Pagamento fraudolento via e-banking con autorizzazione a due fattori contestata

Il cliente si è rivolto all’Ombudsman delle banche a seguito di un caso di frode in cui, tramite il suo e-banking, era stata trasferita una somma di quasi CHF 22’000 a un nuovo beneficiario. Egli sosteneva che la banca aveva violato i propri obblighi di diligenza, poiché non aveva dovuto confermare il pagamento al nuovo beneficiario su un dispositivo separato, deducendone l’esistenza di una falla di sicurezza nel sistema di e-banking. La banca aveva ribattuto che il cliente, durante un attacco di phishing, aveva comunicato ai truffatori le proprie credenziali di accesso all’e-banking. Questi ultimi avrebbero poi installato un nuovo dispositivo per la ricezione di notifiche rilevanti ai fini della sicurezza, operazione che il cliente aveva dovuto confermare sul vecchio dispositivo registrato. In questo modo, i truffatori avevano avuto la possibilità di inserire il pagamento e di confermarlo sul nuovo dispositivo senza che il cliente se ne accorgesse. L’Ombudsman ha esaminato le argomentazioni di entrambe le parti e ha richiesto una presa di posizione dettagliata alla banca sulla dinamica degli eventi. Sulla base della spiegazione dei processi tecnici, è giunto alla conclusione che la causa del danno fosse da attribuire alla sfera di influenza e di rischio del cliente e che il danno dovesse quindi essere sostenuto da quest’ultimo in base alla regolamentazione contrattuale sulla responsabilità. Ulteriori sforzi di mediazione apparivano privi di prospettive e la procedura è stata conclusa con un parere esplicativo.

Il cliente intratteneva da tempo una relazione d’affari con la banca e utilizzava il suo sistema di e-banking per le operazioni di pagamento. Il punto di partenza del caso è stato un episodio di phishing in cui il cliente aveva risposto a un’e-mail apparentemente autentica che lo invitava a registrare nuovamente il proprio e-banking. Ritenendo che si trattasse di una comunicazione legittima della banca, aveva inserito i propri dati di accesso su un sito internet contraffatto.

In seguito, il cliente non era più riuscito ad accedere all’e-banking. Poco dopo, dal suo conto era stata addebitata la somma di CHF 21’800 con la causale relativa all’acquisto di un veicolo. Il cliente riteneva che un tale pagamento a un nuovo beneficiario non avrebbe dovuto essere eseguito senza la sua espressa conferma, fornita sul dispositivo a tal fine registrato, e ravvisava in ciò una falla di sicurezza nel sistema. Aveva, pertanto, richiesto alla banca il risarcimento del danno.

La banca aveva respinto la sua richiesta. Essa aveva spiegato che il cliente, attraverso la divulgazione delle proprie credenziali e la conferma della registrazione del dispositivo, aveva fornito ai truffatori la necessaria libertà d’azione per inserire e confermare il pagamento. Secondo i dati di log, l’operazione si era svolta correttamente dal punto di vista tecnico.

L’Ombudsman ha approfondito la questione e ha richiesto alla banca una presa di posizione precisa sull’accaduto, poiché la sequenza tecnica non era inizialmente descritta in modo univoco. La banca ha spiegato che gli ignoti truffatori, dopo aver ottenuto con l’inganno i dati di accesso durante il phishing descritto dal cliente, avevano stabilito in sottofondo l’accesso all’e-banking dello stesso. Successivamente, avevano registrato un nuovo dispositivo per la ricezione di comunicazioni di sicurezza, come i messaggi per l’autorizzazione a due fattori delle transazioni. L’attivazione del nuovo dispositivo aveva richiesto una conferma da parte del cliente sul suo dispositivo originariamente registrato. Il cliente aveva fornito tale conferma, probabilmente sotto le false pretese prospettate dai truffatori.

Una volta attivato il primo nuovo dispositivo, i truffatori ne avevano attivato autonomamente un secondo. La conferma necessaria a tal fine aveva potuto essere fornita sul primo dispositivo appena registrato, senza il coinvolgimento del cliente. L’autorizzazione a due fattori prevista per i nuovi beneficiari era stata data dai truffatori sul secondo nuovo dispositivo, ancora una volta senza che il cliente se ne accorgesse.

Pertanto, secondo la banca, non sussisteva alcun comportamento scorretto o violazione degli obblighi contrattuali da parte sua.

La responsabilità per i danni derivanti da tali eventi è regolata contrattualmente. I relativi contratti si basano solitamente sulla teoria delle sfere di rischio. Secondo questa teoria, ogni parte si assume in linea di principio i rischi che può influenzare direttamente. La divulgazione delle credenziali di accesso all’e-banking e la successiva conferma della registrazione di un nuovo dispositivo per la ricezione di comunicazioni di sicurezza sono attribuibili alla sfera di influenza del cliente e sono qualificate contrattualmente come una violazione dell’obbligo di diligenza, il che esclude la responsabilità della banca.

Dal punto di vista dell’Ombudsman, è stato decisivo il fatto che i truffatori avevano potuto controllare il prosieguo del pagamento solo perché il cliente, in una prima fase, aveva permesso l’attivazione di un dispositivo terzo tramite la propria conferma. Anche se il pagamento vero e proprio non era stato poi autorizzato sul proprio dispositivo, era questo primo passo ad aver reso possibile il danno. La registrazione del nuovo dispositivo richiedeva l’autorizzazione a due fattori sul dispositivo originale del cliente. Essa è stata possibile solo perché il cliente – seppur inconsciamente e sotto false pretese – ha superato questa barriera di sicurezza a favore dei malviventi. Poiché la banca ha gestito i propri sistemi in conformità al contratto e ha eseguito l’ordine di pagamento utilizzando i mezzi di legittimazione concordati e la conferma prevista, l’Ombudsman non ha ravvisato alcuna base valida per una responsabilità della banca ai sensi delle disposizioni contrattuali applicabili.

Vista la posizione netta della banca e la regolamentazione contrattuale, l’Ombudsman ha ritenuto privi di prospettive ulteriori sforzi di mediazione e ha chiuso l’incarto. Pur deplorando il danno subito dal cliente, ha fatto presente che, in casi di questo genere, i responsabili del reato non possono per natura essere chiamati a rispondere del danno, poiché spesso risultano irreperibili. Il danno deve quindi essere attribuito o al cliente o alla banca presso cui è tenuto il conto. Di conseguenza, tali casi non possono quasi mai essere risolti con la soddisfazione di tutte le parti coinvolte.