Decisione Collegio di Milano n.3256 del 23 febbraio 2022

IL CASO SOTTOPOSTO ALL’ARBITRO BANCARIO

In data 16.07-2021 il correntista riceveva dalla sua banca un messaggio SMS con cui veniva informato di una richiesta di pagamento e veniva invitato a cliccare il link riportato nel messaggio qualora intendeva disconoscere il pagamento.

Inoltre, il messaggio SMS ricevuto era archiviato nella medesima chat delle comunicazioni genuine provenienti dalla banca.

Il correntista veniva successivamente contattato telefonicamente da un (falso) operatore della banca, in possesso dei suoi dati sensibili, che lo guidava nella procedura di blocco della carta per un tentativo di frode.

Il cliente si rendeva conto in seguito di essere stato vittima di truffa c.d. SMS-spoofing, frode particolarmente sofisticata ed efficace perché poco nota agli utenti.

Nelle sue modalità concrete il cliente clicca il link contenuto nell’SMS ed inserisce i propri codici segreti per entrare nell’Home Banking successivamente viene contattato da un soggetto che si qualifica come un operatore della banca a cui riferiva il codice OTP ricevuto sul proprio cellulare reputando di bloccare la carta di credito.

La banca successivamente respingeva il reclamo del cliente teso ad ottenere il rimborso della somma indebitamente sottratta dai malfattori, sosteneva che l’operazione era stata effettuata mediante modalità 3D Secure e regolarmente autenticata attraverso l’invio dell’OTP sul numero di cellulare fornito dal cliente,l’inserimento del codice conosciuto solo dal titolare e l’inserimento del codice CVV posto sul retro della carta;

LA DECISIONE DELL’ARBITRO BANCARIO

L’arbitro bancario accoglie il ricorso del cliente richiamando la normativa (decreto legislativo n.11 del 27/01/2017 come modificato in seguito al recepimento della seconda Direttiva europea sui servizi di pagamento /Direttiva 2015723667UE del 13 novembre 2007) che fa ricadere sulla banca la responsabilità delle operazioni disconosciute laddove quest’ultimo non abbia predisposto un cd. “Sistema di autenticazione forte” (in inglese strong customer authentication o SCA). Un simile sistema deve essere applicato, stando alla previsione dell’art. 10-bis, dai prestatori di servizi di pagamento anche quando l’utente dispone un’operazione di pagamento elettronico ovvero effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

IL SISTEMA DI SICUREZZA 3D SECURE

Secondo le decisione dell’Arbitro bancario il sistema 3D Secure non integra gli estremi dell’autenticazione forte, alla luce del d.lgs. n. 11/2010 riferite alle misure di sicurezza, così come modificate dal d.lgs. n.218/2017, e cioè a partire dal 14 settembre 2019,