Le società emittenti delle carte di credito devono risarcire i clienti truffati se gli standard di sicurezza non vengono rispettati
Negli ultimi anni, numerosi consumatori si sono rivolti al CTCU, dopo essere stati vittime di truffe informatiche riguardanti pagamenti online.
La truffa inizia, di solito, con un sms: un operatore dell’intermediario (almeno così pare) avverte la vittima che è stata riscontrata una transazione sospetta sulla sua carta di credito. La vittima viene quindi contattata per telefono e le viene chiesto il codice (one time password - OTP) che le è appena stato inviato via SMS per bloccare la carta o la transazione sospetta. In molti casi, questa OTP viene comunicata al presunto impiegato della società emittente la carta di credito – che è in realtà il truffatore - e così l'addebito viene autorizzato.
Il CTCU ha seguito molti di questi casi; se il reclamo viene respinto dal prestatore di servizi finanziari, viene di norma presentato un ricorso all'ABF (Arbitro Bancario Finanziario, organismo arbitrale indipendente e imparziale della Banca d'Italia). Nei ricorsi presentati all’Arbitro, i consulenti del CTCU sostengono, tra le altre cose, che l'autenticazione dell’operazione truffaldina tramite indicazione di un OTP non soddisfa gli standard di sicurezza imposti dalla cd. direttiva PSD2 (Payment Services Directive 2007/64/CE).
Le norme UE prevedono infatti la cd. autenticazione a due fattori del cliente per l’online banking e i pagamenti a distanza. I fattori di autenticazione possono riguardare due dei seguenti tre elementi:
a) qualcosa che l'utente conosce, come ad esempio una password o un numero PIN;
b) qualcosa che l'utente possiede, come ad esempio un dispositivo mobile;
c) qualcosa che l'utente è, come ad esempio un'impronta digitale oppure caratteristiche visive oppure la voce.
La maggior parte delle società emittenti carte di credito, per l’autenticazione di un pagamento, richiede invece solo il numero della carta di credito, la data di scadenza della stessa, il cd. codice CVV e l'OTP. In seguito al parere rilasciato dall’Autorità bancaria europea (EBA), secondo il quale questi dati non sono "elementi di autenticazione" ai sensi della direttiva, anche l'ABF ha confermato tale interpretazione. Pertanto, l'autenticazione del pagamento con carta di credito per mezzo di questi dati e l'OTP non è conforme alla direttiva PSD2, e i clienti hanno diritto al rimborso delle somme che sono state loro sottratte.
"Accogliamo con favore la decisione dell’Arbitro Bancario Finanziario", commenta la direttrice del CTCU, Gunde Bauhofer. "Visti i molti, troppi casi di frode registrati, riteniamo sia giunto il momento che le società emittenti le carte di credito adattino i loro sistemi di autenticazione a quanto previsto dalla normativa e li rendano più sicuri. Ciononostante bisogna prestare la massima attenzione quando si effettuano pagamenti online. I dati d'accesso, i codici numerici della carta o le OTP non devono essere trasmessi per nessun motivo a terzi, perché questo rende molto più difficile ottenere il rimborso degli importi rubati".
