di controversia: il campo “Transazione Securizzazione’, infatti, non contiene alcun
dato, né @ altrove presente lindicazione delfinserimento del codice ““**ID e/o della
generazione della password dinamica (OTP) da App.
A fronte di questi rilievi, 1! Collegio ritiene che, per come in astratto descritto
dallintermediario, il sistema di autenticazione **“**ID risulterebbe conforme agli standard
dettati dalla normativa vigente e deciinati dall'EBA. Tuttavia, le evidenze versate in atti
dailintermediario non consentono di desumere quali fattori di autenticazione siano stati
fichiesti per autorizzare le operazioni oggetto di controversia e quindi di verificare
Yadozione in concreto del sistema descritto dallintermediario.
termediario non ha quindi provato la regolare autenticazione delle operazio
contestate, ai sensi della disciplina applicabile sopra richiamata. Pertanto, a prescindere
dalla questione sollevata circa la colpa grave del'attuale ricorrente, I'intermediario é tenuto
a rifondere a quest'ultimo la somma di € 3.980,00 oltre gli interessi legali dal reclamo al
saldo. Considerato che la prova della regolare autenticazioni di tali operazioni non é stata
data, e che non si tratta qui di furto o di smarrimento dello strumento di pagamento, i
Collegio non ritiene di applicare la franchigia. La domanda del ricorrente di ottenere la
refusione di € 400,000 a titolo di spese per la presentazione del ricorso a sua volta non &
accolta, in quanto la difesa tecnica non é obbligatoria avanti ai Collegi AB.
P.QM.
Pag. 576‘Abo Bancerio Finanziano.
ll Collegio accoglie parzialmente il ricorso e dispone che l'intermediario corrisponda
alla parte ricorrente la somma di € 3.980,00, oltre interessi legali dal reclamo al
saldo.
I Collegio dispone inoltre, ai sensi della vigente normativa, che lintermediario
ponda alla Banca d'ttalia la somma di € 200,00, quale contributo alle spese
della procedura, e alla parte ricorrente la somma di € 20,00, quale rimborso della
somma versata alla presentazione del ricorso.
IL PRESIDENTE
Firma digitalmente do
EMANUELE CESARE LUCCHINI GUASTALL#
Pag. 06