Truffe e Addebiti Fraudolenti Su Carte di Credito e Moneta Elettronica: l'orientamento dell'Arbitro Bancario Finanziario

Uno degli argomenti ricorrenti che l'Arbitro Bancario Finanziario si trova a discutere, nelle vertenze tra banche e clienti, riguarda gli addebiti fraudolenti su carta di credito, carte di debito, home banking e via discorrendo.

Si tratta di furti o frodi di moneta elettronica e/o pagamenti digitali; per semplicità useremo di seguito il termine “banche”, ma con queste intendiamo anche gli emittenti di carte di credito e le finanziarie.

Le modalità tecniche di queste truffe sono molto differenti tra loro, e possono variare da modalità tutto sommato elementari a tecnicamente sofisticate. Nel corso di questo ultimo decennio, di pari passo alla crescita dell'utilizzo di moneta elettronica, si è assistito a tecniche di frodi differenti ed in pericolosa evoluzione.

Circa l'Arbitro Bancario Finanziario, un sistema alternativo alla giustizia ordinaria in materia creditizia istituito nel 2009 dalla Banca d'Italia, rinviamo al nostro articolo: L'Arbitro Bancario Finanziario: una valida alternativa alla Giustizia ordinaria per le controversie in materia bancaria.

Le truffe su carte di credito: i casi più frequenti

Qui di seguito riportiamo una una breve esposizione, non esaustiva, delle più comuni truffe aventi ad oggetto la moneta elettonica: carte di credito, di debito, o altri strumenti di pagamento elettronici.

Furto di carta di debito con pin: caso classico ed elementare ove è incautamente custodita dal cliente la tessera bancomat unitamente al PIN segreto e trascritto;

Furto di carta di debito dopo visione pin: in questo caso il truffatore ha carpito visivamente il PIN in sede di digitazione e, solo dopo, ha rubato con destrezza la carta così da poterla utilizzare a piacimento come fosse il titolare;

Furto di carta di credito: in questo caso non serve nemmeno il PIN, la carta dopo il furto viene utilizzata on line, per acquisti o ricariche, o con la classica “strisciata” su punto POS presso qualsiasi esercente commerciale;

Skimmer: è un dispositivo dotato di lettore di banda magnetica applicata ad un punto ATM per prelievi bancomat o carte di credito o di debito, o ad esempio ad un distributore automatico di carburante. Il dispositivo copia i dati della banda magnetica della carta e con una piccola telecamera cattura il PIN;

Card trapping: avviene con un dispositivo mediante il quale la tessera bancomat o carta di credito rimane incastrata nella fessura, il truffatore, che è presente, si offre poi di aiutare la vittima e consiglia di digitare nuovamente il PIN per leggerlo. Quando il possessore della carta si allontana per chiedere un intervento, il truffatore recupera la carta dalla fessura e preleva il contante della vittima;

Cash trapping: in questo caso, con un dispositivo ad hoc, il denaro resta intrappolato nel meccanismo dell'erogatore. Quando la vittima va a chiedere aiuto o spiegazioni o si allontana, il truffatore, una volta smontato il meccanismo, preleva il denaro;

Trashing: i truffatori utilizzano gli scontrini delle carte di credito che talvolta gli utenti gettano via dopo un acquisto in modo poco attento, per carpire tutti i dati possibili e clonare la carta stessa.

Sniffing: i criminali informatici intercettano le coordinate di pagamenti fatti con carte di credito. Sono siti civetta che in realtà non vendono beni ma promettono beni o servizi a prezzi ottimi solo allo scopo di carpire gli estremi delle carte. Utilizzano poi gli stessi estremi per fare nuovi acquisti e/o addebiti fraudolenti;

Phishing: all'indirizzo di posta elettronica di un qualsiasi utente potrebbe arrivare una e-mail che, attraverso qualche stratagemma, ad esempio simulando una comunicazione ufficiale della banca o una finta comunicazione dell'emittente della carta, chiede l'inserimento dei dati per risolvere ad un ipotetico blocco della carta stessa. Spesso viene simulato un logo con il quale la vittima ha effettivamente un rapporto commerciale, ad esempio società che forniscono servizio di posta elettronica certificata che chiedono il rinnovo del canone annuo. La vittima, ignara della truffa, inserisce così i dati personali e quelli relativi alla carta di credito.

Vishing: (è un acronimo di voice e phishing) questo tipo di truffa prevede un finto operatore che chiama al telefono le possibili vittime, clienti della banca. Il truffatore finge di essere un dipendente della banca, e, mediante un sistema vocale automatizzato, di fatto guida la vittima a fornire o dati indispensabili alla frode;

Smishing: (altro acronimo tra sms e phishing): in sostanza ha la stessa dinamica del phishing ma attraverso un messaggio sms;

Trojan banking: diffusione di virus informatici, che carpiscono le credenziali di accesso ai servizi bancari online. Sfruttano carenze del sistema di protezione, si auto installano e si auto riproducono fino a compromettere il corretto funzionamento del sistema;

Attacco “man in the middle” (uomo nel mezzo): Il truffatore si inserisce nello scambio di comunicazioni via email tra due persone che si conoscono, e che devono trasferire denaro dall'una all'altra, sostituendosi a una delle due in modo da intercettare i bonifici. Oppure, il truffatore riproduce numeri ufficiali, o messaggistica sms, della banca, ed avverte la vittima che “qualcuno” sta facendo dei bonifici truffaldini a suo danno. Talvolta la vittima viene invitata a cliccare su di un link fasullo, e/o viene poi contattata telefonicamente (molto spesso usando sempre un numero che la vittima riconosce come numero della banca) per “aiutarla” a bloccare la “fuga di denaro”. La vittima esegue quindi le operazione consigliate e può ricevere un ulteriore link e/o un OTP (una password temporanea) per completare l'operazione “salvataggio” che in realtà è la frode stessa. La maggior parte delle volte il truffatore è al corrente di dati personali della vittima, cosa che ingenera ulteriore affidamento della vittima stessa.

La responsabilità della banca e del cliente

L'Arbitro Bancario Finanziario, invocando la normativa di settore (il Decreto Legislativo n° 11/2010), ha elaborato un criterio giurisprudenziale univoco, e precisamente:

Grava sulla banca l'onere di provare il dolo e/o la “colpa grave” del cliente, sotto forma di negligenza non scusabile, nell'aver consentito e/o agevolato l'addebito fraudolento. Se la banca non fornisce tale prova deve rimborsare al cliente la somma addebitata in maniera fraudolenta.

In un'interessante e cristallina Decisione del Collegio di Coordinamento dell'Arbitro Bancario Finanziario. n°3498/2012 , l'Arbitro precisa che la crescente promozione di utilizzo di sistemi di pagamento digitali, promossa dal Sistema bancario e sostenuta dallo stesso Legislatore, comporta significativi benefici per gli stessi Intermediari finanziari, benefici che debbono andare di pari passo con un'assunzione di responsabilità in caso di frodi, salvo la “colpa grave” del cliente.

In sostanza, la banca non può addossare al cliente il proprio naturale “rischio d'impresa”, o, per meglio dire, il rischio intrinseco che la banca corre nel gestire il denaro altrui.

Inoltre, anche l'articolo 62 del Codice del Consumo, in relazione agli addebiti fraudolenti su carte di moneta elettronica, recita:

“L'istituto di emissione della carta di pagamento riaccredita al consumatore i pagamenti in caso di addebitamento eccedente rispetto al prezzo pattuito ovvero in caso di uso fraudolento della propria carta di pagamento da parte del professionista o di un terzo.”

art 62 Codice del Consumo

Tuttavia, il citato articolo 62 del Codice del Consumo non viene solitamente preso in considerazione dall'Arbitro Bancario Finanziario, che di regola richiama invece il contenuto del citato Decreto Legislativo n° 11/2010, nello specifico articoli 10 e 12.

Purtroppo, in molti casi, le banche presumono automaticamente che le credenziali dello strumento di moneta elettronica, ad esempio carte di credito o di debito, siano pervenute al truffatore per colpa o negligenza del cliente, addossando a questo quello che dovrebbe essere invece il loro “rischio d'impresa”. E di fatto, in sede di semplice reclamo, le banche troppe volte negano il rimborso.

Chi non si da' per vinto però, ricorre all'Arbitro Bancario Finanziario il quale, come sopra esposto, solitamente, se la banca non prova adeguatamente la “colpa grave” del cliente, condanna al rimborso la banca stessa.

Colpa grave del cliente

Ma cosa si intende per “colpa grave” del cliente? Facciamo degli esempi concreti:

  1. il cliente conserva il pin con il bancomat (anche se mascherato da numero telefonico) così al furto del bancomat il criminale agevolmente preleva o addebita;
  2. il cliente risponde a telefonate e/o a messaggi di sconosciuti che dicono essere operatore sicurezza della banca e fornisce i dati che il criminale chiede (in questo caso tuttavia se la telefonata parte da un numero identificabile con la banca o con messaggistica della banca non si può parlare di colpa grave del cliente);
  3. il cliente lascia incustoditi gli strumenti di pagamento o ne cede il possesso a terzi;
  4. il cliente risponde ad una finta e-mail indicando le sue credenziali di sicurezza.

Tuttavia, in molti altri casi i truffatori prendono contatto con la vittima da finti canali ufficiali della banca affinchè la vittima non dubiti sulla “genuinità” del contatto.

In tali casi, non è possibile imputare una “colpa grave” al cliente che si fida di canali che conosce come riconducibili alla propria banca. Dovrebbe quindi essere la banca a farsi carico, subito, del rimborso, non costringendo il cliente ad un ricorso presso l'Arbitro Bancario Finanziario.

In casi simili, è molto chiara la posizione dell'Arbitro Bancario Finanziario, Collegio di Milano, Decisione n°11371/2020:

“il Collegio ritiene che la domanda della parte ricorrente debba trovare parziale accoglimento, ritenendo che la condotta dell’utilizzatore dello strumento di pagamento non possa ritenersi nel caso di specie caratterizzata da colpa grave. Al riguardo, le concrete modalità con cui è stata effettuata l’operazione di pagamento disconosciuta, in particolare per quanto riguarda la circostanza che la cliente riceveva la telefonata e l’SMS come apparentemente proveniente dai canali ufficiali utilizzati dall’intermediario resistente, come comprova il fatto che l’SMS di truffa compariva insieme ai messaggi in precedenza ricevuti dall’intermediario con cui gli venivano comunicati i codici di sicurezza necessari ad effettuare le operazioni, induce a ritenere che la parte ricorrente non possa ritenersi responsabile delle operazioni disconosciute di cui chiede in questa sede il rimborso.”

Decisione n°11371/2020 del Collegio di Milano dell'Arbitro Bancario Finanziario

La responsabilità della banca

Infine, si consideri i casi in cui la negligenza nella gestione dei presidi di sicurezza sia imputabile direttamente alla banca, ad esempio:

  1. casi in cui l'iter operativo per il pagamento elettronico è gravemente insicuro;
  2. casi in cui il criminale, riesca a “craccare” i limiti di pagamento giornaliero, settimanale, mensile del Cliente. In questi casi il truffatore preleva o utilizza una quantità di denaro che il cliente stesso non potrebbe prelevare.


Auspici di riforma

Sarebbe opportuno un intervento delle Autorità, che hanno potere normativo-regolamentare, tale da modificare la procedura in maniera da prevedere che, ove la banca neghi il rimborso senza palesi giustificazioni giuridiche ma solo per scopi dilatori e confidando che la vittima “lasci perdere”, la banca venga sanzionata con spese ulteriori punitive in caso di condanna.

Il sistema giuridico richiede alla banca una diligenza superiore, esattamente la diligenza che ci si aspetta da un operatore qualificato ed autorizzato a svolgere dalla Banca D'Italia tale delicata funzione.

I pagamenti con moneta elettronica sono un fenomeno economico destinato a crescere e, di conseguenza, oltre all'incremento della sicurezza, si auspica un incremento della responsabilità degli Intermediari Finanziari per consentire a tutti gli Utenti del credito di utilizzare questi strumenti confidando in una “rete di protezione” qualora fossero incolpevoli vittime di frodi.


Avvocato Fabrizio Tajè Diritto Bancario a Milano

Fabrizio Tajè

Avvocato civilista a Milano con esperienza ventennale in Diritto Bancario. Mi occupo anche di tutela del consumatore e di ricorsi all'Arbitro Bancario Finanziario.

Linkedin


Creative Commons License