Questa domenica torniamo a trattare un tema a noi caro, ossia la responsabilità di Poste Italiane per i prelievi fraudolenti avvenuti sul conto dei vari clienti a seguito di una attività di spoofing.
Ricordiamo che Caller ID Spoofing (o solo spoofing) è una particolare tecnica di manipolazione dell'identità telefonica, attraverso la quale sul vostro display appare un numero di telefono di altri, al fine di contattare la vittima designata ed ottenere dati personali.
Il malfattore utilizza questo sistema con il fine di truffare il consumatore, attraverso utenze conosciute dal destinatario della telefonata, in modo tale che questi risponda alla chiamata e così attivando il servizio di sollecitazione telefonica o, ancor peggio, un servizio a pagamento.
E' chiaro che questa tecnica si è sviluppata grazie alle nuove linee di telefonia Voice over IP (VOIP), ossia attraverso il protocollo TCP/IP, evitando le linee telefoniche tradizionali.
Invero, questo fenomeno non è recente, ma si è sviluppato in modo rilevante solo negli ultimi anni, parallelamente alla nascita di nuovi servizi di telefonia mobile.
Nel caso affrontato dall'ABF, un utente aveva rinvenuto, nella pagina dell'operatore, un link che rimandava ad una presunta attivazione di un servizio di Poste Italiane.
In seguito, il consumatore riceveva delle telefonate di una persona che si palesava come consulente di Poste Italiane, il quale invitava il cliente ad installare Team Viewer Quick Support, attraverso il quale i truffatori riuscivano a carpire i dati personali del truffato e sottrargli delle somme di denaro dal conto di Poste.
Il consumatore si rivolgeva all'Arbitro Bancario Finanziario per chiedere il risarcimento del danno, assumendo che Poste Italiane non aveva adottato tutte le misure necessarie per evitare la truffa digitale.
Per la soluzione della controversia, l'arbitro ha richiamato le regole previste in questa materia ed in particolare il d.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell’entrata in vigore (il 13/01/2018) del D.lgs. 15 dicembre 2017, n. 218, di recepimento della direttiva (UE) 2015/2366 (c.d. PSD2) relativa ai servizi di pagamento nel mercato interno.
Le norme di riferimento (artt. 7, 10, 10-bis e 12) disciplinano il servizio di cui trattasi, prevedendo le tutele in favore dell'utente, proteggendolo dal rischio di utilizzo fraudolento degli strumenti di pagamento.
L'art. 10 grava sul prestatore di servizi di pagamento (Poste Italiane nel caso di specie) l’onere di fornire adeguata prova “che l'operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.
Il secondo comma del citato art. 10 dispone che “l'utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dall'utilizzatore medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all'articolo 7”.
Peraltro, all'intermediario viene data la possibilità di fornire adeguata prova volta a dimostrare che la frode sia stata posta in essere, con dolo o della colpa grave, dell'utente.
Giova richiamare, l’art. 12, comma 2-bis, d.lgs. n. 11/2010, norma che addebita il danno derivate dalla frode al prestatore di un servizio di pagamento, laddove quest'ultimo non abbia richiesto l’autenticazione forte “Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un'autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l'autenticazione forte del cliente”.
Le norme previste in materia di sistemi di sicurezza conformemente alle indicazioni della Direttiva Europea Payment Services Directive (PSD2), hanno il fine di contrastare in modo ancora più efficace possibili tentativi di frode, anche se appare chiaro che la tecnologia apporta la migliore tutela possibile per il consumatore, mentre il diritto può solo parzialmente salvaguardare gli interessi del consumatore.
Nel fattispecie oggetto del giudizio dell'ABF, Poste Italiane non ha fornito prova di aver adottato tutte le misure di tutela, violando il citato art. 10.
Qui la decisione dell'ABF.
Spoofing -responsabilità PSP - ABF Torino by Consumatore Informato on Scribd
Nessun commento:
Posta un commento