Bonifici non autorizzati, le regole per il rimborso

L’Arbitro bancario finanziario, con la decisione n. 9557 dell’8/04/2021, depositata lo scorso 3 giugno, ha precisato che gli intermediari bancari devono applicare l’autenticazione forte del cliente qualora l’utente:
a) acceda al suo conto di pagamento online;
b) disponga un’operazione di pagamento elettronico;
c) effettui qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

La banca è quindi tenuta al rimborso delle somme relative a bonifici non autorizzati se non dimostra che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.

Nel caso esaminato dal collegio, il titolare di un conto corrente online si è avveduto di non avere più connessione dati sul cellulare in data 4/5/2020. Si è quindi recato presso il proprio gestore telefonico che gli ha cambiato la sim ritenuta malfunzionante. La linea veniva così riattivata in giornata, poco dopo le ore 18:10. Alle ore 19:00 circa, il ricorrente ha ricevuto una telefonata da un funzionario della banca che gli comunicava l’esecuzione, in pari data, di due bonifici di importo “anomalo” (nella specie uno di 4.100 euro e uno di 3.900 euro). Il ricorrente, non avendo mai autorizzato tali operazioni, provvedeva al relativo disconoscimento. Il 5/5/2020, ha poi sporto denuncia presso le autorità competenti e il successivo 18/5 l’intermediario ha riaccreditato le somme contestate sul conto del ricorrente salvo poi stornare tale accredito in data 11/8/2020.

Secondo il titolare del conto i bonifici in uscita erano stati eseguiti da terze persone che si erano avvalse della password usa e getta ricevuta grazie all’abusivo impossessamento della sua sim, associata al numero telefonico. Il correntista ha ritenuto quindi di essere stato vittima del così detto “sim swap fraud”. Si tratta di un’azione fraudolenta che consente agli autori della truffa di avere accesso al numero di telefono del legittimo proprietario e di violare così determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione. Il correntista ha quindi chiesto alla banca il rimborso dei due bonifici non autorizzati per un controvalore complessivo di 8 mila euro.

La banca, a sua volta, si è opposta sostenendo la colpa grave nella custodia dei codici personali e degli apparati informatici da parte del correntista, senza tuttavia fornire prove al riguardo. Ha inoltre lamentato la responsabilità della compagnia telefonica nella mancata identificazione dell’effettivo titolare della sim.

L’Arbitro bancario finanziario pronunciandosi sul caso ha accolto la richiesta del correntista ritenendo che il sistema di autenticazione adottato dalla banca non fosse adeguato in quanto era stato utilizzato lo stesso canale, potenzialmente compromesso, sul quale il cliente aveva già ricevuto la password usa e getta dispositiva (Otp). In proposito il collegio ha considerato che un punto cruciale nella definizione dei sistemi di sicurezza è l’indipendenza dei diversi fattori di sicurezza in modo tale che la violazione di uno di essi non comprometta l’affidabilità degli altri. L’intermediario, nel caso di sospetto di frode, dovrebbe quindi adottare altre misure che assicurino un effettivo controllo dell’identità del soggetto che ha eseguito l’operazione attraverso un fattore aggiuntivo indipendente da quelli già utilizzati per la sua autenticazione.

Anche la giurisprudenza civile ha confermato tale impostazione. In diverse pronunce è stato affermato che l’intermediario bancario deve adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, a prevenire i danni. Non è sufficiente la non violazione di norme di legge, posto che la diligenza richiesta deve essere valutata con maggior rigore trattandosi di un’attività professionale (sentenza 20/12/2009 Tribunale di Palermo, sentenza 4/12/2014 Tribunale di Milano).

L’esonero della responsabilità della banca è invece previsto qualora l’intermediario dimostri che l’evento dannoso non sia a essa imputabile perché derivante da trascuratezza, errore o frode del correntista o da forza maggiore (Cass. 10638 del 23705/2016).