Sempre più numerosi gli utenti che utilizzano l’ on banking e sempre più aggressive le truffe on line, operate con email, sms, chiamate, clonazione di sim e dati personali.

I messaggi riproducono perfettamente l’ interfaccia, la grafica, utilizzata per i siti e per l’ on banking dagli istituti di credito, vario il contenuto, ma identica la finalità: impossessarsi dei dati personali, delle credenziali bancarie e dei codici di accesso o autorizzativi, al fine di sottrarre somme di denaro.

Quando viene utilizzata una email si parla di “phishing”, nel caso di sms si parla, invece di ”mishing”, in entrambi i casi l’utente riceve un testo che riproduce i caratteri e la grafica della banca presso cui è correntista e con cui si invita a cliccare sul link posto in calce, adducendo ragioni di sicurezza o ordine tecnico (ad es. necessità di blocco della carta di credito o bancomat per furto di dati, blocco di operazioni sospette, aggiornamento dei dati per ragioni di sicurezza). Una volta collegatosi al link, che pure riproduce l’ interfaccia del sito della banca, il cliente viene invitato, per il buon esito dell’ operazione, ad inserire dati personali e dati bancari(numero di carta, codice di sicurezza, data di scadenza, numero di conto) o viene avvisato che sarà contattato da un operatore per proseguire con l’ operazioni di blocco/aggiornamento, il quale cercherà di impossessarsi delle credenziali bancarie per accedere al conto e sottrarre direttamente denaro oppure chiedere i dati delle carte di credito o bancomat facendosi fornire anche i codici autorizzativi generati dagli appositi apparecchi o inviati via sms per gli acquisti on line.

Ma la vittima di una frode informatica è da considerarsi uno sprovveduto, così semplicisticamente, oppure ci sono strumenti di tutela?

Gli Istituti di credito si sono sempre difesi sostenendo la mancanza di diligenza e la poca accortezza del cliente.

In realtà, la circostanza che la vittima fornisca i dati stampati sulla carta di credito (ivi compreso il codice CCV) o l’ intera One Time Password, non esonera la banca dall’ adottare un sistema di sicurezza adeguato a tutela dei propri clienti, non essendo più sufficiente il solo codice OTP.

In questo senso la decisione dell’ Arbitro Bancario Finanziario, Collegio di Bologna 6551/2021, e dec. n. 6232/2021: “i sistemi di autenticazione, in adeguamento alla recente normativa europea PSD2 entrata in vigore nel 2019, richiedono un livello maggiore di autorizzazione delle operazioni, motivo per cui il solo codice OTP non è più sufficiente. A tale normativa sono chiamati ad adeguarsi tutti gli istituti di credito, tenuti a modificare le modalità di accesso ai servizi online e delle autorizzazioni delle disposizioni”. Nel caso preso in esame dal Collegio, il cliente aveva fornito anche i codici autorizzativi, ma il susseguirsi, a breve distanza di tempo, di più operazioni con carta di pagamento avrebbe dovuto far scattare, nel sistema bancario, una procedura di alert(es tramite tramite sms) adeguata a mettere in guardia il cliente e, per tale ragione,invita la banca alla restituzione di parte degli addebiti.

L’ istituto di credito, in ottemperanza a quanto stabilito dalla direttiva 2015/2366/Ue entrata in vigore il in vigore dal 13/01/2018 ed operativa dal 14/09/2019), deve provare il dolo o la colpa grave dell’ utente e di aver adempiuto all’ obbligo di custodia e tutela delle somme di denaro dei clienti con la diligenza del buon ed accorto banchiere (Cass., sez. I civ., 24/09/2009, n. 20543 ).

In conclusione, i dati vanno conservati accuratamente e non vanno forniti a terzi sedicenti operatori, ma le somme di denaro depositate su un conto corrente vanno sempre adeguatamente tutelate e questo è compito della banca che, eventualmente in concorso con il comportamento negligente dell’ utente, resta comunque responsabile per la mancata adeguatezza dei sistemi di sicurezza.