Il titolare di un conto corrente è intestatario anche di alcune carte associate al conto. Un giorno, questi scopre che sono state effettuate delle operazioni non autorizzate relative all’uso delle carte di credito, per un importo di valore complessivo di oltre 3 mila euro. Operazioni che però, il correntista, non ha mai autorizzato, né tantomeno effettuato. Quindi si reca alla banca per chiedere spiegazioni e, soprattutto, per chiedere un rimborso, visto che lui quelle operazioni non le ha mai richieste. Di contro, l’intermediario scuote la testa: la procedura di quelle operazioni sembra regolare e il correntista è stato vittima di phishing solo per sua colpa, non certo della banca. Quella che andremo a trattare in questo articolo è la sentenza dell’Arbitro Bancario Finanziario (Collegio di Palermo) a proposito di questa vicenda, la Decisione n. 11126 del 25 luglio 2022. Chi ha ragione?
La normativa
Il Collegio di Palermo dell’ABF richiama prima di tutto le norme in materia di utilizzo fraudolento dei sistemi di pagamento. L’articolo 7 del Decreto legislativo n. 11 del 27 gennaio 2020 stabilisce quanto segue: “L’utilizzatore abilitato all’utilizzo di uno strumento di pagamento ha l’obbligo di:
- Utilizzare lo strumento di pagamento in conformità con i termini esplicitati nel contatto quadro, che ne regolano l’emissione e l’uso;
- Comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato, lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza”.
È l’utilizzatore a dover adottare le misure idonee a garantire la sicurezza dei dispositivi personalizzati che permettano l’utilizzo dello strumento di pagamento. In parole povere, se divento titolare di un conto corrente e della relativa carta di credito, devo fare in modo che i dati di accesso a questi prodotti sul mio telefono siano protetti e che ci siano le misure adeguate per evitare l’accesso a soggetti terzi o il furto dei dati stessi.
L’articolo 12 del medesimo D. Lgs, inoltre, aggiunge: “Salvo il caso in cui abbia agito in modo fraudolento, l’utilizzatore non sopporta alcuna perdita derivante dall’utilizzo di uno strumento di pagamento smarrito, sottratto o utilizzato indebitamente intervenuto dopo la comunicazione”. E sempre escluso l’utilizzo fraudolento, “l’utilizzatore non è responsabile delle perdite derivanti dall’utilizzo dello strumento di pagamento smarrito, sottratto o utilizzato indebitamente quando il prestatore di servizi di pagamento non ha adempiuto” agli obblighi di messa a disposizione dei canali di comunicazione dell’avvenuto evento. Infine, si legge che “l’utilizzatore può sopportare per un importo comunque non superiore complessivamente a 150 euro la perdita derivante dall’utilizzo indebito dello strumento di pagamento conseguente al suo furto o smarrimento”.
Phishing carte di credito e rimborso somme rubate: che colpe ha la banca?
In aggiunta a ciò si precisa che se lo strumento prevede dispositivi personalizzati di sicurezza (come PIN e password), spetta all’utilizzatore fare in modo che la riservatezza di queste informazioni riservate sia preservata. In particolar modo, quando il pagamento viene effettuato a distanza, “è necessario che l’utilizzatore ottenga l’autorizzazione del proprio prestatore di servizi di pagamento prima di fornire a terzi i codici per l’utilizzo del servizio o dello strumento di pagamento: in tal modo è possibile per il prestatore individuare le richieste dei codici di sicurezza provenienti da soggetti che simulino la legittimità della richiesta medesima, come nel caso del phishing”.
L’autorizzazione può essere innescata da uno specifico sistema di tutela, ovvero la doppia protezione, che può essere fornita dal sistema dei due fattori di protezione per autorizzare le operazioni. E proprio questo sistema forte, in questo caso specifico, sembra mancare dai log informatici relativi alle operazioni che sono stati prodotti. Il Collegio ricorda inoltre che “i dati statici della carta, per consolidato orientamento, non costituiscono valido elemento di autenticazione forte”. Da qui la responsabilità dell’intermediario, per non aver dimostrato l’applicazione di un sistema di protezione forte a doppio fattore e quindi la necessità di rimborsare il titolare delle carte di credito vittima di phishing.