Responsabile la Banca che non prova la doppia autenticazione dell’operazione

Immagine 2025-01-18 100940

Con la recente decisione n. 556/25 del 16 gennaio 2025, il Collegio di Milano dell’Arbitro Bancario Finanziario ha accolto il ricorso presentato da parte dell’Avv. Alessandro Ripoldi e dell’avv. Edoardo Gloria nell’interesse di due correntisti vittime di frode informatica.

La vicenda sottoposta all’attenzione dell’Arbitro Bancario Finanziario

La truffa è iniziata con un SMS apparentemente inviato dalla banca, che segnalava un pagamento sospetto. Successivamente, un falso operatore del servizio antifrode ha contattato i due correntisti, titolari di un conto cointestato, convincendoli a resettare la password della loro applicazione di home banking al fine di bloccare l’operazione fraudolenta.

Seguendo le istruzioni impartite, i malcapitati clienti autorizzavano inconsapevolmente due bonifici bancari a favore di terzi sconosciuti. Solo dopo aver contattato il servizio clienti della banca, i cliente si è resa conto di essere stata vittima di un inganno.

La tesi difensiva sostenuta da parte degli avvocati di Truffa Phishing

Gli avvocati Alessandro Ripoldi ed Edoardo Gloria, nell’interesse dei clienti rappresentati, hanno impostato la propria difesa su tre punti fondamentali:

1. La particolare insidiosità della truffa posta in essere, configurante un’ipotesi di vishing e spoofing e, dunque, l’assoluta carenza di profili            colposi da parte dei correntisti che hanno seguito le direttive impartite da parte dei truffatori che, utilizzando numerazioni effettivamente      riferibili alla Banca si presentavano in maniera del tutto credibile come suoi legittimi operatori.

2.  Il mancato rispetto della normativa sulla “strong customer authentication” (SCA): la direttiva europea PSD2 (Payment Services Directive)         e il relativo Regolamento UE n. 389/2018 richiedono che, per autorizzare una transazione elettronica venga adottata un’autenticazione           forte basa su almeno due dei seguenti tre fattori:

  • conoscenza;
  • possesso;
  • inerenza.

3. Onere della prova a carico della Banca: la normativa vigente impone all’Intermediario di provare non solo che le operazioni siano state            correttamente registrate e contabilizzate ma anche che vi sia stato dolo o colpa grave da parte del cliente.

    Nel caso di specie, secondo la tesi prospettata dagli avvocati, la Banca non avrebbe dimostrato la contestuale sussistenza di almeno due        dei fattori predetti oltre all’eventuale dolo o colpa grave dei correntisti.

La decisione del Collegio ed il principio di diritto affermato

Il Collegio ABF di Milano ha basato la propria decisione sul concetto di Strong Customer Authentication (SCA), un sistema di autenticazione forte introdotto dalla direttiva PSD2 per garantire maggiore sicurezza nelle operazioni bancarie online. Secondo questa normativa, per autorizzare un’operazione è necessario utilizzare almeno due fattori di autenticazione indipendenti tra loro, scelti tra elementi di conoscenza (come una password), di possesso (come un dispositivo mobile) e di inerenza (come un’impronta digitale).

Nel caso specifico, l’esame dei LOG ha evidenziato che l’unico elemento di autenticazione documentato fosse una notifica push inviata al dispositivo del cliente, riconducibile al solo fattore del possesso. L’intermediario non è stato in grado di dimostrare l’utilizzo di un secondo fattore di autenticazione, rendendo così il sistema vulnerabile e non conforme ai requisiti normativi.

Questa carenza ha portato il Collegio a riconoscere la responsabilità dell’intermediario, condannandolo non solo al rimborso integrale della somma fraudolentemente sottratta, ma anche al pagamento delle spese di procedura e al rimborso del contributo versato dai ricorrenti.

Questa decisione, costituirà senza dubbio un punto di riferimento per futuri casi analoghi, contribuendo a innalzare gli standard di sicurezza nel settore bancario e a garantire una maggiore protezione per tutti i correntisti.

  

Sei rimasto vittima di una truffa on-line? Non esitare a contattarci.

Contattaci ora

Compila il form per ricevere maggiori informazioni.