a) acceda al suo conto di pagamento online;
b) disponga un’operazione di pagamento elettronico;
c) effettui qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.
Nel caso esaminato dal collegio, il titolare di un conto corrente online si è avveduto di non avere più connessione dati sul cellulare in data 4/5/2020. Si è quindi recato presso il proprio gestore telefonico che gli ha cambiato la sim ritenuta malfunzionante. La linea veniva così riattivata in giornata, poco dopo le ore 18:10. Alle ore 19:00 circa, il ricorrente ha ricevuto una telefonata da un funzionario della banca che gli comunicava l’esecuzione, in pari data, di due bonifici di importo “anomalo” (nella specie uno di 4.100 euro e uno di 3.900 euro). Il ricorrente, non avendo mai autorizzato tali operazioni, provvedeva al relativo disconoscimento. Il 5/5/2020, ha poi sporto denuncia presso le autorità competenti e il successivo 18/5 l’intermediario ha riaccreditato le somme contestate sul conto del ricorrente salvo poi stornare tale accredito in data 11/8/2020.
L’Arbitro bancario finanziario pronunciandosi sul caso ha accolto la richiesta del correntista ritenendo che il sistema di autenticazione adottato dalla banca non fosse adeguato in quanto era stato utilizzato lo stesso canale, potenzialmente compromesso, sul quale il cliente aveva già ricevuto la password usa e getta dispositiva (Otp). In proposito il collegio ha considerato che un punto cruciale nella definizione dei sistemi di sicurezza è l’indipendenza dei diversi fattori di sicurezza in modo tale che la violazione di uno di essi non comprometta l’affidabilità degli altri. L’intermediario, nel caso di sospetto di frode, dovrebbe quindi adottare altre misure che assicurino un effettivo controllo dell’identità del soggetto che ha eseguito l’operazione attraverso un fattore aggiuntivo indipendente da quelli già utilizzati per la sua autenticazione.
Anche la giurisprudenza civile ha confermato tale impostazione. In diverse pronunce è stato affermato che l’intermediario bancario deve adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, a prevenire i danni. Non è sufficiente la non violazione di norme di legge, posto che la diligenza richiesta deve essere valutata con maggior rigore trattandosi di un’attività professionale (sentenza 20/12/2009 Tribunale di Palermo, sentenza 4/12/2014 Tribunale di Milano).
L’esonero della responsabilità della banca è invece previsto qualora l’intermediario dimostri che l’evento dannoso non sia a essa imputabile perché derivante da trascuratezza, errore o frode del correntista o da forza maggiore (Cass. 10638 del 23705/2016).