Nel caso in questione, la cliente è stata vittima di una truffa molto diffusa. Su Google è possibile pagare per far apparire i risultati di ricerca relativi a determinate parole chiave con i relativi link in cima alla lista dei risultati di ricerca. Anche i truffatori ne approfittano. Fanno in modo che i loro siti di phishing, che imitano in modo ingannevole i siti delle banche reali, appaiano in cima alla lista quando i clienti cercano la pagina di accesso all’e-banking della loro banca con un motore di ricerca. Google contrassegna sempre questi risultati di ricerca pagati come «sponsorizzati». Se il cliente clicca sul link del primo risultato della ricerca, può essere indirizzato verso un sito di phishing e indotto a fare il login su un sito falsificato. In sottofondo, i truffatori rubano al cliente i dati di accesso necessari e aprono così il sito di e-banking della banca. La polizia, gli istituti finanziari, le organizzazioni dei consumatori e anche l’Ombudsman mettono regolarmente in guardia i clienti da questo tipo di truffa. È sorprendente che esso continui a funzionare nonostante tutti gli avvertimenti dati a riguardo.

In questo tipo di truffa, i truffatori si collegano all’e-banking del cliente, grazie ai dati ottenuti in modo fraudolento, ed effettuano delle transazioni a carico del suo conto. I sistemi di e-banking spesso prevedono che il cliente debba confermare un beneficiario, a favore del quale non ha ancora effettuato una transazione, mediante un’autenticazione a due fattori, ovvero un’applicazione o un codice SMS inviato sul suo cellulare. Secondo l’esperienza dell’Ombudsman, i clienti spesso non leggono attentamente le relative comunicazioni di sicurezza. In questo modo permettono che venga scavalcata una barriera di sicurezza importante ed efficiente dei sistemi di e-banking in uso.

Nella sua risposta all’Ombudsman, la banca ha spiegato che avvertiva regolarmente i propri clienti, tra l’altro con indicazioni sulla pagina di accesso al suo sistema di e-banking, sui metodi di truffa noti, anche su quello che aveva colpito la cliente. Inoltre, alla banca risultava che la cliente aveva effettivamente confermato il pagamento contestato tramite l’applicazione. Non vi erano indizi che il processo di conferma non avesse funzionato. In considerazione di questi elementi, per la banca non era stato possibile identificare come fraudolenta la transazione contestata. La banca ha pure spiegato, che conformemente alle disposizioni contrattuali relative ai suoi servizi elettronici, spetta al cliente assicurarsi di trovarsi sulla pagina e-banking corretta al momento in cui inserisce i suoi dati di accesso.

La banca ha anche precisato che, con la conferma nell’applicazione, l’ordine di pagamento veniva comunicato in modo irrevocabile e la sua esecuzione non poteva più essere interrotta. Ha rilevato che, in un simile caso, essa offre però al cliente la possibilità di richiedere la restituzione del pagamento eseguito. Secondo le direttive interne della banca, la richiesta di restituzione avrebbe dovuta essere presentata entro un determinato numero di giorni. Il relativo termine andava calcolato in base ai giorni lavorativi bancari. Essendovi un fine settimana tra il giorno in cui la truffa era stata segnalata e la richiesta di ritorno, quest’ultima era stata effettuata in tempo utile, ovvero dopo cinque giorni. In un simile caso, la banca destinataria può procedere con l’operazione di rimborso solo se ha il consenso del titolare del conto beneficiario. Pertanto, non è possibile garantire che una simile richiesta di ritorno abbia esito positivo né assumersi una responsabilità in merito. Nel caso in questione, la banca destinataria era stata informata, un giorno dopo la richiesta di ritorno, anche del contesto fraudolento in cui era avvenuta la transazione contestata. Dopo aver sollecitato a due riprese il beneficiario della transazione, la banca destinataria ha comunicato, circa un mese dopo la richiesta di ritorno, che il suo cliente non aveva dato il proprio consenso all’addebito dell’importo contestato.

Alla luce di questi elementi, la banca della cliente era del parere che quest’ultima fosse l’unica responsabile del danno. Essa considerava che, nel caso in questione, aveva adottato tempestivamente tutte le misure che potevano essere ragionevolmente richieste da parte sua. La banca ha pertanto rifiutato di concedere alla cliente una compensazione.

L’Ombudsman ha spiegato alla cliente che, secondo le disposizioni contrattuali applicabili, la responsabilità per i pagamenti, confermati mediante autenticazione a due fattori tramite un’applicazione, spetta in linea di principio al titolare della relazione d’affari. Sulla base delle spiegazioni fornite dalla banca, documentate con copie dei file di log, l’Ombudsman ha dovuto presumere che l’ordine di pagamento fosse stato effettivamente confermato dalla cliente, tramite l’applicazione prevista a tal scopo. L’esperienza dimostra che i destinatari di trasferimenti ottenuti in modo fraudolento prelevano o trasferiscono di regola il denaro immediatamente dopo che è stato bonificato sul conto presso la banca destinataria. Di conseguenza, le richieste di restituzione, che non vengono presentate immediatamente alla banca destinataria dopo la transazione fraudolenta, spesso si rivelano vane.

Tuttavia, l’Ombudsman ha potuto comprendere la critica della cliente secondo cui la banca aveva presentato con ritardo la richiesta di rimborso. In casi come quelli della cliente, l’Ombudsman ritiene primordiale che la banca destinataria sia informata il più rapidamente possibile del contesto fraudolento del pagamento. Una semplice chiamata di ritorno, come quella normalmente effettuata in caso di versamenti errati dovuti a indicazioni incomplete, non è sufficiente. È infatti poco probabile che i destinatari di un versamento fraudolento accettino che l’importo corrispondente venga addebitato al loro conto. Nel caso in questione, restava tuttavia aperta la questione di sapere se un intervento più rapido da parte della banca avrebbe permesso di bloccare la transazione e consentito che il relativo importo venisse riaccreditato alla cliente. Poiché la banca rifiutava categoricamente qualsiasi gesto a favore della cliente, l’Ombudsman ha dovuto chiudere il caso senza che si giungesse a una soluzione transattiva.