Truffa bancaria: la colpa grave del cliente per i casi di smishing e vishing

Truffa bancaria e colpa grave del cliente – guida rapida

• Il fatto
• Il ricorso all’ABF
• Le tappe della truffa
• Il comportamento antifrode della banca
• Le valutazioni dell’ABF
• L’autenticazione delle operazioni
• L’onere della prova

Quali sono i limiti di risarcibilità del cliente che è caduto vittima di una truffa bancaria? Una recente pronuncia del Collegio di Coordinamento ABF contribuisce a tracciare una soglia per la colpa grave del cliente di un istituto di credito per i casi di smishing e vishing.

Ricostruiamo brevemente quanto accaduto e valutiamo dunque quali sono state le motivazioni del Collegio.

Il fatto: la truffa bancaria perpetrata al cliente

Il ricorrente riferisce che nel pomeriggio del 1 marzo 2022 eseguiva l’accesso al proprio home banking tramite computer. Digitando sul motore di ricerca il nome della banca, veniva indirizzato sul sito della dell’istituto di credito in cui apparivano le due finestre username e password.

Dopo aver digitato le due chiavi di accesso, appariva però una segnalazione di anomalia per cui avrebbe dovuto lasciare il numero di telefono al fine di essere ricontattato. Poco dopo, il ricorrente riceveva una telefonata, con l’interlocutore che si qualificava come dipendente della banca, domandando al ricorrente di scansionare il QRCode inviato tramite mail e comunicare il PIN per consentire di certificare il numero di telefono. L’interlocutore dichiarava altresì che si sarebbe trattato di una nuova procedura da effettuare una volta l’anno.

Effettuata questa operazione, il ricorrente riceveva la comunicazione dell’esecuzione di un bonifico istantaneo di importo pari ad 14 mila euro, in realtà mai da lui eseguito dal ricorrente. A quel punto l’operatore si scusava e dichiarava che avrebbe immediatamente proceduto allo storno, inviando una notifica di storno e comunicando al ricorrente che l’accesso al conto sarebbe stato bloccato per 48 ore, fissando poi un appuntamento telefonico per il 3 marzo al fine di verificare lo sblocco dell’accesso.

Dopo aver concluso la comunicazione con l’operatore, il ricorrente riceveva una telefonata dalla banca che lo informava di essere stato vittima di una truffa e dell’impossibilità di revocare il bonifico istantaneo eseguito dal malfattore.

Il ricorso all’ABF

Resosi conto della truffa e ritenendo di aver compiuto in buona fede tutto ciò che avrebbe dovuto fare, ed esperito infruttuosamente reclamo, al ricorrente non è rimasto altro da fare che un ricorso all’ABF con la richiesta di rimborso dei 14.000 euro frutto della frode, per i seguenti quattro motivi, imputando alla banca di:

• non avere vigilato sulla presenza di siti fraudolenti clonati e identici a quelli originali
• non aver segnalato ai clienti la presenza dei siti di cui sopra
• non essersi resa conto che l’operatività era anomala, considerato che il cliente non aveva mai effettuato un bonifico istantaneo
• non aver annullato il bonifico, avendone il tempo necessario nella serata del primo marzo, considerato che la data di regolamento contabile era il 2 marzo 2022.

Le tappe della truffa bancaria

Dal canto suo, la banca controdeduce che attraverso l’analisi dei log è possibile ricostruire le operazioni eseguite dal cliente:

• in data 1 marzo 2022 alle ore 17.23 effettua il login all’Internet Banking del ricorrente tramite App con sistema di autenticazione “token virtuale”
• alle ore 17.28 i sistemi hanno registrato un secondo accesso all’Internet Banking del cliente, non più tramite App bensì tramite Desktop; questo accesso è probabilmente stato effettuato dal truffatore che, per accedere e perfezionare l’accesso, ha dovuto inserire su Desktop, il codice utente e la password personale, mentre su App, sulla quale è stato necessariamente preliminarmente installato il token virtuale identificato da specifico numero seriale, il PIN personale per la generazione di una OTP valida per l’accesso. Infine, su Desktop, in una pagina successiva, occorre inserire l’OTP generata tramite App, che era stata fornita al truffatore dal ricorrente.
• alle ore 17.35 è autorizzato un bonifico istantaneo di importo pari a 14 mila euro. Considerato che l’operatività è eseguita tramite Desktop, per l’autorizzazione dell’operazione di pagamento è stato necessario tramite App inquadrare il QRcode mostrato dal desktop del device da cui si stava disponendo l’operazione, inserire sull’App, sulla quale è stato necessariamente prima installato il token virtuale identificato da specifico numero seriale, il PIN personale al fine di generare un’OTP valida per l’autorizzazione, e infine inserire su Desktop, in una pagina successiva, l’OTP generata tramite App. Il ricorrente ha comunicato al terzo ignoto l’OTP generata, senza prestare attenzione alle avvertenze della banca, che non solo indicano espressamente e chiaramente gli estremi dell’operazione oggetto di autorizzazione ma altresì avvertono la clientela di non comunicare a nessuno l’OTP generata.

Il comportamento anti-frode della banca

La banca sottolinea quindi quali siano stati i propri comportamenti posti prontamente in atto a beneficio del cliente.

In particolar modo, resasi conto del nuovo tentativo di bonifico istantaneo alle 17.40 (non andato a buon fine per mancata autorizzazione per errato inserimento dell’OTP), alle ore 17.47 la banca nell’ambito dell’attività di monitoraggio antifrode è intervenuta in via preventiva provvedendo a bloccare l’utenza del cliente e ha contattato quest’ultimo in un momento immediatamente successivo per avvisare della frode occorsa a suo danno.

Quindi, l’istituto di credito ha tempestivamente trasmesso richiesta di recall ma la banca del beneficiario ha comunicato l’impossibilità di procedere con il blocco del conto del proprio cliente per l’assenza di fondi disponibili.

Ciò considerato, valutate le caratteristiche del sistema di autenticazione forte di cui sopra si è cercato di riassumere il funzionamento, la banca osserva come il truffatore ha beneficiato dell’operazione contestata solamente in virtù della poco attenta collaborazione del ricorrente stesso.

Secondo la banca, infatti, la controparte non ha in realtà prodotto alcuna evidenza del sito “all’interno del quale è stato carpito” e rileva che il ricorrente avrebbe dovuto prestare maggiore attenzione e usare maggior cautela a fronte della richiesta di inserimento del proprio numero di cellulare, informazione mai richiesta in fase di login all’Internet Banking.

Ancora, il numero da cui l’operatore ha contattato il ricorrente non è un numero riferibile alla banca.

La banca domanda quindi all’ABF di respingere il ricorso per le ragioni sopra esposte. In via subordinata, in caso di eventuale responsabilità che l’Arbitro riscontrasse in capo all’intermediario, la banca chiede comunque di “tener conto del comportamento colpevole ed imprudente [del ricorrente] rilevante ai fini di un concorso di colpa ai sensi dell’art. 1227 c.c.”.

Le valutazioni dell’ABF sulla truffa bancaria

Riepilogato quanto avvenuto, l’ABF ricorda innanzitutto come dal lato della prova dell’autenticazione delle operazioni, richiesta ex art. 10, dlgs. 11/2010, la banca dichiara che per utilizzare l’Internet Banking tramite sistema di autenticazione “token virtuale” – il sistema in uso sull’utenza del ricorrente – è necessario installare un token virtuale (generatore di One Time Password) sull’App.

A sua volta, il token virtuale da installare è identificato da un numero di seriale che è univocamente associato alla specifica utenza. Pertanto, l’unico token virtuale che è possibile installare sull’App scaricata dal cliente sul proprio smartphone è quello assegnato dalla banca all’utenza stessa.

Ancora, dalle dichiarazioni dell’istituto di credito, per accedere all’Internet Banking tramite App è necessario inserire sull’App il codice utente e la password personale, il PIN personale, per la generazione di una OTP valida per l’accesso. Invece, per accedere all’Internet Banking tramite desktop, è necessario inserire su desktop, il codice utente e la password personale, su App il PIN personale per la generazione di una OTP valida per l’accesso e su Desktop, in una pagina successiva, la OTP generata tramite App.

Quindi, per autorizzare un’operazione dispositiva tramite App, l’intermediario afferma che è necessario inserire sull’app il PIN personale per generare una OTP valida per l’autorizzazione. Per autorizzare un’operazione dispositiva tramite desktop, è invece necessario tramite App inquadrare il QRcode mostrato su desktop, inserire sull’App il PIN personale, ai fini della generazione di una OTP valida per l’autorizzazione e infine inserire su desktop, in una pagina successiva, la OTP generata tramite App.

L’autenticazione delle operazioni

Il Collegio ha effettuato un controllo della documentazione prodotta, rilevando la correttezza delle ricostruzioni dell’intermediario con particolare riferimento ai due momenti per i quali verifica la sussistenza dei requisiti di autorizzazione.

Rileva così il Collegio come alle 17.35 sia autorizzato il bonifico istantaneo oggetto di contestazione, mediante il processo di autenticazione sopra ricostruito e come in un momento immediatamente successivo sia inviata all’indirizzo mail del ricorrente una notifica relativa all’esecuzione del bonifico istantaneo.

Cinque minuti dopo, alle ore 17.40, è inserita un’altra operazione di bonifico istantaneo, rimasta però priva di autorizzazione per errato inserimento dell’OTP. Quindi, alle ore 17.47 la banca interveniva in via preventiva bloccando l’utenza.

Per tutti i momenti salienti ai fini della prova dell’autenticazione con presenza di un doppio fattore, il Collegio riscontra che sono sempre usati due elementi, indipendenti e diversamente intercambiati tra elementi di “conoscenza”, come le credenziali di accesso e il codice PIN, ed elementi di “possesso” quali i codici OTP spediti via App. Pertanto, per il Collegio l’operazione disconosciuta risulta  correttamente autenticata.

L’onere della prova del prestatore dei servizi di pagamento

In merito, il Collegio richiama il principio enunciato dal Coordinamento con pronuncia n. 22745/19:

la previsione di cui all’art. 10, comma 2, del d. lgs. n.11/2010 in ordine all’onere posto a carico del PSP della prova della frode, del dolo o della colpa grave dell’utilizzatore, va interpretato nel senso che la produzione documentale volta a provare l’”autenticazione” e la formale regolarità dell’operazione contestata non soddisfa, di per sé, l’onere probatorio, essendo necessario che l’intermediario provveda specificamente a indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai  quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente.

Pertanto, l’intermediario solamente dopo aver fornito prova della corretta autenticazione, è chiamato a

indicare una serie di elementi di fatto che caratterizzano le modalità esecutive dell’operazione dai quali possa trarsi la prova, in via presuntiva, della colpa grave dell’utente.

Ora, nel caso di specie la banca ha eccepito la colpa grave del ricorrente poiché vittima di una truffa non certo sofisticata, e così strutturata:

• si è collegato ad un sito internet non della banca, in rapporto al quale – per sua stessa ammissione – aveva nutrito concreti dubbi sulla sua autenticità ritenendolo “del tutto simile a quello autentico, che ho poi scoperto essere www.****.it e non www.***.com”;
• ha ignorato le avvertenze di non comunicare a nessuno il codice OTP;
• ha interagito con un “presunto” dipendente della banca, nonostante il numero da quest’ultimo utilizzato non fosse in alcun modo riconducibile all’intermediario;
• non ha opportunamente notato, al momento della ricezione della mail con il QR Code, che l’indirizzo del mittente “comunicazioni***.com” non era in alcun riconducibile alla banca considerato il dominio “****.com” e non “***.it”, reale dominio della banca.

Le conclusioni

Quindi, conclude il Collegio, il ricorrente è incorso in una truffa telematica tradizionale (smishing e vishing), resa possibile grazie al suo comportamento negligente. Si configura dunque una effettiva colpa grave in capo all’utente, secondo il costante orientamento del sistema ABF. Non può pertanto essere accolta la richiesta di rimborso delle somme oggetto delle operazioni contestate.