Richiesta di risarcimento danni per pagamenti e-banking avviati da ignoti
Nel corso di diversi giorni, ignoti truffatori hanno effettuato una dozzina di transazioni nel sistema di e-banking, addebitando su due dei conti della cliente un totale di 150’000 franchi. La banca ha trovato queste transazioni insolite e alla fine ha bloccato i conti dopo cinque giorni. Secondo la cliente, il sistema di e-banking della banca aveva lacune di sicurezza e che la banca avrebbe dovuto reperire l’infiltrazione dei truffatori e gli ordini di addebito fraudolenti molto prima.
Nella sua risposta scritta al reclamo della cliente, la banca ha suggerito che il computer usato dalla cliente per le sue transazioni di e-banking, tra le altre cose, era stato infettato da un cavallo di Troia, ovvero un tipo di malware che aveva permesso ad ignoti di effettuare le transazioni dannose. Pur negando ogni responsabilità, la banca si è dichiarata disposta a pagare alla cliente 39’000 franchi a saldo di ogni pretese, a titolo puramente bonale e senza riconoscimento di alcun obbligo legale. Questo importo, che rappresentava circa un quarto del danno, non era sufficiente secondo la cliente.
La questione di quando una banca è responsabile per le transazioni non autorizzate da parte di terzi in una tale situazione è di solito risolta contrattualmente. La maggior parte dei contratti di cui l’Ombudsman è a conoscenza si basano sulla cosiddetta teoria della “sfera di rischio”, secondo la quale ogni parte è in linea di principio responsabile dei danni che rientrano nella propria sfera di controllo e che può influenzare esercitando la dovuta diligenza. Per esempio, una banca è responsabile di assicurare che il suo sistema di e-banking soddisfi gli attuali standard di sicurezza. Tuttavia, la responsabilità della sicurezza dei dispositivi utilizzati da un cliente per accedere all’e-banking incombe generalmente al cliente stesso.
L’Ombudsman ha prima chiesto alla banca di descrivere in dettaglio come era stata avviata ogni transazione e di spiegare il concetto di sicurezza del suo sistema di e-banking. Non era più possibile stabilire cosa fosse successo sui dispositivi della cliente, poiché questi non erano stati esaminati né dalla banca né dall’autorità giudiziaria penale alla quale la cliente aveva presentato una denuncia. Inoltre, non era più possibile determinare gli indirizzi IP con cui la cliente si era collegata al sistema di e-banking prima dell’incidente. La banca utilizza un processo di autenticazione a due fattori con un numero di transazione (mTAN) per accedere al sistema di e-banking, per avviare alcune transazioni (come i pagamenti a nuovi destinatari), e per cambiare i dati di contatto o i numeri di telefono. In altre parole, i clienti devono confermare tali transazioni per mezzo di un codice, che ricevono via SMS su un secondo dispositivo pre-registrato, di solito un telefono cellulare. Nel caso in esame, la banca è stata in grado di provare che la cliente si era collegata all’e-banking inserendo un codice inviato al numero di telefono che aveva registrato. Successivamente, è stato registrato un secondo numero di telefono. Anche questo è avvenuto per mezzo di un codice inviato al primo numero di telefono della cliente, al quale la banca ha inviato poi anche la conferma del cambiamento di numero. Le prime transazioni non autorizzate dalla cliente sono state avviate poco dopo per mezzo del codice che la banca ha inviato al nuovo numero di telefono, che probabilmente apparteneva agli ignoti truffatori. L’indirizzo IP con cui sono stati effettuati gli ordini di addebito è stato registrato dalla banca, sostituendo così gli indirizzi IP precedentemente utilizzati dalla cliente.
Alla luce di quanto sopra, sembrerebbe che la cliente sia stata vittima del cosiddetto “phishing”, la truffa più comune nel campo dell’e-banking. In un tale schema, i truffatori attirano il cliente su un sito web che sembra quello della banca. Se poi il cliente cerca di accedere al sito web inserendo i dati richiesti, i truffatori intercettano i dati e li usano per accedere al conto del cliente sul vero sito web della banca. In altri casi, i truffatori riescono a installare un malware (ad esempio un cosiddetto “cavallo di Troia”) sul dispositivo del cliente e quindi a rubare i dati o prendere il controllo del dispositivo.
Va da sé che la banca non poteva controllare cosa stava succedendo sul dispositivo del cliente o se era stato infettato da un “cavallo di Troia”. Inoltre, era chiaro che la cliente aveva inserito i dati di accesso e il codice SMS che aveva consentito di cambiare il numero di telefono pre-registrato. Secondo l’Ombudsman, un fattore chiave a questo riguardo è stato il fatto che la formulazione del codice ricevuto via SMS per cambiare il numero di telefono registrato presso la banca era chiaramente diversa da quella del codice SMS ricevuto per accedere all’e-banking e che ciò poteva essere riconosciuto facendo uso della necessaria attenzione. L’Ombudsman ha anche riconosciuto che l’uso di un processo di autenticazione con codice autorizza in linea di principio la banca ad eseguire transazioni di e-banking. Tuttavia, l’Ombudsman era del parere che un dispositivo di sicurezza aggiuntivo avrebbe probabilmente permesso di identificare lo schema fraudolento, che è spesso caratterizzato dall’uso di un nuovo indirizzo IP poco dopo un cambiamento del numero di telefono registrato.
La banca ha informato l’Ombudsman di aver nel frattempo adattato il suo sistema di e-banking di conseguenza. Si è anche offerta di fare un gesto più generoso compensando alla cliente il 50% del danno subito. Viste le circostanze generali del caso, l’Ombudsman ha consigliato alla cliente di accettare questa offerta, cosa che alla fine ha fatto.