Prelievi fraudolenti dal conto corrente, Poste Italiane deve rimborsare: nuova vittoria dello Studio Legale Grandinetti nei confronti di un Istituto Bancario in un caso di phishing/spoofing. (Decisione ABF Collegio di Bologna del 17.11.23)

Importante pronunciamento ottenuto dallo studio legale presso l’ Arbitro Bancario Finanziario sez. Bologna, circa l’ennesima  frode subita da una cliente di Poste Italiane, che ha sancito  il riconoscimento del rimborso dell’intero importo sottratto dai malviventi (€ 8.000.00=).

 Il consumatore rivoltosi all’Avv.Grandinetti, era incappato in un  caso di caller ID spoofing, una tecnica fraudolenta che consiste nel modificare il numero del chiamante, fingendosi  un istituto bancario, per indurre la vittima a comunicare dati personali utili ad attuare la truffa: nel caso specifico il cliente di Poste Italiane- un cittadino fiorentino –  riceveva prima un  SMS, e poi una telefonata da  numeri ufficiali dell’Istituto Bancario.

In particolare il cliente riceveva un sms da “Poste italiane” con il quale veniva invitato  a verificare un accesso anomalo sul proprio conto corrente, cliccando sul link ivi indicato. Seguiva, quindi, le istruzioni presenti nell’sms e veniva rimandato alla pagina web dell’Istituto bancario: mentre tentava di chiamare il servizio clienti, riceveva quindi  una telefonata dal numero verde “Poste Italiane”, e seguendo quindi  le indicazioni del sedicente operatore di Poste, forniva allo stesso dei codici ne frattempo comunicati allo stesso via sms.

Chiusa la conversazione il cliente si avvedeva quindi che,  in concomitanza della telefonata ricevuta era stata effettuata una operazione fraudolenta per un importo di € 8.100,00= consistente nell’invio di un bonifico ad una terza persona allo stesso sconosciuta.

L’Arbitro bancario pertanto, esaminato il ricorso svolto nell’interesse del cliente dallo studio legale, riconosceva la responsabilita’ dell’Istituto bancario per quanto accaduto, condannandolo all’integrale rimborso a favore del correntista.

La pronuncia del Collegio di Bologna statuiva  infatti che “….in assenza di “un’autenticazione forte“, la protezione dei dati sensibili viene meno, ricorrendo quindi, in caso di prelievi fraudolenti, la responsabilità dell’Istituto bancario…. Come noto, a fronte del disconoscimento di operazioni di pagamento da parte dell’utente, spetta all’intermediario assolvere l’onere probatorio ex art. 10, comma 1, d.lgs. n. 11/2010, in base al quale…..Qualora l’utilizzatore di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti…”

E ancora…”Sul punto, è intervenuta l’European Bank Authority con la “Opinion” del 21 giugno 2019 (richiamata espressamente dal Regolamento UE/2018/389 del 27.11.2017), nella quale sono stati passati in rassegna alcuni dei più comuni sistemi di autenticazione predisposti dagli intermediari per valutare se possano o meno annoverarsi tra i presidi di autenticazione forte. Occorre dunque verificare se, nel caso di specie, le operazioni contestate siano state autenticate mediante la combinazione di almeno due dei tre elementi che caratterizzano la c.d. “autenticazione forte”.

Cio’ premesso, il Collegio esprimeva una motivazione molto importante alla base della propria decisione da un punto di vista probatorio,  relativa in particolare al “mancato raggiungimento della prova” da parte dell’Istituto bancario: con la   documentazione versata in atti, si  evidenziava infatti  come non fosse stata  fornita la prova dell’autenticazione forte, posto che da un lato nelle schermate di dettaglio dell’operazione  risultava indicato che l’operazione fosse stata eseguita in APP, e da altre tracciature informatiche emergevano  diversi accessi al portale dell’Istituto  mediante diversi canali.

 Altresi, L’istituto bancario affermava, nel corso del procedimento,  che l’operazione disconosciuta fosse  stata autenticata inserendo il codice **ID al ricevimento della notifica PUSH in APP, recante la descrizione della transazione fraudolenta, tuttavia, nelle tracciature informatiche non si rilevava l’utilizzo del codice **ID quale fattore di autenticazione dell’operazione contestata.

Infine, L’istituto bancario non assumeva una posizione netta in ordine all’appartenenza del device su cui era installata la APP, né riusciva a chiarire se fosse  stata utilizzata la APP installata sul device del correntista oppure quella eventualmente installata sul device del truffatore.

Qui testo integrale ponuncia