Truffe online: autenticazione forte o la banca deve risarcire

Importante decisione dell’ABF in tema vishing: per le normative UE non basta solo il codice OTP per autorizzare i pagamenti. Richiesto un maggior livello di sicurezza alle banche

BOLOGNA – Sono diverse le segnalazioni che in questi mesi sono arrivate agli sportelli di Confconsumatori per tentativi di truffe bancarie online, telefoniche o sms. Il caso del consumatore bolognese vittima di vishing, la truffa del “consenso rubato”, ha sancito un importante parere dell’Arbitro Bancario Finanziario (ABF), che ricorda il compito delle banche di dotarsi di strumenti adeguati a proteggere i risparmi dei consumatori dalle truffe a distanza.

A maggio del 2020, un consumatore di Bologna aveva ricevuto una telefonata da parte di un soggetto che, utilizzando il numero di telefono della sua banca e spacciandosi per un vero operatore, lo avvisava di un fantomatico tentativo di prelievo non autorizzato dalla sua carta. Il truffatore era già in possesso di alcuni dei dati personali del cliente e, dopo averlo convinto con l’inganno a confermarli, ha chiesto che gli fosse riferito il codice di sicurezza OTP (One Time Password) usa e getta ricevuto sul cellulare, in modo da bloccare il movimento sospetto.

Il risparmiatore, però, si era accorto che il testo dell’SMS riportava la frase “autorizza il bonifico” e, dopo aver comunicato solo le prime due cifre del codice, si era fermato contattando lui stesso la banca per attestare la veridicità della prima telefonata. L’istituto di credito ha confermato di non aver mai contattato il cliente e di non usare questa modalità di comunicazione per chiedere i dati personali, né tantomeno il codice OTP. Successivamente, il risparmiatore ha cercato di richiamare il truffatore non ottenendo nessuna risposta, così ha prontamente bloccato la carta di credito e sporto denuncia alla Polizia Postale, informando, infine, la banca dell’accaduto. Purtroppo, nel mentre, il truffatore era riuscito a far sparire dal conto del consumatore 1.200 euro.

Il risparmiatore, informando la banca dei fatti, ha chiesto che gli venisse rimborsata la cifra estorta, essendo stato vittima di una truffa in piena regola. Tuttavia, l’istituto di credito ha contestato la richiesta affermando di avere inserito dei messaggi di prevenzione delle attività fraudolente sia negli estratti conto inviati al ricorrente, sia sui portali e sugli ATM, e che i messaggi riportavano l’indicazione precisa che la banca non chiede mai, con alcun mezzo, di fornire i codici di sicurezza OTP (One Time Password) usa e getta ricevuti sul proprio cellulare. Facendo così leva sull’imprudenza del cliente.

Il consumatore, ricevuta la risposta della banca, si è rivolto a Confconsumatori Bologna per portare la questione davanti all’ABF di Bologna. Il collegio arbitrale, nel testo della decisione, si è discostato dall’ordinamento precedente, contestando la pratica degli istituti di credito di dimostrare che il cliente abbia fornito volontariamente il codice OTP per asserirne la colpa grave e quindi invalidare la richiesta di risarcimento.

«L’arbitro ha messo in evidenza che – spiegano da Confconsumatori Bologna – i sistemi di autenticazione, in adeguamento alla recente normativa europea PSD2 entrata in vigore nel 2019, richiedono un livello maggiore di autorizzazione delle operazioni, motivo per cui il solo codice OTP non è più sufficiente. A tale normativa sono chiamati ad adeguarsi tutti gli istituti di credito, tenuti a modificare le modalità di accesso ai servizi online e delle autorizzazioni delle disposizioni».

Con la decisione del 22 aprile 2021, l’Arbitro ha quindi sancito che L’istituto di credito dovrà risarcire il risparmiatore vittima di truffa per l’intera somma di 1.200 euro.