Nelle ultime settimane, uno degli argomenti più trattati da questo blog ha riguardato le truffe digitali, un odioso fenomeno in grave ascesa e che sta colpendo molti consumatori italiani, con diverse e sempre innovative modalità (vedi la "truffa della ballerina" - clicca qui).
Una delle versioni più classiche della truffa digitale riguarda il vishing, ossia il furto dei dati bancari attraverso una telefonata e che può comportare gravi danni al consumatore raggirato, come accaduto nella vicenda oggetto della decisione n. 1880/2025 dell'Arbitro Bancario Finanziario - Collegio di Roma.
Il provvedimento che trovate di seguito è particolare perché determina, da una parte, la responsabilità della banca, ma dall'altra anche quella del correntista "distratto", stabilendo che anche il consumatore deve stare accorto e tenere comportamenti che evitino il il furto dei suoi denari (per chi è rimasto vittima di phishing/vishing o comunque vuole assistenza in materia bancaria, può scrivere a sos@consumatoreinformato.it).
1. La vicenda: una truffa telefonica sempre più sofisticata
Un correntista subisce una truffa di tipo “vishing”, ossia phishing telefonico, venendo contattato contattato da un numero apparentemente riconducibile alla banca: l’interlocutore conosce dati personali del cliente e si presenta come operatore incaricato di completare il questionario antiriciclaggio tramite una presunta applicazione di sicurezza.
Seguendo le istruzioni ricevute telefonicamente, il cliente installa sul proprio smartphone un’applicazione che consente il controllo remoto del dispositivo.
Nei giorni successivi viene disposto un bonifico di 49.500,00 euro verso un beneficiario sconosciuto con causale “acconto immobile” e viene tentato un secondo bonifico di 28.500,00 euro, poi bloccato dal sistema.
Il cliente denuncia immediatamente i fatti e disconosce l’operazione, sostenendo di non aver mai autorizzato il pagamento né comunicato credenziali o codici.
La banca, invece, produce i log informatici attestanti:
- accesso con PIN;
- autenticazione tramite mobile token;
- autorizzazione mediante OTP.
Secondo l’intermediario, dunque, l’operazione risulta formalmente corretta.
2. PSD2 e autenticazione forte: perché non basta dire “i codici erano giusti”
Il Collegio richiama il quadro normativo della PSD2, recepita nel nostro ordinamento mediante modifica del d.lgs. 11/2010.
Nel caso concreto l’operazione era protetta dalla cosiddetta strong customer authentication (SCA):
- PIN come fattore di conoscenza;
- OTP generato tramite mobile token come fattore di possesso.
- Sistema ritenuto conforme anche agli orientamenti dell’Autorità bancaria europea.
Ma il punto centrale — e ormai consolidato nella giurisprudenza ABF — è un altro.
La corretta autenticazione tecnica non equivale automaticamente ad autorizzazione consapevole del cliente.
La banca non può limitarsi a dimostrare che i codici sono stati inseriti: deve anche dimostrare di aver adottato presidi idonei a prevenire frodi prevedibili nel contesto attuale.
3. Il numero telefonico “riconducibile” alla banca: un problema anche dell’intermediario
Elemento rilevante della decisione è il cosiddetto caller ID spoofing.
Ma cos'è il caller ID spoofing? l'ABF l'ha definito come una sofisticata truffa informatica basata sulla falsificazione del numero del mittente (chiamata o SMS) per simulare un'entità affidabile,la banca inducendo la vittima a rivelare credenziali o spostare fondi.
Il numero utilizzato dal truffatore non coincideva formalmente con quello ufficiale del call center, ma risultava comunque riconducibile all’intermediario.
Secondo l’orientamento ormai prevalente dei Collegi territoriali, ciò può integrare un concorso di responsabilità della banca, perché l’intermediario deve adottare presidi tecnici adeguati per evitare l’uso fraudolento dei propri riferimenti telefonici.
Per il consumatore medio, infatti, vedere comparire un numero associabile alla banca genera un affidamento comprensibile e spesso determinante.
4. L’errore decisivo del cliente: installare l’app di controllo remoto
Il Collegio dell'Arbitro, dando seguito a precedenti analoghe vicende, individua anche una responsabilità grave del correntista.
Seguendo le indicazioni del falso operatore, il cliente installa un’applicazione che consente l’accesso remoto allo smartphone.
Secondo una linea ormai costante dell’ABF, questa condotta integra colpa grave.
⇒ Chi consente ad uno sconosciuto di controllare il proprio dispositivo:
⇒ permette al truffatore di visualizzare notifiche;
⇒ inserire credenziali;
⇒ autorizzare operazioni.
In sostanza, il frodatore può operare indisturbato simulando l’operatività del cliente.
Il Collegio sottolinea inoltre che non è stato prodotto alcun “messaggio esca”, elemento spesso utilizzato per dimostrare un affidamento ragionevole nei casi di spoofing o smishing.
5. Operazione anomala: quando la banca avrebbe dovuto fermarsi
Nonostante la colpa grave del cliente, la banca non viene esonerata completamente, in quanto il bonifico presentava infatti diversi indici di anomalia tali da indurre l'intermediario bancario a bloccare/non dare esecuzione all'ordine di bonifico, previo ulteriore controllo.
Elementi di anomalia che possono essere rilevati dalla banca, utilizzando il criterio della diligenza professionale (c.d. "accorto banchiere") ex art. 1176 c.c., comma 2, sono l'importo estremamente elevato; operazione non coerente con la storia del conto; tentativo successivo di ulteriore bonifico poi bloccato.
E tale attività di controllo può essere rispettata, attraverso sistemi capaci di intercettare trasferimenti manifestamente fuori linea rispetto al comportamento abituale del cliente.
Se un’operazione appare abnorme già prima facie, il controllo automatizzato non basta.
6. La decisione: responsabilità condivisa e rimborso solo parziale
In conclusione, il Collegio individua quindi un concorso di colpa tra banca e cliente:
a.- del cliente, per aver installato l’app di controllo remoto;
b.- della banca, per non aver adeguatamente intercettato l’operazione anomala.
Il ricorso viene parzialmente accolto e la banca viene condannata a pagare15.000 euro a titolo equitativo, su 49.500 richiesti.
La pronuncia conferma una tendenza ormai consolidata in questa materia, in quanto nelle frodi digitali più evolute la responsabilità non è quasi mai totalmente unilaterale, come ci ha detto l'ABF con questa decisione.
Quando il cliente agevola la truffa con comportamenti gravemente imprudenti, il rimborso integrale diventa difficile, o comunque parziale, avendo partecipato attivamente alla creazione del danno lamentato.
Ma allo stesso tempo l’intermediario non può rifugiarsi dietro la correttezza tecnica dei log informatici se l’operazione presenta segnali evidenti di anomalia.
In un contesto di truffe sempre più sofisticate, la sicurezza dei pagamenti resta una responsabilità condivisa — e la prevenzione, oggi più che mai, è il vero strumento di tutela del consumatore.
Arbitro Bancario Finanziario - Collegio di Roma - decisione n. 1880/2025.
Banca - Operazioni non autorizzate - conseguenze by Consumatore Informato
Nessun commento:
Posta un commento