Frode informatica nelle operazioni bancarie e onere della prova
- I fatti
- Il d.lgs. 27 gennaio 2010
- Le valutazioni del Collegio
- L’autenticazione forte nei servizi di pagamento
- Cosa cambia con il Regolamento delegato (UE) 2022/2360
- Le nuove regole della SCA per l’accesso ai conti
Il Collegio ABF di Milano è recentemente intervenuto in merito all’onere della prova in caso di frode informatica nelle operazioni bancarie.
La valutazione del Collegio è in verità piuttosto interessante, considerato che si tratta di una pronuncia piuttosto chiara sugli obblighi di autenticazione forte del cliente (o SCA, Strong Consumer Authentication), affermando che grava sulla banca la tutela del proprio cliente e, dunque, l’onere della prova nelle ipotesi di frode per strumento informatico.
Ma che cosa è accaduto nella fattispecie di cui si è occupato il Collegio?
Ricostruiamo brevemente i fatti e le conclusioni dell’ABF.
I fatti
Il cliente afferma di avere ricevuto un’email con un link in data 22 dicembre 2021 e di averlo aperto per errore, causando il blocco del cellulare.
Secondo il cliente, i truffatori avrebbero così avuto la possibilità di prelevare dal proprio conto corrente la somma di 12.500 euro. Il cliente nega infatti di aver mai fornito codici di accesso, password o autorizzazioni di alcun tipo.
Ciò considerato, domanda alla banca il rimborso dei 12.500 euro sottratti per questo caso di frode informatica.
Dal canto suo, la banca eccepisce la legittima esecuzione e sostanziale regolarità del bonifico online contestato, affermando che il cliente si sarebbe correttamente autenticato sulla piattaforma mobile (mediante app) con le credenziali a suo tempo rilasciate e aver autorizzato l’operazione inserendo il codice di sicurezza al ricevimento della notifica push sul cellulare.
Ancora, l’intermediario dichiara che, nonostante il cliente di chiari di non avere mai ricevuto o risposto a comunicazioni che potessero essere potenzialmente una truffa, l’assenza di un cenno ad un’operatività online dallo stesso intrapresa in concomitanza con l’addebito fa presumere che si tratti di una tipologia di phishing classica.
Cosa è accaduto secondo la banca nella frode informatica
Secondo la banca, il cliente sarebbe stato vittima di una truffa di SIM swap, poiché non ha lamentato alcuna variazione di intestazione della SIM, che ha continuato a funzionare anche dopo il riavvio del cellulare.
Peraltro, l’istituto di credito afferma di aver messo a disposizione del cliente l’attivazione gratuita del servizio di SMS alert, di default attivo all’interno dell’app, così come di aver tentato il richiamo del bonifico senza successo a causa del riscontro negativo del beneficiario e di aver reso edotta la clientela sulle varie forme di phishing in utilizzo. Dunque, conclude richiedendo il rigetto del ricorso.
A sua volta, il cliente ha replicato affermando di utilizzare la carta di debito per effettuare pagamenti di routine, autorizzati mediante codice OTP. Afferma altresì di aver subito un attacco da parte di hacker, con i truffatori che hanno disposto un pagamento che è di gran lunga superiore alle spese che sono normalmente sostenute.
Il d.lgs. 27 gennaio 2010 e frode informatica.
Il Collegio richiama subito l’art. 10 del d.lgs. 27 gennaio 2010, n.11, rubricato Prova di autenticazione ed esecuzione delle operazioni di pagamento, secondo cui:
Qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti.
Qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7.
Il Collegio richiama dunque anche l’art. 11 della stessa normativa, rubricato Responsabilità del prestatore di servizi di pagamento per le operazioni di pagamento non autorizzate, secondo cui:
Fatto salvo l’articolo 9, nel caso in cui un’operazione di pagamento non sia stata autorizzata, il prestatore di servizi di pagamento rimborsa immediatamente al pagatore l’importo dell’operazione medesima. Ove per l’esecuzione dell’operazione sia stato addebitato un conto di pagamento, il prestatore di servizi di pagamento riporta il conto nello stato in cui si sarebbe trovato se l’operazione di pagamento non avesse auto luogo.
In caso di motivato sospetto di frode, il prestatore di servizi di pagamento può sospendere il rimborso di cui al comma 1 dandone immediata comunicazione all’utilizzatore.
Il rimborso di cui al comma 1 non preclude la possibilità per il prestatore di servizi di pagamento di dimostrare anche in un momento successivo che l’operazione di pagamento era stata autorizzata; in tal caso il prestatore di servizi di pagamento ha il diritto di chiedere ed ottenere dall’utilizzatore la restituzione dell’importo rimborsato.
Il risarcimento di danni ulteriori subiti può essere previsto in conformità alla disciplina applicabile al contratto stipulato tra l’utilizzatore e il prestatore di servizi di pagamento.
Le valutazioni del Collegio
Dopo aver richiamato i due articoli, il Collegio ricorda come l’art. 1 lett. q-bis stabilisca che l’autenticazione del cliente è definita come
un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non comporta l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione.
Quindi, il Collegio rammenta come i requisiti sopra citati devono sussistere sia nelle fasi di accesso al conto, sia in quella di esecuzione delle singole operazioni.
Nella fattispecie ora in esame, l’intermediario ha dichiarato come le operazioni siano state correttamente contabilizzate, registrate e autenticate, e ne ricostruisce i singoli passaggi esecutivi. Dichiara dunque che ai fini dell’accesso al conto sarebbe richiesta la preventiva installazione di un’app sul dispositivo del cliente, oltre che l’associazione dello strumento di pagamento (conto corrente o carta di pagamento), e la configurazione del codice password mediante l’inserimento delle credenziali di accesso, dei dati dello strumento di pagamento, della password usa e getta, ma non produce alcuna evidenza finalizzata a sostenere tale ricostruzione.
L’autenticazione
Quindi, l’intermediario ha riferito come il bonifico sia stato autenticato mediante l’inserimento della password, producendo il dettaglio dei movimenti. Tale documento non prova però l’autenticazione tramite codice, né questo tipo di autenticazione è desumibile dall’ulteriore evidenza allegata, che dimostra solo l’avvenuta esecuzione dell’operazione dall’app.
Quindi, sulla base di tali elementi, il Collegio ha concluso che la documentazione prodotta dalla banca non sia sufficiente a offrire prova dell’adozione di un sistema di autenticazione forte, richiesto per i pagamenti elettronici dalle normative in vigore.
Considerato il fallimento della prova dell’adozione di un sistema di autenticazione forte, è irrilevante per il Collegio accertare se siano o meno fondate le controdeduzioni della banca, che vorrebbe dimostrare la colpa grave del cliente, vittima di un tipo di frode facilmente evitabile se avesse adottato una diligenza media, nell’adempimento degli obblighi di cui all’art. 7 del d.lgs. 27/1/2010 n. 11. Per escludere la responsabilità della banca, sarebbe invece stato necessario provare che il cliente avesse agito in modo fraudolento.
Dunque, richiamato anche l’art. 12 2-bis del d.lgs. 27/1/2010 n. 11, secondo cui
Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopportare alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente
la responsabilità per l’esecuzione fraudolenta del bonifico grava sull’intermediario. Ne deriva che la domanda del cliente merita pieno accoglimento per il Collegio ABF.
L’autenticazione forte nei servizi di pagamento
Giova a questo punto soffermarsi sulla breve definizione di autenticazione forte per evitare la frode informatica.
Per far ciò, ricordiamo come la Banca d’Italia definisca l’autenticazione forte del cliente (Strong Customer Authentication – SCA) come una procedura per convalidare l’identificazione di un utente basata sull’uso di due o più elementi di autenticazione (autenticazione a due fattori), appartenenti ad almeno due categorie tra le seguenti:
- conoscenza (qualcosa che solo l’utente conosce, come una password o un PIN)
- possesso (qualcosa che solo l’utente possiede, come un token/chiavetta, o uno smartphone)
- inerenza (qualcosa che caratterizza l’utente, come l’impronta digitale o il riconoscimento facciale).
Per Bankitalia tali elementi (credenziali di autenticazione) devono essere indipendenti tra loro. In altri termini, l’eventuale violazione di uno di essi non deve compromettere l’affidabilità degli altri.
L’istituto banchiere rammenta come gli utenti potranno rivolgersi all’intermediario che ha emesso la carta per verificare quali sono le modalità con cui procedere alla creazione e all’abilitazione dei fattori di autenticazione, oltre che per qualsiasi esigenza legata all’utilizzo della SCA.
La procedura di autenticazione
La procedura di autenticazione del cliente tramite SCA è propedeutica all’autorizzazione del pagamento on line e prevede, sulla base delle credenziali inserite dall’utente, la generazione di un codice di autorizzazione monouso, usa e getta, che deve essere accettato una sola volta dal prestatore di servizi di pagamento (di norma prende la forma di un codice OTP: One Time Password, erogato tramite app o mediante un token apposito). Il codice è legato indissolubilmente all’importo e al beneficiario: in questo modo, se il codice viene intercettato, non può essere usato per altri pagamenti.
Mediante la fornitura del codice di autorizzazione forte, l’intermediario punta pertanto ad offrire ai pagatori e agli esercenti una soluzione tecnica molto avanzata per il contrasto delle frodi. Dunque, in caso di problemi, come furti o smarrimenti, è ben più difficile l’utilizzo della carta da parte di soggetti diversi dal legittimo titolare.
Solamente in alcuni casi la normativa prevede che si possa fare a meno dell’autenticazione rafforzata, come avviene nei pagamenti a distanza a basso rischio (perché di modesta entità) o di operazioni ricorrenti successive ad una prima autorizzazione (come il pagamento delle rate di un abbonamento successive alla prima).
Cosa cambia con il Regolamento delegato (UE) 2022/2360
Nell’ultima parte della nostra guida cerchiamo di capire cos’è cambiato sul tema con il Regolamento delegato (UE) 2022/2360 della Commissione, pubblicato in Gazzetta Ufficiale dell’Unione Europea lo scorso 5 dicembre 2022, a modifica delle norme tecniche di regolamentazione sull’Autenticazione forte del cliente e sugli standard di comunicazione aperta comuni e sicuri definite dall’EBA (European Banking Authority), previste dalla PSD2, di cui al Regolamento delegato (UE) 2018/389.
In particolare, le variazioni introdotte dalla normativa comunitaria fanno riferimento all’esenzione di 90 giorni per l’accesso ai conti prevista dall’articolo 10 del Regolamento delegato (UE) 2018/389, sulla base del quale i prestatori di servizi di pagamento sono esentati dall’obbligo di eseguire l’autenticazione forte del cliente in alcuni determinati casi: i cambiamenti puntano ad assicurare l’uniformità del comportamento dei prestatori di servizi di pagamento e si applicheranno a partire dal 25 luglio 2023.
Le nuove regole per l’accesso ai conti tramite Home Banking
Entrando più nel dettaglio di questa novità, ricordiamo come i prestatori di servizi di pagamento possono non essere tenuti ad applicare la SCA nel caso in cui un utente (si ipotizza il cliente di un istituto di credito) acceda direttamente al proprio conto di pagamento online, attraverso il servizio di Home Banking, a condizione che l’accesso sia limitato alla visualizzazione del saldo o della cronologia delle transazioni di uno o più conti di pagamento designati, senza divulgare dati di pagamento sensibili.
Di contro, l’autenticazione forte del cliente deve sempre essere applicata in altri casi che il legislatore comunitario ha evidentemente ritenuto essere di maggiore importanza, tali da richiedere la doppia autenticazione:
- se l’utente del servizio bancario accede alle informazioni online per la prima volta
- se sono trascorsi più di 180 giorni dall’ultima volta che l’utente ha avuto accesso alle informazioni online ed è stata applicata l’autenticazione forte del cliente.
Ricordiamo invece che nella precedente versione della normativa l’esenzione dall’uso di un’autenticazione forte poteva avvenire solamente entro 90 giorni dall’ultima volta che l’utente aveva avuto accesso alle informazioni online ed era stata applicata l’autenticazione forte del cliente.
Le nuove regole per l’accesso ai conti tramite AISP e la frode informatica.
Come abbiamo visto, le banche e – più in generale – tutti i prestatori di servizi di pagamento, possono non applicare la disciplina dell’autenticazione forte del cliente in alcune ipotesi. Lo stesso vale nel caso in cui i servizi siano erogati mediante AISP.
Di fatti, è possibile non applicare la SCA nel caso in cui l’utente acceda al proprio conto di pagamento online attraverso un prestatore di servizi di informazione sui conti o AISP (Account Information Service Provider), ma solo se l’accesso è limitato alla visualizzazione del saldo o della cronologia delle transazioni di uno o più conti di pagamento, senza che siano però rivelati altri dati di pagamento sensibili.
Di contro, anche nelle ipotesi di gestione da parte di AISP, la SCA deve sempre e comunque essere applicata nei seguenti casi:
- se l’utente del servizio bancario accede alle informazioni online per la prima volta
- se sono trascorsi più di 180 giorni dall’ultima volta che l’utente ha avuto accesso alle informazioni online ed è stata applicata l’autenticazione forte del cliente.
L’esenzione della SCA nella frode informatica
Ricordiamo anche in questa occasione che nella precedente versione della normativa l’esenzione della SCA poteva avvenire solamente entro 90 giorni dall’ultima volta che l’utente aveva avuto accesso alle informazioni online tramite AISP ed era stata applicata l’autenticazione forte del cliente.
Ad ogni modo, si ricorda che in deroga a quanto è stato disposto con il nuovo Regolamento delegato (UE) 2022/2360, i prestatori di servizi di pagamento possono comunque scegliere di applicare l’autenticazione forte del cliente nel caso in cui l’utente acceda al proprio conto di pagamento online tramite un AISP se hanno ragioni oggettivamente giustificate e comprovate relative all’accesso non autorizzato o fraudolento al conto di pagamento.
In tali ipotesi, però, al prestatore di servizi di pagamento è richiesto di documentare e di giustificare le proprie ragioni per l’applicazione della SCA all’autorità nazionale competente che ne faccia richiesta ovvero, per il nostro Paese, la Banca d’Italia.
Le nuove regole della SCA per l’accesso ai conti
Ricordiamo inoltre che il Regolamento delegato (UE) 2018/389 ha previsto che le banche e gli altri prestatori di servizi di pagamento di radicamento del conto, abilitati dalla Direttiva PSD2 a permettere l’accesso ai conti del cliente attraverso l’impiego di interfacce dedicate su Open API (Application Programming Interface), possono consentire all’AISP di fruire delle stesse interfacce poste a disposizione degli utenti dei servizi di pagamento per l’autenticazione e la comunicazione con il prestatore di servizi di pagamento di radicamento del conto (si pensi all’Home Banking e alla sua interfaccia), fino a quando per l’interfaccia dedicata non è ripristinato il livello di disponibilità e di prestazioni stabilito dal regolamento comunitario stesso.
Con il nuovo regolamento UE 2022/2360, però, le cose cambiano. Il provvedimento dispone infatti che i prestatori di servizi di pagamento che offrono un’interfaccia dedicata per l’accesso ai conti, possano disapplicare l’esenzione di cui sopra se non applicano la stessa esenzione all’interfaccia diretta.
Pertanto, se un istituto di credito non applica l’esenzione fino a 180 giorni a beneficio dei propri clienti che accedono ai loro conti tramite home banking, può non applicare l’esenzione dei 180 giorni se l’interfaccia dedicata basata su Open API utilizzata dagli AISP non funziona, essendo determinate le condizioni per cui è necessario attivare meccanismi di emergenza.