Risarcimento per truffa, vinto il ricorso della Lega Consumatori di Treviso
Con una fondamentale decisione del 15.09.2020 l’Arbitro Bancario e Finanziario ha condannato Postepay, su ricorso proposto dalla Lega Consumatori di Treviso, a risarcire un utente della perdita economica subita a seguito del perpetrarsi di una truffa a suo danno.
La truffa ha avuto origine da un SMS apparentemente proveniente da Postepay con il quale è stato richiesto l’aggiornamento dei dati della propria carta di pagamento al fine di evitare la sospensione del conto; collegandosi ad un sito identico a quello dell’intermediario.
Nell’aggiornare i propri dati il ricorrente ha digitato anche il proprio numero di carta ed il codice CVV avvedendosi subito dopo di un ammanco sul proprio conto di euro 3.100 dovuto ad un pagamento non autorizzato.
Il dettato normativo di cui all’art 10bis del D.Lgs. 11 del 2010 impone che “Conformemente all'articolo 98 della direttiva (UE) 2015/2366 e alle relative normetecniche di regolamentazione adottate dalla Commissione europea, i prestatori di servizi di pagamento applicano l'autenticazione forte del cliente quando l'utente:
- accede al suo conto di pagamento on-line;
- dispone un'operazione di pagamento elettronico;
- effettua qualsiasi azione, tramite un canale a distanza, che puo' comportare un rischio di frode nei pagamenti o altri abusi”.
Per i pagamenti online è necessario pertanto che ogni operazione venga autorizzata mediante l’inserimento di una password dinamica (OTP) per la convalida delle operazioni. Dalla documentazione prodotta dall’intermediario, l’utente, oltre ad aver fornito i propri dati personali ai malfattori, avrebbe anche digitato il codice OTP inviato al proprio dispositivo, autorizzando in tal modo un altro dispositivo ad effettuare operazioni mediante la propria carta.
Conclude tuttavia l’ABF che l’invio di un codice OTP servito solo a configurare l’app PostePay su un dispositivo diverso da quello del ricorrente non basta ad assolvere l’onere probatorio relativo all’utilizzo del doppio fattore di autenticazione che deve essere assolto anche con specifico riferimento all’operazione contestata.
Lega Consumatori Treviso