Gli estremi della carta di credito non costituiscono elemento di autenticazione forte e non sono sufficienti a tutelare il correntista o il titolare di carta di credito dalle ipotesi di truffa come phishing, vishing e smishing. Se l’Istituto non adotta misure più tutelanti per il cliente, per i danni da truffa subiti da quest’ultimo risponderà l’Istituto stesso.
È quanto ha stabilito una recente sentenza dell’ABF, l’Arbitro Bancario Finanziario che rappresenta un sistema di risoluzione alternativa delle controversie (in inglese: ADR, Alternative Dispute Resolution) che possono sorgere tra i clienti e le banche e gli altri intermediari in materia di operazioni e servizi bancari e finanziari.
Indice degli argomenti
Gli elementi di autenticazione “forte”
La direttiva europea 15/2366 (detta PSD2) ha imposto il requisito di autenticazione forte del cliente per ogni operazione di pagamento elettronico.
Più semplicemente, perché si possa procedere con un pagamento o un’operazione bancaria online, sono necessari due o più fattori di autenticazione, variamente selezionati tra informazioni conosciute dal solo interessato, elementi in possesso solo dello stesso o un elemento di inerenza, usualmente biometrico.
I fattori devono essere indipendenti tra loro, di modo che la violazione di una delle “chiavi” non determini automaticamente anche la violazione della seconda e viceversa.
In altre parole, il rischio della truffa all’utente è talmente elevato che la normativa UE impone agli Istituti di dotarsi di strumenti di tutela estremamente sofisticati e quanto più possibile a prova di frode.
Questo anche perché si parte dal presupposto che sia molto facile per chi utilizza metodi di pagamento online aprire un’e-mail truffaldina o consegnare dati in maniera del tutto involontaria a truffatori di vario tipo.
Per queste ragioni, gli Istituti sono tenuti ad una compliance molto stringente per poter essere “liberi” dalla responsabilità per danni determinata dalle truffe perpetrate ai danni dei propri utenti.
La sentenza dell’ABF sui codici della carta di credito
Il phishing effettuato a danno di un utente in assenza di requisiti di autenticazione forte obbliga l’istituto che ha emesso la carta di credito sprovvista di sufficienti strumenti di tutela al risarcimento del danno.
Detto altrimenti, sarebbe troppo semplice per un cyber truffatore recuperare i numeri di una carta di credito e utilizzarli in relazione alle “difese minime” che il quadro normativo vigente impone agli Istituti a tutela dei propri clienti.
Solo l’utilizzo di un sistema di autenticazione forte è compliant con la normativa scaturente dalla direttiva PSD2 e solo la corretta adozione di tutele rientranti tra gli SCA (acronimo di Strong Customer Authentication) esime l’Istituto dalla responsabilità nei confronti del cliente per accesso abusivo da phishing, smishing o vishing.
Conclusioni
La sentenza non ha nulla di particolarmente innovativo, anche se apre un filone di rimborsi diretti a clienti di istituti vittime di truffe online di vario tipo, specie nel periodo della pandemia da Covid-19.
Più in generale, chiunque operi online utilizzando dati propri e non, deve tenere presente l’enorme incidenza degli attacchi cyber e attrezzarsi di conseguenza, anche – o almeno – utilizzando password difficili da cogliere mediante un accesso “semplice” al sistema.
Vale quindi il vecchio adagio per cui vanno evitate date di nascita, anniversari, nomi propri, l’utilizzo della stessa password per più tipi di accesso e vanno invece utilizzati caratteri sia minuscoli che maiuscoli, numeri, caratteri “speciali” e ricordare di avere un numero minimo di caratteri (almeno 8).
In ogni caso, per phishing, smishing e vishing, resta valido un unico criterio di prudenza: non consegnare le chiavi di accesso in caso di e-mail, SMS o chiamate sospette.
