Transazioni fraudolente con un’applicazione di pagamento collegata a un nuovo numero di telefono

Il cliente si è rivolto all’Ombudsman in seguito a quattro transazioni fraudolente per un importo totale di CHF 200, effettuate tramite un’applicazione di pagamento. Tali pagamenti erano stati effettuati dopo che l’accesso all’applicazione di pagamento era stato collegato a un nuovo numero telefonico. La banca aveva rifiutato qualsiasi rimborso, ritenendo che tale collegamento richiedesse l’utilizzo di dati confidenziali che rientravano esclusivamente nella sfera di responsabilità del cliente. Quest’ultimo ha contestato tale posizione, invocando l’assenza di notifiche e di misure di sicurezza rafforzate al momento dell’aggiunta del nuovo numero. L’Ombudsman ha esaminato se il livello di sicurezza applicato dalla banca fosse adeguato e proporzionato, e ha invitato l’istituto a precisare la sua pratica nonché a considerare una soluzione bonale che tenesse conto delle carenze di sicurezza lamentate. La banca ha accettato di risarcire il cliente per un importo di CHF 100. Si è inoltre impegnata a rivedere la sua prassi in materia di funzionalità di pagamento.

Il cliente utilizzava, da diversi anni, i servizi di e-banking della banca e l’applicazione di pagamento collegata al suo conto. In seguito all’esecuzione di diverse transazioni, da lui non autorizzate, aveva constatato che tale funzionalità di pagamento era stata associata a un nuovo numero di telefono. Gli importi addebitati, per un totale di CHF 200, riguardavano acquisti effettuati presso un commerciante online.

Il cliente aveva contestato la posizione della banca, chiedendo il rimborso integrale dei CHF 200. Egli affermava di non aver mai condiviso né divulgato i propri dati di identificazione dell’e-banking. Supponeva che il suo identificativo (User ID) e la sua password fossero stati sottratti, a sua insaputa, probabilmente durante una connessione a una rete Wi-Fi pubblica. Il cliente rimproverava alla banca principalmente due lacune di sicurezza. In primo luogo, non aveva ricevuto alcuna notifica via e-mail, SMS o chiamata che lo informasse dell’aggiunta di una seconda funzionalità di pagamento dello stesso tipo al suo profilo bancario. In secondo luogo, e soprattutto, non era stata richiesta alcuna autenticazione a due fattori per mettere in sicurezza tale operazione sensibile. Il cliente sosteneva che una semplice conferma, tramite l’applicazione di pagamento, già installata sul suo telefono sarebbe stata sufficiente a impedire la frode. Menzionava, inoltre, che un collaboratore della banca gli aveva confermato, durante una visita allo sportello, che sarebbero stati apportati miglioramenti al sistema di sicurezza per evitare il ripetersi di simili frodi.

La banca aveva respinto la richiesta di rimborso. Aveva spiegato che il collegamento dell’applicazione di pagamento a un nuovo numero di telefono presupponeva l’inserimento corretto dell’identificativo e-banking e della relativa password. Secondo l’istituto, tali elementi rientravano esclusivamente nella sfera di controllo del cliente, pertanto le conseguenze finanziarie del loro uso abusivo non potevano esserle imputate. La banca ha così negato qualsiasi falla nel proprio sistema di sicurezza.

Investito della controversia, l’Ombudsman ha esaminato gli argomenti di entrambe le parti. Ha chiesto alla banca ulteriori chiarimenti, in particolare sul livello di sicurezza applicato durante l’associazione di un nuovo numero di telefono alla funzionalità di pagamento esistente. Nei suoi contatti con la banca, l’Ombudsman ha rilevato come apparisse sorprendente che un’autenticazione a più fattori fosse richiesta per l’attivazione iniziale dell’applicazione, mentre un’autenticazione semplice fosse sufficiente per modificare il numero di telefono associato. La banca ha spiegato che, per rendere la funzionalità di pagamento rapidamente fruibile, questa era immediatamente disponibile fino a un massimo di CHF 200, sin dall’inserimento dell’identificativo e della password del cliente. Un livello di sicurezza supplementare era richiesto solo nel caso in cui l’utilizzo dell’applicazione superasse i CHF 200. Secondo la banca, la frode di cui il cliente era rimasto vittima derivava dal fatto che elementi di identificazione in suo possesso erano stati divulgati a terzi. Ha sottolineato, inoltre, che le misure di sicurezza implementate avevano comunque permesso di limitare il danno a CHF 200.

Dopo diversi scambi, sia scritti che telefonici, la banca ha accettato di compiere un gesto commerciale di CHF 100, rimborsando al cliente la metà dell’importo richiesto. Il cliente ha accettato tale proposta di risoluzione bonale.

L’Ombudsman ha raccomandato alla banca di introdurre sistematicamente l’autenticazione a due fattori per ogni modifica del numero di telefono collegato alla funzionalità di pagamento, al fine di prevenire il ripetersi di situazioni analoghe.