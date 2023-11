E' bastato cliccare su un link, quello che apparentemente avrebbe dovuto salvarla da una truffa, per essere... truffata: in un attimo e in un solo colpo una donna di 39 anni, il 25 novembre del 2021, aveva perso così tutti i suoi risparmi, 15 mila euro. E per riavere la somma ha dovuto fare ricorso all'Arbitro bancario finanziario, visto che Poste si rifiutava di restituirle la somma sottratta dal suo conto con un bonifico abusivo eseguito dopo che - con una classica operazione di phishing - le erano stati rubati i suoi dati e le sue credenziali.

L'organismo, che serve a risolvere in via stragiudiziale controversie tra istituti di credito e clienti, ha accolto il ricorso della donna, difesa dall'avvocato Emilio Scrudato, ritenendo che - come chiaramente sancito dalle norme italiane ed europee - toccava a Poste dimostrare di aver utilizzato tutti i sistemi di protezione, alert ed autenticazione per evitare l'operazione fraudolenta. Cosa che invece non è avvenuta e per questo l'azienda, oltre a ridare i 15 mila euro alla cliente, dovrà anche versarle 20 euro per le spese sostenute per avviare la procedura e pagare 200 euro alla Banca d'Italia.

La donna, titolare di una Postepay e di un conto corrente delle Poste, la sera del 25 novembre di due anni fa aveva ricevuto un sms da "Posteinfo" che la avvisava di un accesso fraudolento al suo conto. Aveva cliccato il link allegato, indicato come necessario per procedere al blocco della carta e inserito i dati richiesti in una schermata identica a quella di Poste. Immediatamente era stata chiamata da un sedicente dipendente di Poste, che l'aveva avvertita di un accesso fraudolento avvenuto in Belgio, chiedendole un altro numero di telefono per poter bloccare il conto, dato che la donna aveva fornito.

Su questa seconda utenza era arrivata un'altra chiamata e, seguendo le indicazioni dell'operatore, la donna riteneva di aver bloccato il conto. Aveva poi, come indicato dall'operatore, riavviato il suo cellulare, ricevendo a quel punto la segnalazione di un probabile hackeraggio del suo telefonino, con un invito ad andare al più presto in un ufficio postale per procedere effettivamente al blocco della carta. La cliente aveva seguito le indicazioni, era andata alla posta e da un estratto conto aveva però scoperto che era stato effettuato un bonifico da 15 mila euro mai autorizzato, tanto che aveva sporto anche denuncia ai carabinieri.

Da qui prima un reclamo a Poste e poi, in assenza di riscontro, il ricorso all'Arbitro bancario finanziario, davanti al quale l'azienda ha però negato ogni responsabilità sostenendo che la procedura fosse corretta in quanto era stata utilizzata un'autenticazione "forte": quella operazione avrebbe potuto essere eseguita solo dalla titolare della carta, in possesso del dispositivo sul quale era stata inviata la notifica app per l'inserimento del codice di sicurezza, oppure sarebbero stati forniti a terzi, anche inconsapevolmente, codice di sicurezza e password, consentendo la violazione del sistema di autenticazione ritenuto più sicuro e affidabile (a due fattori), violando quindi gli obblighi di custodia in capo al titolare previsti dal contratto e dalla legge.

L'Arbitro ha però dato ragione alla signora perché, secondo tutte le norme vigenti, "la responsabilità di un prestatore di servizi di pagamento (in questo caso Poste, ndr) è esclusa (solo) quando, avendo esso dato prova di utilizzare meccanismi di 'autenticazione forte' dell'utente, sia emersa una condotta dolosa o gravemente colposa dell'utente" e "quando l'utente di servizi di pagamento neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi" previsti dalla legge.

E nella decisione si rimarca: "Piuttosto sarà onere del prestatore di servizi di pagamento fornire la prova della frode, del dolo o della colpa grave dell'utente: in mancanza di ciò, egli sarà ritenuto responsabile dei pregiudizi subiti dall'utente, in ragione del rischio d'impresa sopportato". Inoltre, l'intermediario ha l'obbligo di "predisporre un servizio di sms alert (o assimilabili) con cui l'utente sia messo in grado di qualificare il pagamento registrato come non autorizzato e l'intermediario può essere esonerato solo dimostrando l'esplicito rifiuto dell'utente ad avvalersene, mentre gli effetti della mancata adozione del servizio di alert dovranno essere valutati alla stregua delle circostanze di fatto del caso concreto".

Il collegio, presieduto da Maria Rosaria Maugeri, ha quindi rilevato che Poste "non ha fornito puntuale tracciatura relativa all'invio degli sms di configurazione al cellulare della ricorrente" e "con specifico riguardo all'operazione fraudolenta in contestazione, l'intermediario non ha prodotto alcuna schermata, limitandosi ad asserire che l'operazione è stata autorizzata mediante inserimento del codice di sicurezza in app, a seguito della notifica push sul dispositivo" e questo "impedisce di ritenere raggiunta la necessaria prova dell'effettiva utilizzazione di un sistema di autenticazione 'forte' dell'utente, che l'intermediario si è limitato a predicare, senza aver fornito le indispensabili idonee evidenze". Da qui l'accoglimento del ricorso e la restituzione dei 15 mila euro alla donna.