Attenzione alle credenziali di home banking collegate al conto corrente, si rischia di perdere tutto e non sempre spetta il risarcimento.
Il caso sottoposto all’Arbitro Finanziario Bancario del Collegio di Napoli, riguarda un utilizzo fraudolento del servizio home banking legato al conto corrente. Dalla ricostruzione dei fatti emerge che la ricorrente è stata vittima di phishing telefonico (o vishing). Questa tipologia di truffa è azionata tramite una telefonata, attraverso la quale i truffatori, presentandosi come operatori della banca, inducono la vittima a fornire con inganno i propri dati. I finti operatori convincono la presunta vittima, adducendo ad esempio, la necessità di sventare una frode, oppure, il blocco del conto corrente.
I truffatori, già entrati in possesso delle credenziali di accesso, tramite espedienti truffaldini, riescono ad estorcere anche il codice OTP inviato tramite SMS sul numero telefonico autorizzato dalla vittima. In questo modo, i truffatori riescono ad entrare nel sistema home banking e ad aggirare la protezione “a due fattori” predisposta dalla banca per tutelare il cliente.
Conto corrente e home banking: in questo modo rubano tutti i soldi
La ricorrente in base ai fatti esposti ricorre all’Arbitro per ottenere il rimborso di un importo di 6.400 euro oltre al risarcimento del danno dovuto dal comportamento resistente della banca. In effetti, secondo la ricorrente, la banca non ha provveduto al disconoscimento del bonifico di 6.400 euro effettuato dai truffatori. Tuttavia, la banca si difende in quanto l’operazione disconosciuta dal cliente era stata correttamente autenticata inserendo il codice OTP (codice dinamico) e quindi, l’operazione non riportava nessuna anomalia operativa. La banca, a sua volta ha dimostrato che la ricorrente ha violato con colpa grave gli obblighi a suo carico (D.Lgs n. 11/2010 articolo 7, comma 2).
Non spetta il risarcimento se configurabile in “colpa grave”
Nella decisione dell’Arbitro Finanziario Bancario n. 24098 del 25 novembre 2021, si legge che la questione è regolata dal Decreto legislativo n. 11 del 27 gennaio 2020 che da una parte impone agli intermediari specifici obblighi di precauzione, in modo particolare, garantire l’inaccessibilità dei dispositivi di pagamento a soggetti senza autorizzazione. Dall’altra, istituisce un regime di speciale protezione a favore degli utilizzatori dei servizi bancari. Uno speciale regime e favor che si può sintetizzare nei seguenti principi:
a) nel caso del disconoscimento di un’operazione di pagamento, l’intermediario ha l’onere di dimostrare che l’operazione non sia stata eseguita e autenticata correttamente. Inoltre, dovrà dimostrare che tale situazione non sia dovuta ad un malfunzionamento delle procedure esecutive o del sistema;
b) la corretta autenticazione non necessariamente sufficiente a dimostrare la riconducibilità all’utilizzatore che ha disconosciuto l’operazione;
c) l’utilizzatore è responsabile nei casi di comportamento fraudolento riconducibile ad un comportamento colposo per inadempimento dell’obbligo previsti nell’articolo 7 del decreto, che prevede il rispetto dei patti contenuti nell’accordo quadro.
Nel caso esaminato dall’ABF, il sistema internet banking dell’intermediario è conforme alle caratteristiche di sicurezza previste dalla “Strong Customer Authentication (SCA) che prevede un specifica procedura d’identificazione con doppia autenticazione. La prima parte riguarda le credenziali di accesso all’home banking, la seconda riguarda il codice personale OTP tramite SMS parlante.
Il Collegio non accoglie il ricorso, in quanto ritiene che la vicenda in esame, sia configurabile come colpa grave della ricorrente. Pertanto, non è dovuto nessun risarcimento.
Bisogna fare molta attenzione, in questi casi è consigliato chiudere la telefona e rivolgersi direttamente alla banca che potrà verificare la situazione effettiva.