nessuna esenzione da SCA se l’accesso al conto è funzionale a un pagamento. – Diritto del Risparmio

Lo spoofing.

Quello in cui si è imbattuto il cliente nel caso affrontato dalla decisione dell’ABF in commento è definito, nel linguaggio tecnico, spoofing, termine col quale si fa riferimento alla manipolazione dei dati trasmessi in una rete telematica, attraverso la falsificazione del proprio indirizzo IP o del proprio profilo mittente.

In particolare, lo spoofing dell’ID chiamante è la pratica attraverso cui si manipola la rete telefonica in modo da far apparire che una certa comunicazione provenga da un soggetto diverso dal suo effettivo mittente.

Si tratta di pratica più insidiosa e sofisticata di altre pratiche truffaldine, come riconosciuto dalla stessa Banca d’Italia nella relazione pubblicata nel giugno 2024 sull’attività dell’ABF nel corso del 2023:

“Le frodi informatiche sono volte a catturare le credenziali di accesso ai servizi bancari online per effettuare operazioni di pagamento non autorizzate dal cliente.

Una frode molto diffusa è il phishing (richiesta via e-mail alla vittima di inserire dati personali attraverso un link a un sito, che di solito è un clone di quello della propria banca) con le sue varianti del vishing (phishing per telefono) e dello smishing (phishing per SMS).

Truffe più sofisticate sono lo spoofing, che si verifica quando i truffatori camuffano la provenienza della e-mail, dell’SMS o della telefonata in modo che l’autore sembri l’intermediario, e il man in the browser, un software malevolo (malware) che si interpone tra il computer della vittima e il sistema della banca. “

Su queste premesse, la stessa relazione afferma che “In caso di spoofing tramite SMS l’utente risponde per colpa grave solo in presenza di indici gravi di inattendibilità o di anomalia dei messaggi inviati dai frodatori.”.

Il caso sottoposto all’ABF.

Nel caso sottoposto all’ABF, il frodatore aveva camuffato il proprio ID chiamante inviando al cliente un messaggio che l’apparecchio cellulare associò al profilo della banca.

Più in particolare, il cliente ricevette un messaggio che lo invitava a certificare la propria utenza e questo messaggio comparve, nel suo apparecchio, nella stessa chat correttamente usata dalla banca per rivolgere comunicazioni di servizio, in coda ad altri precedenti messaggi genuini, il che fece ritenere al cliente che la banca fosse effettivamente la mittente.

I truffatori avevano insomma inviato un messaggio civetta, riuscendo a manipolare i dati identificativi del mittente in maniera tale che la rete indirizzasse e rubricasse il messaggio esattamente nella chat di comunicazione dedicata agli scambi genuini intervenuti in precedenza con la banca.

In buona fede, il cliente attivò il link al quale il messaggio chiedeva di eseguire la verifica dell’utenza, link che all’apparenza non conteneva elementi di anomalia, essendo presente il suffisso “https://”, la rassicurante locuzione “cert” e, soprattutto, il nome della banca.

Quel link aprì una schermata identica a quella del servizio di home banking della banca, ove venne richiesto al cliente di inserire le proprie credenziali per una verifica che, in realtà, celava un processo di recovery o enrollement, ossia di abilitazione di un altro dispositivo.

A seguito dell’inserimento delle credenziali richieste dal truffatore, si attivò così il sistema effettivo della banca per associare all’utenza bancaria il nuovo dispositivo del frodatore.

Il cliente, tratto in inganno, completò l’iter inserendo le proprie credenziali e ricevette dal frodatore un rassicurante messaggio di certificazione dell’utenza telefonica (che, invece, era stata nel frattempo duplicata) (cfr. ancora la foto sopra).

Il giorno seguente il truffatore, attraverso il profilo del cliente clonato su altro dispositivo, dispose una serie di bonifici sottraendo così fondi dal conto, fondi per il cui rimborso il cliente si è allora rivolto all’ABF.

La normativa applicabile.

Come è noto, le operazioni contestate sono disciplinate dal d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell’entrata in vigore (il 13/01/2018) del D.lgs. 15 dicembre 2017, n. 218, di recepimento della direttiva (UE) 2015/2366 (c.d. PSD2) relativa ai servizi di pagamento nel mercato interno.

Per il caso trattato dall’ABF risultano rilevanti gli artt. 7, 10, 10-bis e 12: disposizioni che, con l’obiettivo dichiarato di tutelare l’utente, allocano in via tendenziale sull’intermediario il rischio di utilizzazione fraudolenta degli strumenti di pagamento.

In particolare, l’art. 10 pone a carico dell’intermediario l’onere di provare “che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”, precisando, al secondo comma, che “l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7”, incombendo sull’intermediario anche “la prova della frode, del dolo o della colpa grave dell’utente”.

L’art. 12, comma 2-bis, d.lgs. n. 11/2010 esclude che la perdita derivante da un’operazione fraudolenta possa essere sopportata, anche solo in parte, dall’utilizzatore nel caso in cui, escluso il caso della frode commessa da quest’ultimo, il prestatore del servizio non abbia richiesto l’autenticazione forte (“Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente”).

Strong customer authentication.

L’autenticazione forte consiste in “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione” (art. 1, comma 1, lett. q-bis, d.lgs. n. 11/2010).

L’autenticazione forte, ai sensi dell’art. 10-bis, è dovuta conformemente all’articolo 98 della direttiva (UE) 2015/2366 e alle relative norme tecniche di regolamentazione adottate dalla Commissione europea, quando l’utente:

1. accede al suo conto di pagamento on-line;
2. dispone un’operazione di pagamento elettronico;
3. effettua qualsiasi azione, tramite un canale a distanza, che possa comportare un rischio di frode nei pagamenti o altri abusi.

L’autenticazione forte è quindi richiesta non solo quando l’utente effettui un’operazione di pagamento elettronico, ma anche quanto acceda al conto di pagamento e allorché effettui qualsiasi azione, tramite un canale a distanza, che possa “comportare un rischio di frode nei pagamenti o altri abusi.”

Pertanto, la richiesta di SCA dovrebbe caratterizzare anche la fase che precede l’operazione di pagamento.

In assenza della dimostrazione della corretta autenticazione forte (artt. 10, 10-bis e 12, comma 2-bis, d.lgs. n. 11/2010) e salva la dimostrazione dell’agire fraudolento del pagatore (nel caso di specie assente), il rischio di operazioni di pagamento disconosciute da quest’ultimo ricade quindi sull’intermediario.

SCA e esenzioni.

Nel caso di specie la banca aveva eccepito che le operazioni di pagamento fossero state correttamente autenticate tramite SCA, precisando di essersi avvalsa, ai fini del solo preliminare accesso ai propri servizi di internet/mobile banking, della facoltà di esenzione dalla SCA prevista dall’art. 10 del Regolamento Delegato della Commissione UE n.2018/389 del 27 novembre 2018 (c.d. RTS SCA) per gli accessi successivi al primo, se intervenuti entro 90 giorni dall’ultimo accesso in cui sia stata inserita una SCA.

L’art. 10 di tale regolamento afferma che “I prestatori di servizi di pagamento sono autorizzati a non applicare l’autenticazione forte del cliente (…) se l’utente dei servizi di pagamento è limitato nell’accesso a uno dei seguenti elementi online o a entrambi senza che siano divulgati dati sensibili relativi ai pagamenti: a) il saldo di uno o più conti di pagamento designati; b) le operazioni di pagamento eseguite negli ultimi 90 giorni attraverso uno o più conti di pagamento designati”.

Conformemente al precedente di Collegio Bologna, dec. n. 9591/2024, il Collegio di Milano, con la decisione in commento, ha dato una lettura restrittiva di tale disposizione, ritenendo che la stessa legittimi esenzioni soltanto per consentire un accesso puramente informativo, vale a dire limitato – per stare al dettato della norma – all’esame del saldo del conto e delle operazioni di pagamento eseguite negli ultimi 90 giorni.

Laddove, invece, l’utilizzatore desideri compiere altre e differenti azioni da quelle elencati dall’art. 10 (come, ad esempio, accedere ad altri contenuti del proprio profilo di home banking), per il Collegio di Milano l’intermediario è tenuto a chiedere sempre la SCA. 

Pertanto, non ritenendo fornita la prova di autenticazione forte nella fase di accesso preliminare alle disposizioni di pagamento seguite il giorno successivo dal truffatore, l’ABF ha condannato la banca a rimborsare i fondi sottratti.

Va detto che nel procedimento il cliente aveva rilevato che lo stesso Considerando n. (5) del Regolamento delegato (UE) 2022/2360 della Commissione del 3 agosto 2022, che ha modificato le norme tecniche di regolamentazione di cui al regolamento delegato (UE) 2018/389 per quanto riguarda l’esenzione di 90 giorni per l’accesso ai conti, stabilisce che “Per garantire la sicurezza e la protezione dei dati degli utenti dei servizi di pagamento, i prestatori di servizi di pagamento dovrebbero essere autorizzati, in qualsiasi momento, ad applicare l’autenticazione forte del cliente qualora abbiano motivi obiettivamente giustificati e debitamente comprovati connessi all’accesso non autorizzato o fraudolento”.

Tale disposizione è stata poi trasfusa nel nuovo art. 10-bis, comma 3 del modificato Reg. UE 2018/389, il quale afferma che “In deroga al paragrafo 1, i prestatori di servizi di pagamento sono autorizzati ad applicare l’autenticazione forte del cliente se l’utente dei servizi di pagamento accede al suo conto di pagamento online mediante un prestatore di servizi di informazione sui conti e il prestatore di servizi di pagamento ha motivi obiettivamente giustificati e debitamente comprovati connessi all’accesso non autorizzato o fraudolento al conto di pagamento.”

Sulla base di tali disposizioni, nella tesi del cliente, l’avvio di un procedimento di enrollement del dispositivo doveva suscitare di per sé allarme o comunque essere visto come un processo non ordinario che potenzialmente poteva nascondere una frode. 

Quindi, sempre nella tesi del cliente, la banca avrebbe dovuto comunque ripristinare la SCA di fronte a dati di funzionamento (puntualmente registrati dai sistemi bancari, come emerso nel corso del procedimento) da ritenersi sospetti.

Nel caso di specie, si aggiunga, i pagamenti fraudolenti non intervennero “within the same session”, per usare le parole usate dall’EBA in chiave esimente nella risposta data a riscontro della Q&A 2020/5516 (https://www.eba.europa.eu/single-rule-book-qa/qna/view/publicId/2020_5516) in merito alla possibilità di riutilizzare, ai fini della del completamento della SCA, un fattore (in questo caso, la password segreta) già inserito in precedenza nella medesima sessione di comunicazione.

Nel caso di specie, i truffatori disposero i pagamenti nel corso di una nuova sessione intervenuta il giorno successivo a quello in cui poteva dirsi effettivamente eseguita una SCA in fase di accesso.