1. Premessa - 2. I fatti e le ipotesi di azione. - 3. Sulla possibile responsabilità del prestatore di servizi di pagamento e sulla normativa tedesca applicabile. - 3.1. Continua: sulla possibile responsabilità della filiale di Bangkok del prestatore di servizi di pagamento. - 4. Sulla possibile responsabilità degli altri soggetti coinvolti. - 4.1. Sulla possibile responsabilità della vittima di phishing… 4.2. … e sulle pretese della stessa. 5. Conclusioni sulla possibilità di recuperare il pagamento. – 6. Alcune best practice per la prevenzione del rischio informatico. – 6.1. Le soluzioni anti-phishing. – 6.2. Il controllo sui dati per i pagamenti. – 6.2.1. La procedura di controllo di base. – 6.2.2. – La procedura di controllo rafforzato.
1. Premessa
Studio De Poli – Venezia ha recentemente valutato la possibilità di recuperare un pagamento effettuato da Alfa Co. Ltd.[1] (società thailandese appartenente al gruppo italiano Alfa e, d’ora in poi, anche solo “Alfa Thailandia”), attraverso la filiale di Bangkok di Banca Beta, al Signor Aulo Agerio, sul conto corrente intestato a quest’ultimo presso la filiale di Sassuolo di Banca Gamma.
Detto pagamento, che nelle intenzioni di Alfa Thailandia doveva essere destinato ad un fornitore della stessa, l’italiana Delta S.p.A., è stato erroneamente versata sul conto corrente intestato al Signor Aulo Agerio, a seguito di una comunicazione proveniente dall’ufficio commerciale di Delta stessa che indicava l’IBAN del Signor Agerio ai fini del versamento; comunicazione che, successivamente, è risultata frutto di un’azione di phishing subita da Delta.
Studio De Poli – Venezia ha quindi esaminato le possibilità per Alfa di recuperare il pagamento presso i soggetti coinvolti nell’operazione ed ha suggerito a questa alcuni accorgimenti utili a prevenire il ripetersi di episodi quale quello in esame.
Prima di procedere all’esame delle criticità sottese al recupero del pagamento, però, pare opportuno un più preciso riepilogo dei fatti.
2. I fatti e le ipotesi di azione
Il 14 maggio 2020, con una e-mail proveniente dal proprio ufficio commerciale, Delta S.p.A. comunicava all’ufficio finanza di Alfa Thailandia una modifica dell’IBAN sul quale effettuare i pagamenti dovuti in ragione del contratto di fornitura in essere tra le stesse; modifica resasi necessaria, come specificato nella citata e-mail, a seguito della situazione emergenziale generata dalla pandemia di Covid-19. Il nuovo IBAN era riportato in un documento in carta intestata di Delta, allegato all’e-mail; detto documento non forniva ulteriori dettagli circa il titolare del conto corrente collegato all’IBAN indicato.
Pochi giorni dopo, in data 25 maggio 2020, l’ufficio commerciale di Delta reiterava via e-mail all’ufficio finanza di Alfa Thailandia la comunicazione del nuovo IBAN. Anche a quest’ultima e-mail era allegato un documento, in carta intestata di Delta, che riportava l’IBAN su cui effettuare il pagamento (lo stesso indicato nell’allegato alla prima e-mail). Tuttavia, questo nuovo documento riportava anche il nome del titolare del conto corrente collegato all’IBAN: «Aulo Agerio/Delta».
Entrambe le e-mail sono state inoltrate dall’ufficio finanza di Alfa Thailandia all’ufficio pagamenti della stessa nell’arco di poche ore rispetto alla loro ricezione, senza che sia stata effettuata alcuna verifica sulla veridicità dei dati ricevuti dall’ufficio commerciale di Delta o sulla effettiva provenienza delle due e-mail da detto ufficio.
Il 4 giugno, poi, l’ufficio pagamenti di Alfa Thailandia ha disposto, attraverso la piattaforma online della Banca Beta, un ordine di pagamento alla filiale di Bangkok della Banca destinato a «Delta SPA» e da versarsi sull’IBAN indicato nelle due e-mail sopra menzionate. La filiale di Bangkok di Banca Beta ha quindi inoltrato l’ordine agli uffici di Francoforte della banca stessa, i quali lo hanno eseguito.
Successivamente, Alfa Thailandia ha appreso da Delta che questa non aveva ricevuto l’importo dovuto e, a seguito di alcune verifiche, è emerso che le e-mail ricevute il 14 ed il 25 maggio provenivano da indirizzi hackerati allo scopo di dirottare pagamenti destinati a Delta su altri conti correnti. L’ufficio pagamenti di Alfa Thailandia, pertanto, in data 18 giugno 2020, inviava alla filiale di Bangkok di Banca Beta una richiesta di rettifica del pagamento.
Sulla base dei fatti sopra esposti, Studio De Poli – Venezia ha quindi esaminato la possibilità di intraprendere un’azione di recupero di quanto versato nei confronti dei soggetti coinvolti nella vicenda. In particolare, nei confronti di i) Banca Beta, che ha eseguito il pagamento; ii) Banca Gamma, presso la quale è aperto il conto del Signor Agerio; iii) Delta S.p.A., vittima dell’azione di phishing; e iv) del Sig. Agerio, effettivo destinatario del pagamento.
È stata esaminata anzitutto la possibilità di ritenere Banca Beta responsabile per non aver accertato che l’IBAN indicato dall’ufficio pagamenti di Alfa Thailandia non fosse riconducibile a «Delta SPA», indicata come destinatario del pagamento.
3. Sulla possibile responsabilità del prestatore di servizi di pagamento e sulla normativa tedesca applicabile
Il carattere transfrontaliero dell’operazione rende necessaria una premessa su quale sia la disciplina applicabile alla stessa: come anticipato, il pagamento è stato ordinato da Alfa Thailandia alla filiale di Bangkok di Banca Beta, da detta filiale inoltrato agli uffici di Francoforte di Banca Beta e da questi ultimi eseguito. Pertanto, è necessario chiarire se sia applicabile, alla fattispecie di cui si discute, la normativa tailandese oppure quella tedesca in materia di servizi di pagamento.
Per le ragioni che si esporranno di seguito, Studio De Poli – Venezia ha ritenuto applicabile la normativa tedesca, la quale recepisce la Direttiva (UE) 2015/2366 - la cd. “Payment Services Directive II” o anche solo “PSD II” -. La Direttiva citata, infatti, si applica «ai servizi di pagamento prestati nell’Unione»[2], compresa l’esecuzione di ordini di pagamento[3]. Non solo: i titoli III e IV della Direttiva, che contengono le disposizioni che andremo ad esaminare, «si applicano alle operazioni di pagamento nella valuta di uno Stato membro laddove il prestatore di servizi di pagamento del pagatore e il prestatore di servizi di pagamento del beneficiario siano entrambi situati nell’Unione o l’unico prestatore di servizi di pagamento coinvolto nell’operazione di pagamento sia situato nell’Unione»[4].
Considerato, che il pagamento è stato eseguito dagli uffici di Francoforte di Banca Beta a beneficio di un conto corrente presso la filiale italiana di Banca Gamma, sono applicabili la disciplina prevista dalla PSD II e la relativa normativa tedesca di recepimento; ossia:
i) il “Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie (anche solo “Zahlungsdiensteumsetzungsgesetz” o “ZDUG”);
ii) le sezz. 675c-676c del codice civile tedesco (il “Bürgerliches Gesetzbuch” o anche solo “BGB”); e
iii) l’art. 248 dell’atto introduttivo al codice civile tedesco (i.e., il “Einführungsgesetz zum Bürgerlichen Gesetzbuche” o anche solo “EGBGB”).
Vero è che i rapporti in essere tra Alfa Thailandia e Banca Beta (più precisamente, la filiale di Bangkok della banca) sono regolati dalle condizioni di apertura di conto corrente e le relative condizioni generali tra loro stipulate, le quali individuano la legge thailandese quale legge del contratto; tuttavia, i rapporti regolati dai documenti contrattuali citati e dalla legge tailandese[5] sono quelli in essere tra Alfa Thailandia e la filiale di Bangkok. Il pagamento, invece, è stato eseguito dagli uffici di Francoforte di Banca Beta e, pertanto, esso dovrebbe rispettare le previsioni della PSD II e della relativa legge tedesca di attuazione, che sembrano essere inderogabili dalle parti.
Infatti, le disposizioni della PSD II hanno carattere imperativo, essendo sottese alla tutela di interessi pubblici di particolare rilievo, quali, ad esempio, «garantire che i consumatori, i commercianti e le imprese dispongano di possibilità di scelta e condizioni di trasparenza in relazione ai servizi di pagamento», nonché assicurare agli stessi «un’adeguata protezione contro [i] rischi [alla sicurezza nei pagamenti elettronici]»[6]. Quanto affermato trova conferma nel diritto tedesco, le cui norme, per espressa previsione del legislatore, non sono derogabili da un eventuale accordo stipulato dal prestatore di servizi di pagamento e l’utente[7].
Ciò premesso, alla luce della Direttiva, l’ordine di pagamento de quo parrebbe essere stato eseguito da Banca Beta correttamente. Infatti, l’art. 88, co. 1, PSD II stabilisce che «Se un ordine di pagamento è eseguito conformemente all’identificativo unico [i.e., l’IBAN], l’ordine di pagamento si ritiene eseguito correttamente per quanto riguarda il beneficiario indicato dall’identificativo unico». L’articolo citato, al co. 2, peraltro, aggiunge che «Se l’identificativo unico fornito dall’utente di servizi di pagamento è inesatto, il prestatore di servizi di pagamento non è responsabile, a norma dell’articolo 89, della mancata esecuzione o dell’esecuzione inesatta dell’operazione di pagamento». I primi due commi della sez. 675r BGB recepiscono quanto disposto dalla normativa europea in modo pressoché pedissequo. Detta impostazione è accolta anche in giurisprudenza: vedasi, a titolo esemplificativo, quanto recentemente sancito dalla Corte di Giustizia dell’Unione Europea: «ove un ordine di pagamento sia eseguito conformemente all’identificativo unico fornito dall’utente di servizi di pagamento, che non corrisponde al nome del beneficiario specificato dall’utente stesso, la limitazione della responsabilità del prestatore di servizi di pagamento, prevista dalla disposizione in parola, si applica sia al prestatore di servizi di pagamento del pagatore, sia al prestatore di servizi di pagamento del beneficiario»[8].
A quanto previsto dalle disposizioni e dalla giurisprudenza finora citate, il terzo comma della sez. 657r BGB aggiunge che, nel caso in cui l’IBAN indicato dall’utente non sia riconducibile ad un conto corrente o ad un beneficiario, il prestatore di servizi di pagamento è tenuto a darne immediatamente comunicazione all’utente e, nel caso, a restituirgli l’importo oggetto del pagamento. Ad un’attenta lettura della disposizione citata, la stessa non pare applicabile al caso in esame: essa, infatti, fa riferimento all’ipotesi in cui l’IBAN indicato dall’utente non sia riconducibile ad alcun conto corrente o beneficiario. Nel caso di specie, invece, l’IBAN indicato da Alfa Thailandia è riconducibile ad un conto corrente e ad un beneficiario, seppure quest’ultimo (i.e., il Signor Agerio) sia diverso da quello indicato nell’ordine di pagamento (i.e., Delta).
Pertanto, alla luce delle disposizioni appena esaminate e dell’orientamento della Corte di Giustizia sul punto, non sembrerebbe sussistere in capo al prestatore di servizi di pagamento alcun dovere di verifica della corrispondenza tra il beneficiario indicato nell’ordine di pagamento e il titolare del conto corrente collegato all’IBAN indicato nell’ordine. La tesi appena esposta trova piena conferma anche nella giurisprudenza tedesca di merito in materia[9].
Di conseguenza, non pare configurabile alcuna responsabilità in capo a Banca Beta per aver eseguito il pagamento senza aver preventivamente verificato la corrispondenza tra il beneficiario indicato da Alfa Thailandia nell’ordine di pagamento (i.e., Delta) e il titolare del conto corrente collegato all’IBAN indicato sempre da Alfa Thailandia ai fini del pagamento (i.e., il Signor Agerio).
Dette conclusioni sono confermate anche all’esito di un’analisi delle altre disposizioni rilevanti della PSD II e della relativa normativa tedesca di recepimento in tema di informativa che il prestatore di servizi è tenuto ad offrire al pagatore. La PSD II, all’art. 57, co. 1, lett. a), sancisce che «(1) Dopo che l’importo di una operazione di pagamento singola è stato addebitato sul conto del pagatore o, se il pagatore non utilizza un conto di pagamento, successivamente alla ricezione dell’ordine di pagamento, il prestatore di servizi di pagamento del pagatore fornisce a quest’ultimo senza indugio e secondo le stesse modalità di cui all’articolo 51, paragrafo 1, tutte le seguenti informazioni: a) un riferimento che consenta al pagatore di individuare ogni operazione di pagamento e, se del caso, le informazioni relative al beneficiario». Lo stesso stabilisce la normativa tedesca alla sez. 7, pt. 1), di cui all’art. 248 EGBGB.
Nonostante le disposizioni citate sembrino porre in capo al prestatore di servizi di pagamento un dovere di informativa riguardante il beneficiario dell’operazione, le stesse, tuttavia, non sono chiare nell’indicare in quali casi – la Direttiva infatti si limita a stabilire «se del caso» – detta informativa sul beneficiario debba essere fornita, né quale sia il contenuto dell’informativa stessa.
Guardando anzitutto al contenuto dell’informativa, né la Direttiva né la normativa tedesca sono chiare sul punto. Si pone quindi il problema di comprendere se sia sufficiente riportare il nominativo del beneficiario del pagamento come indicato da chi ne ha dato l’ordine (come ha fatto da Banca Beta), oppure se sia necessario riportare i dati o quantomeno il nominativo del titolare del conto corrente sul quale è effettuato il pagamento. In quest’ultimo caso, l’obbligo di verifica sopra citato implicitamente sussisterebbe.
Posto che la normativa in esame parla di «informazioni relative al beneficiario», è opportuno richiamare anzitutto la definizione di “beneficiario”. La PSD II, all’art. 4, pt. 1), lo definisce come la «persona fisica o giuridica che è il destinatario previsto dei fondi che sono stati oggetto di un’operazione di pagamento» (enfasi aggiunta da chi scrive). Pertanto, rileverebbe la mera previsione circa l’identità del beneficiario e, di conseguenza, sembrerebbe essere sufficiente un’informativa sul nominativo beneficiario del pagamento come indicato da chi ne ha dato l’ordine (i.e., sul beneficiario previsto da costui).
Tuttavia, la normativa tedesca, alla sez. 1, pt. 16), di cui all’art. 1 ZDUG, offre una definizione parzialmente diversa di “beneficiario”, essendo lo stesso la persona fisica o giuridica destinataria della somma di denaro oggetto di una transazione di pagamento. La disposizione citata, quindi, epurata di ogni riferimento alla “previsione” sul destinatario, può riferirsi tanto al soggetto indicato da colui che ha ordinato il pagamento (seguendo una interpretazione ispirata alla normativa europea), quanto all’effettivo titolare del conto corrente su cui è stato versato l’importo oggetto del pagamento (seguendo una interpretazione più letterale della normativa tedesca)[10].
Pertanto, il contenuto dell’obbligo di informativa rimane dubbio, e, di conseguenza, non sembra possibile affermare con certezza che, in base allo stesso, sussista in capo al prestatore di servizi un obbligo di verifica sulla corrispondenza tra il beneficiario indicato nell’ordine di pagamento e il titolare del conto corrente collegato all’IBAN indicato. Queste conclusioni sono supportate anche dalla giurisprudenza tedesca di merito sopra citata, che fa riferimento alla sola sez. 675r BGB nell’affermare che l’obbligo di verifica in esame non sussiste in capo al prestatore di servizi.
Peraltro, ferme le conclusioni appena formulate, neppure è chiaro in quali casi l’obbligo di informativa dovrebbe essere assolto. Infatti, le informazioni relative al beneficiario del pagamento sono fornite «se del caso», come afferma la Direttiva, anzi, se necessario («sowie gegebenenfalls»), come afferma la normativa tedesca[11]. Si potrebbe affermare che detto obbligo sussista secondo le circostanze previste dall’accordo quadro tra utente e prestatore di servizi, o su semplice richiesta di chi ha disposto l’ordine di pagamento. Si potrebbe anche affermare, interpretando estensivamente l’espressione «sowie gegebenenfalls», che l’obbligo di informativa sussista anche quando il beneficiario indicato nell’ordine di pagamento e il titolare dell’IBAN non coincidano; ma ciò presuppone un accertamento sulla non corrispondenza tra i due, che, come anticipato, non pare essere obbligatorio.
Pertanto, anche alla luce della disciplina sugli obblighi informativi prevista dalla PSD II e dalla relativa normativa tedesca di recepimento, non sembrerebbe sussistere in capo al prestatore di servizi di pagamento alcun obbligo di verifica circa la corrispondenza tra il beneficiario indicato nell’ordine di pagamento e il titolare del conto corrente collegato all’IBAN indicato nell’ordine.
Infine, considerato che Alfa Thailandia ha utilizzato la piattaforma online di Banca Beta per il pagamento in esame, è opportuno un esame della normativa tecnica in materia di pagamenti tramite piattaforme online, la quale si aggiunge, arricchendolo, al quadro normativo delineato dalla PSD II e dalla relativa disciplina tedesca d’attuazione già esaminato.
La piattaforma di Banca Beta, prevede dei sistemi cd. “di autenticazione forte”, ai sensi dell’art. 97, co. 1, PSD II[12] e della sez. 55 di cui all’art. 1 ZDUG , ossia sistemi che consentano all’utente di accedere alla piattaforma e trasmettere ordini di pagamento in piena sicurezza.
I meccanismi di autenticazione forte sono disciplinati dal Regolamento delegato (UE) 2018/389, il quale prevede, all’art. 5, co. 1, specifici ed ulteriori (rispetto a quelli già esaminati) obblighi informativi in capo al prestatore di servizi. In particolare, prevede che «a) il pagatore è informato dell’importo dell’operazione di pagamento e del beneficiario; b) il codice di autenticazione generato è specifico per l’importo dell’operazione di pagamento e il beneficiario concordato dal pagatore al momento di disporre l’operazione; c) il codice di autenticazione accettato dal prestatore di servizi di pagamento corrisponde all’importo specifico originario dell’operazione di pagamento e all’identità del beneficiario approvato dal pagatore […]». Il secondo comma aggiunge che «(2) Ai fini del paragrafo 1, i prestatori di servizi di pagamento adottano misure di sicurezza che assicurano la riservatezza, l’autenticità e l’integrità di ognuno dei seguenti elementi: a) l’importo dell’operazione e il beneficiario durante tutte le fasi dell’autenticazione; […]».
La disposizione citata, che pur impone uno stringente obbligo di informativa in capo al prestatore di servizi, non sembra spingersi fino a sancire una verifica della corrispondenza tra il nominativo del beneficiario indicato dal pagatore ed il titolare del conto corrente collegato all’IBAN.
Neppure le condizioni generali della piattaforma de quo sanciscono detto obbligo – anzi, esse prevedono che Banca Beta possa fare affidamento sulle informazioni fornite dall’utente nell’ordine di pagamento –. Peraltro, guardando a dette condizioni generali, l’utilizzo della stessa sarebbe regolato dalla legge inglese, ossia dalle “Payment Services Regulations 2017” (anche solo “PSRs”).
Ferma restando, per le ragioni sopra esposte, l’applicabilità delle disposizioni di diritto tedesco finora menzionate, pare opportuno esamianre se la normativa inglese contenga degli obblighi di informativa ulteriori rispetto a quelli previsti dal diritto tedesco, e che, in particolare, comportino una verifica sulla corrispondenza tra il nominativo del beneficiario indicato dal pagatore ed il titolare del conto corrente collegato all’IBAN.
Neppure la normativa inglese prevede detto obbligo: infatti, la sez. 100, co. 1, PSRs dispone in modo pressoché uguale ai citati art. 97, co. 1, PSD II e alla sez. 55 di cui all’art. 1 ZDUG. In generale, le PSRs disciplinano i servizi di pagamento in modo analogo alle disposizioni della PSD II finora esamiante (si v., ad esempio, la sez. 90, co. 1, che, anch’essa, sancisce la correttezza del bonifico effettuato all’IBAN indicato nell’ordine di pagamento).
Premesso che la piattaforma online di Banca Beta pare implementare correttamente i sistemi di autenticazione forte sopra citati; e che né i termini e le condizioni di utilizzo della stessa né, come anticipato, la normativa rilevante in materia prevedono alcun obbligo di verifica in capo al prestatore di servizi sulla corrispondenza tra beneficiario indicato nell’ordine di pagamento e titolare del conto corrente collegato all’IBAN indicato; ciò premesso, la condotta di Banca Beta nell’esecuzione del pagamento non pare suscettibile di essere considerata come negligente, non sussistendo in capo alla stessa l’obbligo di verifica suddetto.
3.1. Continua: sulla possibile responsabilità della filiale di Bangkok del prestatore si servizi di pagamento
Infine, per completezza nell’analisi della vicenda, nonostante, come detto finora, il pagamento sia stato eseguito dagli uffici di Francoforte di Banca Beta, pare comunque opportuno verificare se possa sussistere qualche responsabilità in capo alla banca sulla base della condotta tenuta dalla filiale di Bangkok, che ha ricevuto ed inoltrato l’ordine di pagamento. La risposta sembra essere negativa per le ragioni che seguono.
Né le condizioni di apertura del conto corrente né le condizioni generali che regolano i rapporti tra Alfa Thailandia e la filiale di Bangkok, prevedono alcun obbligo di verifica in capo a quest’ultima sulla correttezza dei dati indicati nell’ordine di pagamento e, in particolare, sulla corrispondenza tra il nominativo del beneficiario riportato nell’ordine e il titolare del conto corrente collegato all’IBAN indicato.
Le condizioni generali sopra citate, infatti, si limitano a stabilire che gli ordini di pagamento disposti dal cliente devono essere chiari e non equivoci, indicando correttamente ed in modo completo il nome del beneficiario, il numero di conto su cui effettuare il pagamento e, nel caso, l’IBAN. L’ordine di pagamento inoltrato da Alfa Thailandia sembra rispondere a detti requisiti, salvo l’effettiva non corrispondenza tra il nominativo del beneficiario indicato ed il titolare dell’IBAN, pure indicato, su cui è stato effettuato il pagamento; non corrispondenza che, tuttavia, non era direttamente ravvisabile dalla filiale in base ai dati forniti, ma che sarebbe dovuta risultare da un controllo effettuato da quest’ultima, ove tenuta a farlo. Controllo che, come anticipato, alla luce delle condizioni generali sopra citate, non sembra sussistere in capo alla filiale[13].
Inoltre, ai sensi delle condizioni generali de quo, la filiale è sì responsabile per ogni pregiudizio al cliente causato da condotte negligenti – non meglio specificate – del suo staff; tuttavia, nel caso in cui sia ravvisabile pure una qualche forma di negligenza in capo al cliente, la responsabilità della banca è ridotta proporzionalmente a quella del cliente stesso. La disposizione pare applicabile al caso in esame, avendo Alfa Thailandia inoltrato l’ordine di pagamento a beneficio di Delta S.p.A., nonostante dalla mail del 25 maggio risultasse che l’IBAN indicato fosse intestato a «Aulo Agerio/Delta». Di conseguenza, anche ammettendo che si possa imputare alla filiale una scorretta gestione dell’ordine del pagamento, si dovrà necessariamente tenere conto anche della condotta di Alfa Thailandia, che potrebbe essere valutata come non pienamente diligente[14].
Posto che, alla luce dei documenti contrattuali tra le parti, non pare emergere alcuna scorrettezza nella gestione dell’ordine di pagamento da parte della filiale di Bangkok, pare opportuno verificare se la normativa tailandese in materia integri con disposizioni più stringenti la regolamentazione dei rapporti tra utente e filiale. Come anticipato, la sez. 4.2.4 della citata Bank of Thailand Notification No. SorNorChor. 6/2561 disciplina solo il contenuto minimo delle informazioni che devono essere contenute nell’accordo quadro tra prestatore di servizi di pagamento ed utente, a beneficio di quest’ultimo[15], ma non entra nel dettaglio del rapporto, individuando eventuali obblighi di informativa o di verifica nell’esecuzione degli ordini in capo al prestatore di servizi; dettaglio del rapporto che, quindi, dovrebbe essere disciplinato dalle condizioni generali sopra citate.
Alla luce di quanto scritto finora, pertanto, pare che Banca Beta – sia per quanto riguarda gli uffici di Francoforte sia per quanto riguarda la filiale di Bangkok – non fosse tenuta ad effettuare alcuna verifica sulla corrispondenza tra il nominativo del beneficiario indicato da Alfa Thailandia nell’ordine di pagamento ed il titolare effettivo del conto corrente collegato all’IBAN sempre indicato nell’ordine.
4. Sulla possibile responsabilità degli altri soggetti coinvolti
Esclusa per le ragioni sopra esposte la configurabilità della responsabilità di Banca Beta, si esaminano di seguito i rimedi esperibili nei confronti degli altri soggetti coinvolti nella vicenda: ossia, il Signor Aulo Agerio, Delta S.p.A. e Banca Gamma.
In capo a quest’ultima non pare ravvisabile alcuna forma di responsabilità nella ricezione del pagamento. Infatti, la normativa italiana in materia di servizi di pagamento – i.e., il D.Lgs. 27 gennaio 2010, n. 11 e successive modifiche, che recepisce la PSD II – non prevede alcuna forma di controllo in capo al prestatore di servizi di pagamento del destinatario del pagamento circa la corrispondenza tra il destinatario stesso ed il beneficiario indicato da colui che ha eseguito l’ordine.
Peraltro, posto che la normativa italiana – come quella tedesca e quella inglese – non pone detto obbligo di verifica in capo al prestatore di servizi che esegue il pagamento[16], sembrerebbe irragionevole pretenderlo in capo al prestatore che riceve il pagamento.
Invero, a Banca Gamma si potrebbe contestare di non aver posto in essere adeguati presidi volti a prevenire un utilizzo fraudolento del conto intestato al Signor Agerio, e, quindi, che essa sia responsabile, ai sensi dell’art. 2043 c.c., per il danno subito da Alfa Thailandia. Tuttavia, a tal fine, si dovrebbe dar dimostrazione che detti presidi non siano stati concretamente implementati da Banca Gamma e che, quand’anche implementati, fossero stati in grado di rilevare l’operatività fraudolenta del conto[17], dimostrazione certamente non facile da fornire
Per quanto concerne il Signor Agerio, nei confronti dello stesso pare certamente esperibile un’azione di ripetizione dell’indebito ai sensi dell’art. 2033 c.c. Nel caso di specie, tuttavia, l’importo versato sul conto dello stesso presso la filiale di Banca Gamma di Sassuolo è stato subito trasferito in un conto corrente in Regno Unito, con la conseguenza che, nonostante il Signor Agerio sia egualmente tenuto a restituire quanto ricevuto ai sensi dell’art. 2038 c.c., il conto dello stesso presso Banca Gamma potrebbe risultare incapiente.
A tal riguardo, preciso che sia Banca Beta sia Banca Gamma sono tenute alla massima collaborazione ai fini del recupero dell’importo in questione, e che, pertanto, dovranno fornire tutte le informazioni utili a Alfa Thailandia a tale scopo. Ciò ai sensi dell’art. 88 PSD II, co. 3 e 4, il quale sancisce che «(3) Il prestatore di servizi di pagamento del pagatore, tuttavia, compie sforzi ragionevoli per recuperare i fondi oggetto dell’operazione di pagamento. Il prestatore di servizi di pagamento del beneficiario collabora a tali sforzi anche comunicando al prestatore di servizi di pagamento del pagatore tutte le informazioni pertinenti per il recupero dei fondi. Nel caso in cui non sia possibile il recupero dei fondi a norma del primo comma, su richiesta scritta del pagatore il prestatore di servizi di pagamento del pagatore gli fornisce tutte le informazioni che ha a disposizione e che sono pertinenti per il pagatore affinché quest’ultimo possa adire le vie legali per il recupero dei fondi»[18].
4.1. Sulla possibile responsabilità della vittima di phishing…
Per quanto concerne la posizione di Delta S.p.A., infine, pare opportuno esaminare se, in capo alla stessa, sia ravvisabile una qualche forma di responsabilità per il danno subito da Alfa Thailandia. Posto che le e-mail che hanno indotto Alfa Thailandia ad indicare a Banca Beta un IBAN errato ai fini dell’ordine di pagamento provengono dall’indirizzo di posta elettronica dell’ufficio commerciale di Delta, e che le stesse non sono state inviate materialmente dal personale di Delta ma da hacker, a Delta può essere contestato di non aver adottato presidi di sicurezza informatici tali da impedire un evento quale quello in esame.
Invero, la possibilità di rivalersi su Delta è molto controversa posto che, trattandosi di illecito extracontrattuale ai sensi dell’art. 2043 c.c., sarebbe in capo a Alfa Thailandia la dimostrazione del fatto che i sistemi di sicurezza informatica eventualmente implementati da Delta non siano stati adeguati a prevenire il phishing dell’indirizzo di posta elettronica dell’ufficio commerciale, o che, comunque, il phishing sia stato possibile grazie ad una condotta negligente imputabile a Delta[19]. Non solo: va tenuto in debito conto come il danno subito da Alfa Thailandia non sia diretta conseguenza della ricezione delle e-mail fraudolente, ma ne sia conseguenza indiretta, avendo Alfa Thailandia stessa inviato l’ordine di pagamento errato. In detto rapporto di causalità, peraltro, si deve tenere anche conto di come Alfa Thailandia possa aver contribuito al verificarsi dell’evento dannoso, potendosi contestare alla stessa di non aver adottato la dovuta diligenza nella verifica della correttezza del contenuto delle due e-mail fraudolente (specie di quella del 25 maggio che indicava quale titolare dell’IBAN, oltre a Delta, il Sig. Agerio).
4.2. … e sulle pretese della stessa
Delta S.p.A. ha comunque chiesto il pagamento dell’importo ad Alfa Thailandia. Si prospettano, quindi, due strade: a) un’azione di Delta volta al recupero del credito asseritamente vantato nei confronti di Alfa Thailandia, che vedrebbe quest’ultima muoversi “in difesa”; oppure b) un’azione “preventiva” di Alfa Thailandia volta all’accertamento negativo del credito asseritamente vantato nei propri confronti, che tenga conto della responsabilità di Delta nella gestione dei propri sistemi di sicurezza informatica.
Nel caso di specie, in ragione delle incertezze sulla responsabilità di Delta sopra esposte e, soprattutto, all’individuazione del giudice competente a decidere sulla controversia e della legge applicabile ai rapporti tra le parti[20], la strategia “difensiva” sembra preferibile.
5. Conclusioni sulla possibilità di recuperare il pagamento
In conclusione, l’alea di insuccesso di un’azione di Alfa Thailandia nei confronti di Banca Beta per il recupero dell’importo oggetto del pagamento effettuato al Signor Agerio è molto alta, posto che, come detto, la banca parrebbe aver svolto l’operazione correttamente e nel rispetto di quanto previsto dalla normativa applicabile e dalle clausole contrattuali rilevanti.
Né pare che Alfa Thailandia possa rivalersi con successo su Banca Gamma posto che, in capo alla stessa, non sembra sussistere alcun obbligo di controllo circa la corrispondenza tra beneficiario indicato nell’ordine di pagamento e titolare del conto corrente collegato all’IBAN indicato; né pare agevole dimostrare che la stessa sia responsabile del danno subito da Alfa Thailandia per non aver implementato adeguati presidi contro l’utilizzo fraudolento del conto intestato al Signor Agerio.
Per quanto riguarda Delta S.p.A., Alfa Thailandia dovrebbe adottare una strategia “difensiva”, in ragione delle incertezze sopra esposte circa le pretese creditorie asseritamente vantate da Delta stessa e la configurazione e la prova di una qualche forma di responsabilità in capo alla stessa.
Quanto al Signor Agerio, invece, Alfa Thailandia potrà rivalersi sullo stesso e, a tal fine, potrà coinvolgere ed avvalersi dell’aiuto sia di Banca Beta, che ha eseguito il pagamento, sia di Banca Gamma, presso la quale l’importo è stato versato.
6. Alcune best practice per la prevenzione del rischio informatico
Nel caso di specie, Studio De Poli – Venezia ha anche suggerito ad Alfa l’implementazione di alcuni accorgimenti volti a prevenire il ripetersi di episodi quali quelli finora citati.
In particolare, sono state proposte alcune best practice, che potrebbero essere implementate a livello di procedure interne, per:
i) prevenire il furto delle credenziali relative all’indirizzo di posta elettronica aziendale (di seguito “le soluzioni anti-phishing”);
ii) verificare la veridicità dei dati comunicati dai fornitori per i pagamenti tramite e-mail o fax (di seguito “il controllo sui dati per i pagamenti”).
6.1. Le soluzioni anti-phishing
Al fine di evitare il furto delle credenziali d’accesso all’account di posta elettronica aziendale può essere opportuno che:
1) La password d’accesso allo stesso sia modificata con frequenza almeno trimestrale.
2) L’indirizzo e-mail aziendale non sia utilizzato ai fini della registrazione a siti web e newsletter non direttamente collegati all’attività di lavoro.
3) Le e-mail ricevute all’indirizzo di posta elettronica aziendale che rinviino a dei siti web attraverso hyperlink siano gestite con cautela. In particolare:
3.1) Eventuali alert quali – “forse SPAM” o “e-mail proveniente da un account non verificato” – non devono essere ignorati. Se una e-mail proviene da un fornitore abituale e presenta uno di questi alert, è opportuno contattare il fornitore telefonicamente per chiedergli spiegazioni.
3.2) È opportuno verificare l’attendibilità dell’hyperlink. A tal fine, è necessario guardare non al testo interattivo che compare nella e-mail ma al link ad esso sotteso, che può essere differente. È quindi opportuno verificare che il sito web al quale il link rinvia presenti un dominio “comune” quale .it, .com, .eu, o altro dominio afferente allo Stato in cui il fornitore ha la propria sede. Se il link presenta un dominio diverso da quelli sopra indicati è opportuno contattare telefonicamente colui che ha inviato l’e-mail per verificarne l’attendibilità.
4) Le mail ricevute all’indirizzo di posta elettronica aziendale che contengano allegati siano gestite con cautela. In particolare:
4.1) Eventuali alert quali – “forse SPAM” o “e-mail proveniente da un account non verificato” – non devono essere ignorati. Se una e-mail proviene da un fornitore abituale e presenta uno di questi alert, è opportuno contattare il fornitore telefonicamente per chiedergli spiegazioni.
4.2) È opportuno verificare l’estensione dell’allegato. A tal fine, è necessario verificare che lo stesso sia in un formato “comune” quale .pdf, .docx, .doc, .xls, .xlsx, .ppw., etc. Se l’allegato presenta un formato di programmazione (ad esempio: .exe) o consiste in una cartella compressa è opportuno contattare telefonicamente colui che ha inviato l’e-mail per verificarne l’attendibilità.
5) Una scansione anti-virus sia eseguita, con scadenza almeno settimanale, sui computer nei quali è utilizzato l’account aziendale.
6.2. Il controllo sui dati per i pagamenti
Il caso in esame è dimostrativo di come, per una maggiore sicurezza nei pagamenti, possa essere opportuno svolgere dei controlli “manuali” in relazione ai dati – in primo luogo, l’IBAN – ricevuti dai fornitori.
Di seguito, sono riepilogate due procedure volte a verificare la veridicità dei dati ricevuti via e-mail o fax dai fornitori ai fini del pagamento.
6.2.1. La procedura di controllo di base
1) Il fornitore comunica via e-mail o via fax, all’ufficio competente del proprio cliente, i propri dati per il pagamento.
2) L’ufficio che ha ricevuto i dati contatta telefonicamente l’ufficio del fornitore che glieli ha comunicati, chiamando il numero di telefono riportato nella e-mail o nel fax ricevuti.
3) Una volta verificata la veridicità dei dati ricevuti,
A) gli stessi possono essere utilizzati ai fini del pagamento se l’ufficio che li ha ricevuti è autorizzato ad effettuare pagamenti; oppure
B) possono essere inoltrati, dando conto dell’avvenuto controllo, all’ufficio autorizzato ai pagamenti.
4) In quest’ultima ipotesi, nel caso in cui la mail inoltrata all’ufficio autorizzato ai pagamenti non dia atto dell’avvenuto controllo, esso dovrà invitare l’ufficio che ha inoltrato la comunicazione ad effettuare il controllo suddetto, e, una volta che questo sia stato svolto, ad inoltrargli i dati così verificati.
6.2.1. La procedura di controllo rafforzato
1) Il fornitore comunica via e-mail o via fax, all’ufficio competente del cliente, i propri dati per il pagamento.
2) L’ufficio che ha ricevuto i dati contatta telefonicamente l’ufficio del fornitore che glieli ha comunicati, chiamando il numero di telefono di centralino del fornitore (ossia, quello riportato sul sito web del fornitore o su un elenco telefonico) e chiedendo alla segreteria di poter parlare con l’ufficio che ha inviato i dati per la verifica degli stessi.
3) Una volta verificata la veridicità dei dati ricevuti,
A) gli stessi possono essere utilizzati ai fini del pagamento se l’ufficio che li ha ricevuti è autorizzato ad effettuare pagamenti; oppure
B) possono essere inoltrati, dando conto dell’avvenuto controllo, all’ufficio autorizzato ai pagamenti.
4) In quest’ultima ipotesi, nel caso in cui la e-mail inoltrata all’ufficio autorizzato ai pagamenti non dia atto dell’avvenuto controllo, esso dovrà invitare l’ufficio che ha inoltrato la comunicazione ad effettuare detto controllo, e, una volta che questo sia stato svolto, ad inoltrargli i dati così verificati.
Per una maggiore sicurezza e prevenzione del rischio, è preferibile implementare questa seconda procedura, che, pur essendo sensibilmente più complessa e dispendiosa in termini di tempo, garantisce un migliore controllo sui dati ricevuti.
Info: direzione@studiodepoli.it
[1] I nomi di seguito riportati sono di fantasia onde tutelare la privacy dei nostri clienti e delle altre parti coinvolte nel caso di specie.
[2] Così l’art. 2, co. 1, PSD II.
[3] L’Allegato I, pt. 3, PSD II elenca i servizi di pagamento e, tra questi, rientra anche la «(3) Esecuzione di operazioni di pagamento, incluso il trasferimento di fondi, su un conto di pagamento presso il prestatore di servizi di pagamento dell’utente o presso un altro prestatore di servizi di pagamento: a) esecuzione di addebiti diretti, inclusi addebiti diretti una tantum; b) esecuzione di operazioni di pagamento mediante carte di pagamento o analogo dispositivo; c) esecuzione di bonifici, inclusi ordini permanenti».
[4] Così l’art. 2, co. 2, PSD II.
[5] Ossia, Bank of Thailand Notification No. SorNorChor. 6/2561 – Re: Regulations on General Supervision of Undertaking Designated Payment Service Business. La normativa citata, peraltro, non disciplina nel dettaglio gli obblighi in capo al prestatore di servizi nella gestione degli ordini di pagamento ma si limita ad indicare, alla sez. 4.2.4, il contenuto minimo del contratto quadro tra prestatore ed utente.
[6] Così i considerando nn. 5 e 7 della Direttiva.
[7] V. la sez. 675e BGB. V. anche la sez. 675d BGB e la sez. 10 di cui all’art. 248 EGBGB, relative agli obblighi informativi di tra prestatore di servizi di pagamento ed utente.
[8] Così la sent. della Corte di Giustizia dell’Unione Europea, sez. X, del 21 marzo 2019 relativa alla causa C?245/18 Tecnoservice Int. Srl in fallimento c. poste Italiane S.p.A. Invero, la Corte fa riferimento alla normativa antecedente alla PSD II (i.e., l’art. 74 della Direttiva 2007/64): tuttavia quanto da quest’ultima previsto sul tema che qui ci occupa è stato in buona parte riproposto nella PSD II, sicché le considerazioni della Corte sembrano pienamente valide per quanto riguarda il caso in esame.
[9] V., a titolo esemplificativo, quanto sancito dal Landgericht di Kleve, nella sent. 2 dicembre 2012 – 4 O 351/13, spec. al par. 17; dal Sozialgericht di Monaco, nella sent. del 16 marzo 2017 – S 31 R 502/16, spec. al par. 8; dal Landgericht di Bonn, nella sent. 14 marzo 2018 – 4 O 202/17, spec. al par. 52; e dal Landessozialgericht di Niedersachsen-Bremen, nella sent. del 27 marzo 2019 – L 2/12 R 2017/17, spec. al par. 46.
[10] Si segnala, per completezza, che l’Autorità di vigilanza tedesca competente in materia – i.e., “Bundesanstalt für Finanzdienstleistungsaufsicht” o anche solo “BaFin” –, in un’apposita sezione di Q&A sul proprio sito web: “Fragen & Antworten zum Zahlungsverkehr” – non offre alcuna indicazione più specifica a riguardo.
[11] Le versioni della Direttiva nelle altre lingue ufficiali dell’Unione Europea non aiutano a sciogliere questo nodo interpretativo: e.g., la versione inglese sancisce che le informazioni relative al beneficiario del pagamento sono fornite quando opportuno (ossia, «where appropriate»), la versione francese la considera una eventualità («le cas échéant»), la versione spagnola utilizza una formula molto simile a quella italiana («en su caso»).
[12] Il quale prevede che «(1) Gli Stati membri provvedono a che un prestatore di servizi di pagamento applichi l’autenticazione forte del cliente quando il pagatore: a) accede al suo conto di pagamento on line; b) dispone un’operazione di pagamento elettronico; c) effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi».
[13] Non solo: alla luce delle condizioni generali de quo, neppure è ravvisabile un obbligo di verifica nel caso in cui le informazioni fornite risultino equivoche o incomplete, avendo la filiale un diritto ad effettuare delle verifiche, non un dovere.
[14] A titolo esemplificativo, ad Alfa Thailandia potrebbe essere obiettato che avrebbe dovuto eseguire delle verifiche sulla provenienza delle e-mail ricevute, posto che il nuovo IBAN ivi riportato era riferito non solo a Delta ma anche ad un terzo sconosciuto.
[15] Quali, a titolo esemplificativo, i diritti, i doveri e le responsabilità delle parti, le procedure d’esecuzione dei servizi di pagamento, etc.
[16] V. l’art. 24, co. 1, D.Lgs. 11/2010 e, in giurisprudenza, recentemente, Trib. Milano, sez. VI, 21 dicembre 2018, n. 12952.
[17] Infatti, l’operazione fraudolenta in esame potrebbe costituire un unicum nella normale operatività del conto corrente intestato al Sig. Agerio.
[18] È qui sufficiente il richiamo alle disposizioni della PSD II, posto che, sia la normativa tedesca citata che quella italiana in materia (ossia, l’art. 24 del D.Lgs. n. 11/2010) dispongono in tal senso.
[19] Peraltro, l’assenza di una casistica giurisprudenziale sul punto - ossia, relativa alla rivalsa di soggetti in una posizione simile a quella di Alfa Thailandia nei confronti tra vittima del phishing - impone una maggiore cautela nell’ipotizzare una responsabilità in capo a Delta.
[20] I rapporti tra le parti sono regolati da condizioni generali che stabiliscono che gli stessi sono retti dalla legge thailandese e che ogni controversia tra esse sarà decisa, sulla base del codice civile thailandese, da un arbitro unico thailandese. Dette condizioni generali, tuttavia, presentano dei possibili profili di invalidità che, se accertati, rimetterebbero l’individuazione della legge applicabile così come quella del giudice competente alle norme di diritto internazionale privato italiane e thailandesi.
CREDITS
Progetto a cura di Marketude
Grafica a cura di Daridea
Sviluppo a cura di Magazzino27.it