L’ABF, dopo il ricorso del CTCU, decide a favore del cliente
Willy (nome di fantasia) si era accorto di un’operazione non autorizzata di ben 5.000 euro sulla propria app dell’online-banking; ovviamente non aveva fatto lui l’operazione. Sorpreso, si era subito recato presso la propria filiale, dove però gli veniva comunicato che non era più possibile stornare l’operazione. Willy aveva quindi sporto immediatamente una denuncia-querela contro ignoti presso il più vicino posto di polizia, inviando subito anche un reclamo alla banca. A tale contestazione la banca aveva “risposto picche”. Il consumatore si era quindi rivolto al Centro Tutela Consumatori Utenti per un aiuto.
I consulenti del CTCU avevano quindi esaminato il caso, accertando che l’operazione non riconosciuta riguardava un bonifico effettuato con addebito della carta di debito (bancomat) del cliente; rimaneva tuttavia poco chiaro come e da chi una tale operazione fosse stata disposta. Dopo un tentativo, vano, di assumere altre informazioni presso la banca, i consulenti del CTCU avevano quindi deciso di sottoporre, la questione, tramite ricorso al cd. Arbitro Bancario Finanziario (A.B.F.)
Nel corso del procedimento, si è così potuto appurare che il bonifico era stato per l’appunto disposto attraverso l’uso della carta bancomat, laddove tale funzione di pagamento era stata attivata solo poco prima del momento in cui l’operazione era stata eseguita.
Dopo alcuni mesi, l’Arbitro ha emesso la propria decisione, peraltro favorevole al consumatore. La decisione risulta motivata nel seguente modo: nel caso in cui un’operazione di pagamento, come ad es. un bonifico oppure un pagamento con carta, sia eseguita attraverso un canale da remoto (quindi per telefono, home-banking, app…), la direttiva PSD2 richiede in questi casi una cd. “autenticazione forte”, cioè un’autenticazione a più fattori di colui che dispone il pagamento. Nel caso specifico, solo la procedura offerta dall’intermediario per utilizzare i servizi di pagamento era stata autorizzata con un’autenticazione forte, mentre per l’esecuzione della singola operazione di pagamento di 5.000 euro era stata utilizzata unicamente una password cd. “statica” (cioè uguale per ogni operazione). Siccome però la direttiva PSD2 indica come sempre necessaria, per l’esecuzione di qualsiasi operazione di pagamento, un’identificazione a due fattori, l’ABF ha quindi disposto che l’istituto dovesse restituire al cliente l’intera somma dell’operazione. La banca ha poi anche eseguito quanto deciso dall’Arbitro.
“Il caso dimostra ancora una volta quanto sia importante un controllo regolare, da parte del titolare, delle operazioni bancarie del proprio conto, della propria carta o della propria app” – questo il commento della Direttrice del CTCU, Gunde Bauhofer . “Oltretutto diventa chiaro, come gli organismi di mediazione costituiscano un enorme plusvalore per consumatori e consumatrici; per un caso come quello descritto la via giudiziale non sarebbe stata la via più indicata, sia per quanto riguarda i costi, sia per quanto riguarda la durata”
I sistemi che prevedono l’inserimento di un unico codice statico per autorizzare più pagamenti, senza che si richiedano ulteriori credenziali (password dinamiche) non possono considerarsi pienamente sicuri e sufficientemente protettivi dei dati appartenenti al cliente, come richiesto dalla PSD2.