Carte di credito e wallet digitale: la sottrazione e la presupposizione di colpa per il Cliente. La tokenizzazione e l’autenticazione a due fattori.

Carte di credito e wallet digitale: la sottrazione e la presupposizione di colpa per il Cliente. La tokenizzazione e l’autenticazione a due fattori.

  • Italica Service, Editore della rivista

I temi di quest’articolo sono entrambi molto attuali e contemporanei, laddove purtroppo si verificano con discreta costanza delle indebite sottrazioni di somme ai danni dei Clienti.

Cominceremo dal primo e poi affronteremo anche alcuni rilievi del secondo.

  1. Carte di credito: la sottrazione e la presupposizione di colpa per il Cliente

Negli anni diversi Clienti si sono rivolti al sottoscritto, presso lo Studio legale Solferini (link: https://www.studiolegalesolferini.com/ ) lamentando il furto della carta di credito e l’indebito utilizzo successivo.

Prima di tutto rimando al mio precedente articolo in punto di diritto laddove avevamo già tracciato da tempo i profili di maggior rilievo sulla questione: Truffe informatiche: sottrazione di codici, operazioni fraudolente e anomale. Indicazioni su come procedere per ottenere la restituzione”. Link: https://www.vagliomagazine.it/truffe-informatiche-sottrazione-di-codici-operazioni-fraudolente-e-anomale-indicazioni-su-come-procedere-per-ottenere-la-restituzione/

Attualmente accade che, per sottrarsi da responsabilità le Banche sono riuscite a “far passare” una recente chiave interpretativa basata sul tempo che intercorre tra il furto e l’utilizzo non autorizzato della carta prima del suo blocco.

Prima di procedere corre l’obbligo di ribadire che il Cliente non dovrebbe mai agire in persona bensì rivolgersi ad un Avvocato esperto in queste procedure.

Come pure che, salvo la procedura di blocco, è prudente valutare bene se rivolgersi alla propria Banca per la contestazione che spesso e volentieri, come io stesso ho potuto constatare nello svolgimento della mia professione, potrebbe anche rilasciare delle indicazioni sbagliate o parziali tali per cui in un primo momento si ottiene il ristoro delle somme indebitamente prelevate ma poi vengono richieste indietro.

Tutto ciò posto il quadro normativo di riferimento è nella maggioranza dei casi il seguente: d.lgs. 27 gennaio 2010, n. 11, come modificato dal d.lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), che modifica le direttive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento (UE) n.1093/2010, e abroga la direttiva 2007/64/CE, e di adeguamento delle disposizioni interne al regolamento (UE) n. 751/2015 relativo alle commissioni interbancarie sulle operazioni di pagamento basate su carta.

Orbene relativamente al furto della carta vige, come già commentato in precedenza, il più che condivisibile orientamento del Collegio di coordinamento ABF n. 22745/19 che ha fissato il seguente principio: “la previsione di cui all’art. 10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’”autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente”.

Quindi ciò si traduce nella necessità che la Banca riesca a dimostrare che il Cliente è quantomeno tacciabile di un colpa grave e tale prova può ricavarsi anche in via presuntiva.

Affinchè sia molto ben chiaro, la colpa grave in questi casi è, usando un linguaggio della “working class” la c.d. sbadataggine come si diceva una volta. Quel comportamento cioè che, si badi bene, non facilita di per sè il furto ma farebbe venire meno le misure cautelari e preventive poste in essere dalla Banca che ugualmente non consentirebbero al malvivente di turno di bypassare per esempio le difese tecnologiche fra le quali assume rilievo il “chip” della carta.

Conseguentemente tale contegno gravemente colposo del Cliente in buona sostanza vanificherebbe le misure di sicurezza adottate dalla Banca fra le quali la tecnologia basata sul codice PIN delle operazioni eseguite in ambiente card-present.

Fra queste presupposizioni c’è anche il tempo intercorso tra il furto, il suo utilizzo e il blocco della carta.

Così stando le cose infatti, pur dovendosi procedere caso per caso non essendoci un criterio prestabilito, se il tempo tra il furto e l’utilizzo fraudolento è breve automaticamente si presuppone che la colpa sia del Cliente per avere custodito in modo sbagliato e/o imprudente i codici di utilizzo della carta.

Il principio sarebbe il seguente: “in relazione alle statuizioni del Collegio di coordinamento sui profili di colpa grave ascrivibili al cliente nelle fattispecie di furto dello strumento di pagamento successivamente utilizzato dai malfattori, si è concordato che la valutazione della brevità del lasso temporale tra sottrazione della carta e primo utilizzo fraudolento debba essere effettuata caso per caso, alla luce degli ulteriori elementi di fatto risultanti dalle deduzioni e allegazioni delle parti. I partecipanti hanno infatti condiviso che il Collegio di coordinamento non intendesse fissare in via generale una soglia temporale integrante una presunzione di colpa grave per il cliente, concludendo pertanto che i profili di negligenza debbano essere valutati alla luce del quadro fattuale complessivo disponibile in atti”.

Ben inteso, l’assunto, di per sè, è ben condivisibile. Tanti sono i casi in cui in effetti la conservazione del codice PIN subisce delle distrazioni colpevoli da parte del Cliente. Ma in una situazione del genere appare inevitabile cercare quantomeno di definire qual’è il lasso di tempo oltre il quale il Cliente se non si è accorto del furto e non ha bloccato la carta, può soltanto alzare gli occhi al cielo e farsi una ragione.

Quindi, per esempio, in applicazione del citato orientamento se un furto avviene prima che Tizio si rechi al ristorante e questi non se ne rende conto solo all’esito della serata, per esempio dopo 3 ore circa e nel mentre la carta è stata usata in modo fraudolento è dato per scontato che Tizio non ha conservato bene i codici perchè secondo l’orientamento attuale non sarebbe altrimenti possibile carpire il codice della carta alternativamente in così poco tempo.

Riepilogando, gli argomenti temporali sono:

1) Il tempo che va dal furto a quando ci se ne accorge. Per effetto occorre sempre tempestivamente bloccare la carta.

2) Il tempo dal momento in cui si verifica il furto al momento in cui viene fraudolentemente usata la carta che non è ancora stata bloccata.

3) Il tempo con cui si sporge denuncia alla pubblica autorità, dopo aver bloccato la carta ma prima di andare a contestare le eventuali operazioni fraudolente in Banca chiedendo il ristoro delle somme.

Sul contenuto della denuncia di cui al punto 3) vale quanto già precedentemente pubblicato e si ribadisce che dev’essere fatta da un professionista che esamini attentamente il caso anche alla luce dei punti n. 1) e 2).

Orbene, relativamente al tempo necessario a “violare” la carta per carpirne il codice va osservato che sempre più di recente le Banche hanno commissionato degli studi sul punto che poi capita persino che utilizzino come “prova”; questi studi dimostrerebbero che senza disporre dei codici occorrerebbe un certo periodo di tempo e determinate conoscenze / tecnologie per provvedervi.

Di fatto, secondo lo scrivente, stiamo vivendo lo stesso problema di quanto in passato accaduto nel c.d. carding; anche all’epoca si diceva che occorrevano conoscenze e disponibilità tecnologiche straordinarie mentre poi si è scoperto che esistevano dei veri e propri “vademecum” (on line) in siti come dark market che spiegavano come creare una rete di carding anche tra persone che a malapena sapevano accendere il televisore. Si scoperse quindi un meccanismo tale per cui queste tecnologie “inarrivabili” in realtà erano ordinabili on line con tanto di consegne simil-anonime (ti arrivava formalmente un fornello da campeggio mentre in realtà c’erano gli “strumenti del mestiere”) e c’erano forum con tutorial che spiegavano come apporre la tecnologia fraudolenta per esempio ai Pos utilizzati negli alberghi se non addirittura nei bancomat su strada.

Un celebre libro che si intitola Mafia.com di Misha Glenny, ed. Mondadori, Strade Blu rivelò questo macro mercato dai fatturati impressionanti. Ne consiglio la lettura.

Orbene, se accettiamo l’idea che per carpire il codice Pin di una carta rubata sia necessaria la competenza di un super esperto con tecnologie particolari e inusuali abbiamo un primo problema con questa interpretazione vessatoria per i consumatori tale per cui si tralascia completamente l’ipotesi che forse la procedura non è così difficoltosa come si suppone. E forse, sussiste anche la possibilità che ci sia un organizzazione. Infatti, specialmente nei periodi di festa o nelle località festive accade che si creino delle reti criminali pensate apposta per fare in modo che l’esperto borseggiatore sottragga la carta per poi portarla a chi ha immediatamente la tecnologia e le capacità in valigia (termine non causale perchè si spostano con una valigetta contenente tutto l’occorrente) allo scopo di violare con rapidità il chip. Non è detto che il codice Pin fosse appuntato sulla carta o fosse custodito in un foglietto ripiegato magari nel portafoglio.

E qui occorre osservare che non tutte le tecnologie di protezione delle Banche sono uguali. Ci sono quelle più preparate e quelle meno.

Quindi se è vero che è la Banca a dover dare prova di questa presupposizione di colpa grave del Cliente bisogna anche che lo stesso sia messo nella condizione di dimostrare che forse è rimasto vittima di un meccanismo che è parte di una più complessa catena di montaggio tale per cui c’è un organizzazione. E’ pericoloso affermare il dogma: l’hanno usata quasi subito dopo la sottrazione quindi vuol dire che il Cliente ha custodito male i codici.

Una delle cose che io vorrei che venisse presa in considerazione è proprio l’esistenza di un organizzazione che renda facile quello che si suppone non lo sia.

Torniamo all’esempio di cui sopra. Se nei giorni festivi in una determinata località si sono verificati un centinaio di sottrazioni inebite di carte di credito e successive operazioni fraudolente anche con riferimento a diversi tipi di carta e queste sono state compiute tutte nell’ambito delle prime ore dalla sottrazione, fermo restando coloro che l’hanno impedito grazie al tempestivo blocco sorge il dubbio che ci fosse un organizzazione in quanto se è presupposizione il fatto che un singolo possa essere stato suo malgrado sbadato comincia a esserlo meno se è accaduto nel medesimo lasso spazio – temporale a 3 persone o a 10 o magari anche a molte di più.

L’esperienza ci ha insegnato, purtroppo che, anche il ladro a volte lo fa di professione. E ce ne sono alcuni che sono molto bravi e molto organizzati.

  1. Wallet digitale o carta virtuale: la tokenizzazione e l’autenticazione a due fattori.

Veniamo adesso invece al concetto di autenticazione forte, la c.d. tokenizzazione.

In questo diverso ambito, partiamo dal contenuto dell’art. 12, comma 2-bis d.lgs. n. 11/2010 che come ci ha recentemente ricordato il Collegio di Milano ABF 13900/2022: “esclude che la perdita derivante da un’operazione fraudolenta possa essere sopportata, anche solo in parte, dall’utilizzatore nel caso in cui, escluso il caso della frode commessa da quest’ultimo, il prestatore del servizio non abbia richiesto l’autenticazione forte (“Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente”), quando dovuta ai sensi dell’art. 10-bis”.

L’autenticazione forte consiste in: “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione” (art. 1, comma 1, lett. q-bis, d.lgs. n. 11/2010).

Quindi: in assenza della dimostrazione della corretta autenticazione forte (artt. 10, 10-bis e 12, comma 2-bis, d.lgs. n. 11/2010) e salva la dimostrazione dell’agire fraudolento del pagatore, il rischio di operazioni di pagamento disconosciute da quest’ultimo, a seguito di smarrimento o furto dello strumento di pagamento, deve essere integralmente sopportato dal prestatore del servizio di pagamento.

Il caso del c.d. mobile wallet e cioè la carta virtuale tokenizzata sulla app. ricade in un diverso metro valutativo essendo che sul punto il Collegio di Coordinamento nella recente decisione n. 21285/2021 ha chiarito che l’autenticazione forte è richiesta sia per la registrazione (“tokenizzazione”) della carta sul mobile wallet che per l’effettuazione di ciascuna operazione di pagamento (cfr. EBA Q&A 2019/4910) e che di tale duplice autenticazione è tenuto a fornire prova il prestatore del servizio di pagamento anche qualora il wallet sia affidato a un terzo gestore (Cfr. EBA Q&A 2018/4047 e Coll. Cordinamento, dec. n. 21285/2021: “L’utilizzo di un wallet affidato a un terzo gestore per l’esecuzione di operazioni di pagamento non esime l’intermediario, in qualità di prestatore di servizi di pagamento, dall’onere di fornire prova dell’autenticazione forte delle operazioni compiute. La prova non può limitarsi alla fase di c.d. tokenizzazione della carta nel wallet, ma deve riguardare anche la fase esecutiva delle singole operazioni, non potendosi ritenere implicito che le transazioni siano state correttamente autenticate dal fatto che le stesse risultino autorizzate o comunque dalla sola evidenza che siano state effettuate in modalità contactless”).

Quindi in questo caso l’Intermediario (Banca) è tenuto a fornire due distinte giustificazioni, l’una inerente alla documentazione circa la registrazione della carta sul wallet e l’altra inerente all’autenticazione forte e qui abbiamo i seguenti passaggi:

a) numero della carta (PAN);

b) data di scadenza;

c) CVV, oltre all’inserimento di una password, richiesta dal wallet provider e del codice OTP inviato sul device del cliente.

L’assolvimento di questi però non è di per sè sufficiente laddove poi è necessario anche che per le singole operazioni operi un sistema di autenticazione a due fattori altrimenti si ha solo una carta registrata sul digital wallet; tale mancanza apre alla censura di genericità a carico della Banca tale per cui il sistema si è, di fatto, limitato a verificare solo l’identità dell’utente ma senza quei fattori di autenticazione che mettono, non a caso, al riparo la potenziale vittima da un utilizzo fraudolento.

Come di recente osservato dal Collegio di Milano, già citato in precedenza con la decisione 13900/2022: Essendo pertanto da escludere che abbia operato un sistema di autenticazione forte, bisogna concludere, in conformità a precedenti di questo Arbitro, resi su fatti analoghi (v. ad es. Coll. Roma, dec. n. 17581/2021), che l’intermediario debba corrispondere ex art. 12, comma 2-bis, d.lgs. 11/2010 l’intero importo delle operazioni contestate”.

Si allega di seguito la decisione citata in quanto molto utile all’interprete per l’ottima stesura e inquadramento fatto dall’Arbitro:

Infine, sul punto occorre ulteriormente verificare anche, relativamente ai pagamenti, quali siano i sistemi di salvaguardia sulle operazioni disconosciute tenuto conto del digital wallet, fra questi ovviamente deve poterci essere una procedura tempestiva di blocco ma anche il c.d. sistema di allerta, che operi sia tramite sms, telefonata o altro. In ogni caso è necessario che siano operativi; la mancanza dei quali è una ulteriore presupposizione delle carenze da parte della Banca che sarà ben più difficile possa liberarsi.

Avv. Marco Solferini

Articolo Precedente
Prossimo Articolo


Stampa Stampa