Sei sulla pagina 1di 5

COLLEGIO DI MILANO

composto dai signori:

(MI) LAPERTOSA Presidente

(MI) MINNECI Membro designato dalla Banca d'Italia

(MI) BARILLA' Membro designato dalla Banca d'Italia

(MI) MANENTE Membro di designazione rappresentativa


degli intermediari

(MI) DI NELLA Membro di designazione rappresentativa


dei clienti

Relatore (MI) BARILLA'

Seduta del 10/06/2021

Esame del ricorso n. 221666 del 10/02/2021

proposto da SOZZANI FRANCESCO

nei confronti di 5034 - BANCO BPM S.P.A.

1/5
Arbitro Bancario Finanziario www.arbitrobancariofinanziario.it
COLLEGIO DI MILANO

composto dai signori:

(MI) LAPERTOSA Presidente

(MI) MINNECI Membro designato dalla Banca d'Italia

(MI) BARILLA' Membro designato dalla Banca d'Italia

(MI) MANENTE Membro di designazione rappresentativa


degli intermediari

(MI) DI NELLA Membro di designazione rappresentativa


dei clienti

Relatore (MI) BARILLA'

Seduta del 10/06/2021

FATTO

Il cliente nel ricorso espone quanto segue:


 di essere intestatario del conto corrente n.**114 acceso presso l’intermediario;
 che in data 20.07.2020 riceveva un sms apparentemente proveniente
dall’intermediario, in cui veniva invitato a cliccare sul link inserito all’interno del
messaggio per verificare movimentazioni anomale sul proprio conto;
 che, in buona fede, cliccava sul link inserito nel messaggio e veniva reindirizzato in
una pagina civetta del tutto simile a quella originale dell’intermediario, in cui era
presente l’avviso che sarebbe stato contattato a breve per risolvere il disservizio;
 che poco dopo veniva contattato telefonicamente dal numero verde
dell’intermediario, al quale l’interlocutore si presentava come un operatore - a
conoscenza dei suoi dati personali - e lo guidava in una apparente procedura di
storno di supposti bonifici fraudolentemente autorizzati;
 che nel mentre riceveva una “vera” mail dall’intermediario circa l’esistenza di
operazioni fraudolente, e pertanto si sentiva rassicurato sulla veridicità della
procedura;

Pag. 2/5
 che successivamente si receva in filiale, su segnalazione dell’intermediario, ed
apprendeva che ignoti truffatori avevano effettuato cinque operazioni non
autorizzate per un ammontare complessivo pari a euro 39.950,00;
 che gli operatori dell’intermediario hanno tardato nel bloccare il conto, aspettando
che lo stesso si recasse di persona in filiale, quando invece ne aveva chiesto il
blocco già in precedenza al telefono;
 che si è verificato un grave problema di dispersione dei dati personali, la cui
responsabilità è da ricondursi all’intermediario;
 che, nonostante la banca avesse già rilevato un movimento sospetto come
testimonia la mail inviata, non ha provveduto a bloccare immediatamente
l’operazione;
 di non aver mai effettuato bonifici in uscita dal suddetto conto;
 che l’accaduto ha causato gravi ripercussioni sullo stato di salute del cliente.
Chiede il rimborso di complessivi € 40.011,91 comprensivi di € 61,91 di commissioni per
l’esecuzione dei bonifici contestati.
L’Intermediario nelle controdeduzioni afferma:
 di aver adottato tutti i presidi di sicurezza previsti dalla normativa in materia di SCA;
 che il cliente ha avuto più occasioni per ciascuna operazione per non autorizzare le
transazioni, anche avuto a riguardo il tenore letterale dei messaggi;
 che il cliente ha appreso della truffa su segnalazione della banca, che si è attivato
per richiamare i bonifici, ma senza successo;
 che la banca dal 20.07.2020 ha provveduto a bloccare l’utenza del ricorrente;
 che i sistemi antifrode dalla banca hanno funzionato bloccato almeno sei bonifici;
 che dalla dinamica della vicenda occorsa, così come descritta in denuncia e in
ricorso, appare evidente che il ricorrente è stata vittima di un phishing;
 che il ricorrente non produce lo screenshot degli SMS ricevuti impedendo - di fatto –
ogni valutazione circa la riconducibilità dell’SMS /telefonate alla banca sia da un
punto di vista formale (provenienza del messaggio) che sostanziale (correttezza
nella redazione del messaggio);
 che ormai da tempo lo scrivente intermediario sta rendendo edotta la propria
clientela con riguardo alle insidie informatiche e alle truffe più frequenti;
 che si tratta di un inescusabile errore, favorito da un raggiro da parte di terzi, in
presenza del quale la Banca non poteva, e non avrebbe potuto, offrire alcuno
strumento di difesa, oltre agli alert già pubblicati sul sito istituzionale.
Chiede il rigetto del ricorso.
Il cliente nelle repliche precisa:
 che non rileva che il numero verde sia nel caso specifico abilitato solo a ricevere
chiamate, in quanto in generale i clienti ricevono chiamate dal numero verde;
 che in quanto gravemente ipoudente, non è un utente digitale, non ha mai
utilizzato la app e si è sempre recato in filiale per effettuare le operazioni;
 che la banca ha consentito un bonifico di 20.000,00 euro anomalo rispetto alla
normale operatività del conto, consistita fino alla truffa esclusivamente in prelievi
settimanali di 200,00 euro;
 che, inoltre, tra le 14:09 e le 14:29 il sistema antifrode della banca ha bloccato
sei tentativi di operazioni fraudolenti, ma inspiegabilmente successivamente ha
consentito un bonifico istantaneo alle 14:36;
 di essere caduto vittima della truffa particolarmente sofisticata.

L’intermediario in sede di controrepliche precisa:


Pag. 3/5
 che la circostanza che si siano attivati i sistemi di monitoraggio antifrode
dimostra che la Banca dispone di presidi conformi alla normativa vigente ed
idonei ad inibire operazioni sospette o fraudolente;
 che integrazioni allegate da controparte consentono di confutare con maggior
vigore lo spoofing alla luce della discrasia nel mittente rispetto ai messaggi
genuini inviati dalla banca, del link non conforme a quello istituzionale e del
tenore letterale dei messaggi truffaldini.

DIRITTO

Le operazioni contestate sono state effettuate in data 20.07.2020; a detta data era vigente
il D.lgs. 27 gennaio 2010, n. 11 come modificato dal D.lgs. n. 218/17 di attuazione della
direttiva 2015/2366/EU (PSD II). Si tratta di 5 operazioni contestate (tutti e 5 bonifici
istantanei) per un importo complessivo di € 39.950,00 (oltre euro 11,50 di commissioni). Si
precisa che il ricorrente aveva erroneamente quantificato le commissioni in euro 61,91
includendo verosimilmente nel conteggio anche un bonifico in entrata per euro 50,41.
L’intermediario ha adottato un sistema di autenticazione multifattoriale per l’operazione
prodromica all’autorizzazione della transazione disconosciuta, consistita nella installazione
dell’app sul device dei frodatori. Quanto alle modalità della truffa, sembrerebbe che il
cliente abbia dato seguito ad un tentativo di smishing misto a vishing. Il ricorrente dichiara
di aver cliccato sul link inviato tramite un sms, nella ingenua convinzione di interloquire
con l’intermediario; riferisce, inoltre, che la telefonata ricevuta dal sedicente operatore
proveniva dal numero verde di quest’ultimo (cfr. screenshot allegato dal ricorrente).
Il Collegio osserva che la provenienza della chiamata da parte di un numero riconducibile
all’intermediario integra lo schema fraudolento riconducibile al c.d. vishing caller ID
spoofing. Come evidenziato da entrambe le parti - il giorno 20.07.2020 il sistema antifrode
dell’intermediario ha bloccato ben 6 operazioni tra le 14:19 e le 14:29, permettendo invece
l’esecuzione di due bonifici istantanei di 4.900,00 euro ciascuno pochi minuti dopo, alle
14:30 e alle 14:36. Il blocco del conto è stato disposto dall’intermediario soltanto il giorno
20 luglio 2020, dopo tre giorni dalle prime tre operazioni fraudolente avvenute il giorno 17
luglio 2020.
Agli atti non risulta che il servizio di sms alert fosse attivo. Con riferimento alla sua
mancata attivazione, i Collegi hanno convenuto di confermare la posizione assunta dal
Collegio di coordinamento sul servizio di sms-alert, ritenuto fondamentale presidio di
sicurezza a tutela dell’utente, anche in considerazione dell’obbligo di buona fede
nell’esecuzione del contratto. Pertanto, la mancata attivazione del servizio di sms-alert o
altro servizio assimilabile – con una valutazione di equivalenza tra i due servizi da
condurre caso per caso (ad es. notifica tramite app dell’intermediario o tramite e-mail) –
costituisce generalmente un profilo di responsabilità dell’intermediario (da inadeguata
organizzazione imputabile esclusivamente al medesimo intermediario), da cui questi può
andare esente solo dimostrando l’esplicito rifiuto dell’utente ad avvalersene. Nel caso di
specie non è allegato alcun esplicito rifiuto in capo al ricorrente.
Nel caso in questione, oltre a non risultare attivo il suddetto servizio di sms-alert, consta al
Collegio che il ricorrente, come da documentazione allegata, abbia ricevuto una telefonata
dal numero verde dell’intermediario, circostanza che lo ha indotto a credere nella genuinità
della conversazione. Giova richiamare il costante orientamento di questo Arbitro in base al
quale, in caso di phishing (o analoga fattispecie, come quella odierna, consistita nel c.d.
smishing), in cui sia riscontrata la colpa grave del cliente e sia stata prodotta la prova di
Pag. 4/5
autenticazione delle operazioni fraudolente, residuano margini di valutazione della
responsabilità dell’intermediario in relazione alle circostanze del caso concreto. Ad es.
rilevano: la mancata attivazione dell’sms-alert; il mancato blocco delle operazioni
individuate come sospette dallo stesso intermediario; la sussistenza di uno degli indici di
rischio di frode ex art. 8 del D.M. 112/2007; la tempestiva segnalazione del cliente e
mancato blocco dell’operazione da parte dell’intermediario; l’utilizzo di un indirizzo IP
estero.
Le operazioni contestate sono tutte bonifici istantanei, la cui effettuazione è risultata
possibile in quanto il ricorrente ha cliccato su un link truffaldino ricevuto via sms. Il link in
questione peraltro era ben congegnato e la sua origine truffaldina risultava di non
immediata evidenza. La circostanza in base alla quale il giorno 17 luglio 2020 non sia
stato effettuato il blocco del conto corrente e ancora ben tre giorni dopo venivano
compiute altre due operazioni fraudolente (mentre altre venivano bloccate per sospetta
frode), unitamente al fatto che non risulta fosse attivo il servizio di sms-alert consentono al
Collegio di ritenere che l’intermediario non abbia posto in essere tutti i presidi di sicurezza
necessari ad evitare le ripetute frodi ai danni del ricorrente, il quale deve pertanto essere
rimborsato della cifra richiesta (al netto dell’errore concernente le commissioni).

PER QUESTI MOTIVI

Il Collegio accoglie parzialmente il ricorso e dispone che l’intermediario corrisponda


alla parte ricorrente la somma di € 39.962,00.
Il Collegio dispone inoltre, ai sensi della vigente normativa, che l’intermediario
corrisponda alla Banca d’Italia la somma di € 200,00, quale contributo alle spese
della procedura, e alla parte ricorrente la somma di € 20,00, quale rimborso della
somma versata alla presentazione del ricorso.

IL PRESIDENTE

firma 1

Pag. 5/5