Truffa sul conto corrente
Abstract
Il “vishing caller id spoofing” (c.d. spoofing telefonici) è una tecnica di vishing (voice phishing) volta a falsificare l’identificativo della chiamata, facendo apparire il numero verde della banca. Manipolando l’identificativo delle chiamate, i truffatori generano un falso legittimo affidamento nei confronti dell’operatore e della banca da parte dell’utente che comunica telefonicamente codici e/o password riservate.
Sussiste in tali casi una responsabilità dell’istituto bancario per non aver adempiuto puntualmente agli obblighi previsti dal Decreto Legislativo 27 gennaio 2010, n. 11, come modificato dal Decreto Legislativo 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366, relativamente all’adozione di sistemi di autenticazione cd. forte e che si realizza attraverso l’inserimento di due password: una statica, conosciuta dall’utente, ed una dinamica, consistente in un codice usa e getta che può avere la forma di un messaggio sul cellulare oppure può essere generata tramite le cosiddette chiavette o token.
In assenza degli anzidetti sistemi di autenticazione l’utente ha diritto al rimborso delle somme oggetto delle operazioni non autorizzate.
Il caso: la truffa delle chiamate dal finto operatore bancario
Tizio non riuscendo ad effettuare un bonifico tramite il sito della Banca Zeta contattava invano il servizio clienti.
Il giorno successivo, Tizio al fine di verificare il saldo, consultare i movimenti del conto corrente e prelevare del denaro, si recava presso la filiale della Banca ove, però, non riusciva ad eseguire alcuna operazione in quanto lo sportello automatico bancario rifiutava qualsiasi azione. Contattava, quindi, nuovamente il servizio clienti che provvedeva a sbloccare il conto corrente e gli consentiva l’accesso all’applicazione per verificare il saldo.
Constatando dall’estratto conto che nei giorni precedenti erano stati eseguiti bonifici non autorizzati per una somma complessiva di euro 2.173,00, Tizio si recava presso la stazione dei Carabinieri al fine di sporgere querela per frode informatica. Egli precisava di non essere stato contattato da alcun numero sconosciuto nei giorni precedenti ma solo dal numero verde del servizio clienti di Banca Zeta con la motivazione di aggiornare l’applicazione della Banca sui dispositivi Android per ragioni di sicurezza. Rappresentava, altresì, che l’operatore della Banca lo aveva contattato diverse volte chiedendo di confermare la sua identità adducendo un problema sul loro sistema informativo ed avendo la necessità di effettuare un controllo sulla ricezione dei messaggi. L’operatore durante le operazioni di controllo chiedeva i codici che riceveva sull’utenza telefonica.
L’utente successivamente contattava il servizio clienti di Banca Zeta da cui apprendeva che la predetta procedura non era quella utilizzata, in quanto la banca non richiedeva i codici ricevuti sul dispositivo. Pertanto, Tizio, insospettito, controllava le chiamate ricevute e appurava che le transazioni fraudolente erano state eseguite proprio nei giorni in cui aveva ricevuto la chiamata dal servizio clienti della Banca. Riscontrava, inoltre, che il giorno in cui era in collegamento telefonico con l’operatore, riceveva da Banca Zeta dei messaggi relativi all’attivazione di “APPLE PAY” e “GOOGLE PAY” che disconosceva. Le chiamate provenendo dal numero verde della Banca non insospettivano Tizio che in buona fede riferiva quanto richiesto dall’operatore.
Al fine di disconoscere le operazioni Tizio inviava alla Banca il modulo di comunicazione di operazioni non autorizzate e richiedeva la restituzione delle somme relative alle operazioni disconosciute. Nel comunicare che le operazioni disconosciute risultavano “impartite ed autorizzate per il tramite del Servizio QuiZeta mediante l’inserimento delle credenziali di accesso e codici autorizzativi autentici”, la Banca respingeva ogni responsabilità e non provvedeva alla restituzione della somma dovuta.
Obblighi a carico dell’utente e del prestatore di servizi
Prima di esaminare il caso di specie occorre comprendere quali obblighi sussistono in capo all’utente e alla banca in relazione agli strumenti di pagamento.
La materia è regolata dalle norme generali in tema di adempimento delle obbligazioni e sulla diligenza del mandatario (articolo 1710 Codice Civile) e della banca nell’“esecuzione degli incarichi” (articolo 1852 Codice Civile) nonché dal Decreto Legislativo 27/01/2010 n. 11.
In particolare, l’articolo 7 del Decreto Legislativo n. 11/2010 prevede che l’utente oltre ad adottare tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate, ha l’obbligo di:
a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso e che devono essere obiettivi, non discriminatori e proporzionati;
b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza.
L’articolo 8 del predetto Decreto Legislativo per contro statuisce che il prestatore di servizi si assume i rischi derivanti dalla spedizione di uno strumento di pagamento o delle relative credenziali di sicurezza personalizzate nonché ha l’obbligo di:
a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento, fatti salvi gli obblighi posti in capo a quest’ultimo ai sensi dell’articolo 7;
b) astenersi dall’inviare strumenti di pagamento non richiesti, a meno che lo strumento di pagamento già consegnato all’ utente debba essere sostituito;
c) assicurare che siano sempre disponibili strumenti adeguati nonché di chiedere lo sblocco dello strumento di pagamento o l’emissione di uno nuovo, ove il prestatore di servizi di pagamento non vi abbia già provveduto.
Inoltre, ove richiesto dall’utente, il prestatore di servizi di pagamento deve fornire i mezzi per dimostrare di aver effettuato la comunicazione di furto, smarrimento o appropriazione indebita degli strumenti di pagamento, entro i 18 mesi successivi alla comunicazione medesima nonché deve fornire all’utente la possibilità di procedere alla predetta comunicazione a titolo gratuito, addebitando eventualmente solo i costi di sostituzione dello strumento di pagamento.
L’articolo 9 stabilisce l’obbligo da parte dell’utilizzatore, avvedutosi di un’operazione fraudolenta, di darne tempestivo avviso al prestatore dei servizi, mentre l’articolo 12 comma 2, esonera da responsabilità, salvo il caso in cui abbia agito fraudolentemente, l’utilizzatore di uno strumento di pagamento, smarrito, sottratto o utilizzato indebitamente, nel caso in cui il prestatore di servizi di pagamento non abbia assicurato la piena fruibilità di strumenti atti consentire all’utilizzatore di comunicare senza indugio allo stesso prestatore l’utilizzo indebito dello strumento di pagamento. L’articolo 12, comma 2 bis, prevede inoltre che, salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente.
Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente.
La normativa prevede una diversa distribuzione degli oneri probatori. Da una parte, occorre verificare se il fornitore abbia adottato tutti i migliori accorgimenti della tecnica per scongiurare tali impieghi fraudolenti, e dall’altra, se l’eventuale negligenza del titolare dello strumento di pagamento sia tale da ricadere o meno nella nozione di colpa grave cui all’articolo 12 Decreto Legislativo n. 11/2010.
Nel caso di specie, si evince uno specifico “obbligo dell’intermediario di predisporre un servizio di avviso tempestivo all’utente delle operazioni compiute utilizzando strumenti di pagamento di cui sia titolare, in quanto solo attraverso un tempestivo avviso da parte del gestore del sistema può ritenersi che l’utente sia messo in grado di “eseguire la comunicazione di cui all’articolo 7, comma 1, lettera b)”, qualificando il pagamento registrato come non autorizzato (in tal senso si è espressa l’ABF Napoli con decisione n. 8553/2019 e n. 21165 del 10/09/2019).
L’attivazione dello strumento di segnalazione “sms alert” rientra nei doveri di adottare misure idonee a garantire la sicurezza del servizio con la dovuta diligenza e, quindi, costituisce un onere gravante direttamente sull’intermediario, a prescindere dal fatto che il cliente ne abbia o meno richiesto l’attivazione.
La mancata attivazione del predetto servizio, che dovrebbe essere adottato in modo generalizzato, costituisce una carenza organizzativa imputabile alla banca, data la natura di misura di sicurezza del sistema di sms alert (Coll. Roma, dec. 7976/2016. Conformi sul punto, fra le tante, Coll. Roma dec. n. 15447/2018; Coll. Palermo dec. n. 13205/2017).
“Vishing Caller ID Spoofing” e applicazione della fattispecie al caso di specie
Nonostante gli elevati sistemi di sicurezza quotidianamente si verificano numerose tipologie di truffe bancarie a danno degli utenti. Tra le numerose truffe in circolazione vi rientra la frode denominata caller id spoofing cui è stata vittima Tizio.
Il “vishing caller id spoofing” (c.d. spoofing telefonici) è una tecnica di vishing (voice phishing) volta a falsificare l’identificativo della chiamata, facendo apparire il numero verde della banca. I truffatori, grazie ai servizi VoIp (Voice over Internet Protocol), manipolano l’identificativo delle chiamate generando un falso legittimo affidamento dell’utente nei confronti dell’operatore e della banca.
L’utente dunque ignaro di tali tecniche, ricevendo una chiamata apparentemente dell’istituto bancario, non potendo immaginare un raggiro e/o truffa, credendo di interloquire con la banca, comunica telefonicamente codici e/o password.
Appare evidente che nel caso de quo Tizio in osservanza dell’articolo 7 del Decreto Legislativo 11/2010 aveva sempre diligentemente custodito la propria carta e i pagamenti contestati venivano effettuati da terzi aggirando i sistemi di sicurezza utilizzati della banca per le operazioni online. Ricevendo la chiamata dall’effettivo numero verde dell’assistenza clienti della Banca Zeta, Tizio non aveva motivo di dubitare della buonafede dell’operatore.
La Banca Zeta, invece, in spregio all’articolo 8, non aveva fornito:
a) un sistema di protezione delle transazioni online come la segnalazione e il blocco di eventuali operazioni anomale;
b) un servizio di avviso tempestivo delle operazioni compiute c.d. sms alert che avrebbe consentito di segnalare prontamente le operazioni sconosciute e la cui mancanza costituisce una violazione dei doveri sussistenti in capo all’istituto bancario. Invero, l’attivazione di un servizio di sms alert avrebbe impedito di patire il danno subito conseguentemente alle operazioni.
La mancanza del presidio dell’autenticazione forte aveva facilitato la possibilità di modificare l’utenza telefonica di riferimento rendendo inefficaci le misure di sicurezza relative all’effettuazione delle singole operazioni. Per tale inadempimento la Banca doveva ritenersi responsabile delle operazioni fraudolente perpetrate ai danni di Tizio (in tal senso si è espresso ABF Milano con decisione n. 21243 del’11/09/2019).
Il rifiuto della Banca di rimborsare la somma oggetto delle operazioni fraudolente, aveva indotto l’utente a proporre ricorso all’Arbitro Bancario Finanziario (ABF).
La Banca, nel costituirsi e chiedere il rigetto del ricorso, eccepiva che:
a) Tizio aveva fornito i codici al sedicente operatore della banca;
b) il numero verde dell’intermediario non era abilitato ad effettuare telefonate ma solo a riceverle;
c) l’utente non aveva prestato attenzione all’sms con cui veniva avvisato della richiesta di attivazione del digital code né agli ulteriori sms che lo avevano avvisato della richiesta di aggiornamento del numero di cellulare;
d) i presidi di sicurezza, sms e email, erano correttamente attivi e nonostante la anomala telefonata ricevuta, la stranezza dell’operatività richiesta e gli alert, il ricorrente non si è insospettito;
e) l’accesso al servizio di internet banking necessitava della digitazione congiunta del codice cliente e del codice di sicurezza (password conosciuta dal solo cliente).
Dopo aver eseguito l’accesso, per effettuare operazioni dispositive il cliente aveva a disposizione due modalità di autenticazione:
1) il Digital Code, che è un codice OTP generato automaticamente e con durata limitata oppure
2) la tessera Qui [nome intermediario] contenente una serie di codici dispositivi. La Banca quindi non si riteneva responsabile per aver l’utente comunicato l’OTP ai malfattori ignorando il contenuto degli SMS alert.
Orbene, l’operazione contestata nel caso de quo veniva eseguita sotto la vigenza del Decreto Legislativo 27 gennaio 2010, n. 11, come modificato dal Decreto Legislativo 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2), entrato in vigore il 13/01/2018, che ha imposto ai prestatori di servizi di pagamento on line l’adozione di sistemi di autenticazione cd. forte.
Le fonti normative regolatrici della strong customer authentication (cd. SCA) si rinvengono negli articoli 97 e 98 della PDS2, nell’articolo 10 bis del Decreto Legislativo 10/2011, nelle norme tecniche di regolamentazione emanate dall’EBA e recepite con Regolamento Delegato Ue 2018/389 della Commissione Europea, applicabile a far data dal 14 settembre 2019, nonché nei criteri interpretativi forniti dall’EBA.
Dal caso prospettato emerge che l’operazione di bonifico online veniva effettuata in data successiva all’entrata in vigore del Regolamento Ue 2018/389 e che Tizio è stato vittima di un episodio di vishing caller ID spoofing in quanto la chiamata ricevuta, unitamente a diversi SMS, pareva provenire dal numero verde riconducibile all’intermediario.
A nulla valgono le eccezioni della Banca in quanto l’accesso all’internet banking eseguito mediante inserimento delle credenziali del cliente (codice cliente e Codice di sicurezza - password conosciuta solo dal cliente) ovvero con modalità fondata solo su credenziali statiche non sono compatibili con i canoni della SCA in base alla opinion dell’EBA.
Invero, sussiste una responsabilità dell’intermediario per non predisporre adeguati sistemi per proteggere efficacemente i propri clienti con riferimento al rischio di truffe perpetrate per via telematica. Più precisamente, si ravvisa una condotta colposa della Banca per non prevedere, per la modifica del numero di telefono ed e-mail associato all’utenza, sistemi di autenticazione c.d. forte.
Per garantire un livello di sicurezza adeguato la Banca deve prevedere una c.d. strong authentication o autenticazione a più fattori consistente in un’autenticazione doppia, richiesta al momento di un’operazione di pagamento e che avviene attraverso l’inserimento di due password: una statica, conosciuta dall’utente, e una dinamica, consistente in un codice usa e getta che può avere la forma di un messaggio sul cellulare oppure può essere generata tramite le cosiddette chiavette o token. Tecnica non adottata nel caso di specie da parte della Banca Zeta.
Pertanto, alla luce di quanto esposto l’Arbitro Bancario Finanziario, con decisione n. 14107 dello 07/06/2021, nel riconoscere la responsabilità dell’istituto bancario e la fondatezza della domanda di Tizio disponeva la restituzione dell’importo abusivamente sottrattogli, per non aver il prestatore di servizi di pagamento adempiuto puntualmente agli obblighi posti a suo carico dalle disposizioni normative circa la predisposizione di adeguati sistemi di sicurezza e di autenticazione forte volti a prevenire il rischio di operazioni fraudolente da parte di terzi.
Considerazioni finali
Illustrata la fattispecie, si evince una responsabilità dell’istituto bancario nei casi di “vishing caller id spoofing” per violazione degli obblighi previsti dal Decreto Legislativo 27 gennaio 2010, n. 11, relativamente all’adozione di sistemi di autenticazione cd. forte (strong authentication o autenticazione a più fattori) consistente in un’autenticazione doppia, richiesta al momento di un’operazione di pagamento e che avviene attraverso l’inserimento di due password: una statica, conosciuta dall’utente, ed una dinamica, consistente in un codice usa e getta che può avere la forma di un messaggio sul cellulare oppure può essere generata tramite le cosiddette chiavette o token.
Non essendo stata adottata tale tecnica, l’utente ha diritto al rimborso delle somme oggetto di operazioni non autorizzate.
In ogni caso, per evitare tali truffe e/o raggiri in caso di ricezione di chiamate apparentemente provenienti dalla propria banca, si consiglia di non comunicare mai codici e/o password.