Vi segnaliamo una interessante pronuncia dell’Arbitro Bancario e Finanziario di Bari il quale, con la decisione n. 753 del 2022, ha accolto il ricorso proposto dal cliente di una banca, obbligando quest’ultima a rimborsare il proprio correntista per il danno subito.
Nel caso di specie, a seguito di una truffa informatica avvenuta tramite SMS il ricorrente si è visto sottrarre dalla propria carta ricaricabile la somma pari ad euro 500,00; la truffa si è perfezionata perché l’ignaro utente ha ricevuto un sms apparentemente proveniente dalla propria banca, contenente delle indicazioni che – in verità – hanno condotto il povero malcapitato a subire una truffa, avendo ceduto ceduto le credenziali per l’accesso al proprio conto corrente.
Il ricorrente, nel proprio atto, ha argomentato che nel caso di disconoscimento delle operazioni non autorizzate è onere del prestatore dei servizi di pagamento (PSP) dimostrare che le stesse siano state correttamente autenticate, in quanto soltanto la c.d. procedura di autenticazione “strong” è in grado di poter garantire il più elevato livello di sicurezza delle transazioni effettuate; per tale ragione, il ricorrente ha richiesto la restituzione dell’importo a lui sottratto, pari ad euro 500,00, quale somma effettiva contenuta nella carta di credito prima della truffa subita.
Ebbene, l’Arbitro Bancario e Finanziario di Bari ha dato ragione al ricorrente, evidenziando che “il sistema di sicurezza predisposto dall’Istituto Bancario non richiede una autenticazione forte, prevedendo, accanto all’inserimento dell’OTP (codice che permette di autenticare un utente dopo la verifica da parte del sistema), quello dei dati statici della carta. Mentre l’OTP ricevuto tramite sms ovvero prodotta da token. Integra un elemento di possesso, i dati identificativi della carta e il codice di sicurezza stampati sulla stessa non costituiscono un elemento affidabile di cui l’utilizzatore ha il possesso o la conoscenza, non assicurando pertanto il loro utilizzo l’autenticazione forte prevista dal D. Lgs. n° 11 del 2010“.
Ciò posto, l’istituto bancario non ha fornito alcuna prova in merito alla corretta implementazione di una procedura “forte” per l’autenticazione, da parte dei propri clienti; da ciò è conseguita una chiara responsabilità a carico della Banca.
In questo senso infatti, la prova di autenticazione – che deve essere fornita dall’istituto di credito – viene considerata quale elemento imprescindibile ai fini della corretta imputazione della responsabilità in simili fattispecie; se non viene adeguatamente fornita in sede giudiziale, la Banca verrà condannata al ristoro in favore del proprio cliente.
