Carte clonate, con i codici Otp le banche ora non rimborsano più i truffati

Immaginate di vedere comparire sul vostro cellulare un sms della vostra banca che vi informa che è stata autorizzata un’operazione di acquisto su internet. Prima ancora di leggere la cifra vi state chiedendo “Cosa ho mai comperato?”. Poi la mazzata, rileggete bene il messaggio e ne capite l’entità: “UniCredit: autorizzata op. Internet 1718,26 EUR”.

È esattamente quanto ha letto un nostro lettore, a fine febbraio. Ovviamente come chiunque altro ha immediatamente seguito tutta la trafila e ha telefonato al numero per bloccare la carta. Ha fatto anche di più, ha contattato Monclick  (il sito che aveva addebitato la somma), scoprendo che “corrispondeva  all’acquisto di un cellulare, effettuato da una persona con cognome presumibilmente rumeno”.

Poi la corsa in Questura, per formalizzare la denuncia e il disconoscimento dell’operazione e poi ancora alla filiale di Unicredit per compilare il Mod. BU1036 (la richiesta di rimborso).

Fin qui quanto accade, purtroppo, a molti. Molto meno scontata, però, la risposta della banca che nega il rimborso perché “l’operazione è stata effettuata attraverso l’utilizzo delle credenziali di commercio elettronico sicuro, con la digitazione del codice generato dallo strumento di Otp in suo possesso”.

Peccato che, come spiega il lettore, “che il mio opt è chiuso in un armadio di sicurezza e nessuno possa usarlo. Inoltre, la Polizia ha aperto una indagine e pare che sia una ‘banda’ di romeni esperta in questi raggiri”

Nulla da fare, Unicredit conclude “in considerazione dei graditi rapporti intrattenuti” con un’offerta del 50% della somma sottratta.

Possibile? E che fine hanno fatto i diritti del risparmiatore che è stato truffato?

“È un caso spinoso – ci spiega Raffaella Grisafi, responsabile nazionale settore Credito di Konsumer Italia – perché sembrerebbe (da quel che scrive Unicredit) che  la transazione sia stata eseguita con ‘sistema dinamico di autenticazione’. In parole povere i truffatori hanno utilizzato anche il codice OTP, funzionante mediante invio con sms della password dinamica sul numero di cellulare che ha validato l’operazione.

Ed è esattamente questo che invoca la banca per sottrarsi alle sue responsabilità. Chiarisce la Grisafi: “L’art. 2, comma 1, lett. q-bis, del D. Lgs. 11/2010 definisce l’autenticazione forte del cliente quale basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione”.

La circostanza che l’operazione si sia conclusa grazie al concorrere di tutti questi doppi elementi di sicurezza, in pratica esclude la responsabilità della banca la quale, provando di aver adottato tutte le misure di sicurezza, si esonera da responsabilità.

“La stessa Authority bancaria finanziaria – prosegue la responsabile nazionale settore Credito di Konsumer Italia – ha precisato che “nei casi di asserita clonazione, in cui il titolare disconosce operazioni (…), il Collegio di coordinamento ha affermato il principio secondo cui, in presenza di carte di pagamento dotate di avanzate caratteristiche di sicurezza e di altre circostanze relative ai tempi e alle modalità di utilizzo delle stesse, sussiste una presunzione juris tantum di colpa a grave a carico del cliente sul quale incombe l’onere di provare la clonazione . L’ipotesi della clonazione viene, poi, esclusa quando l’intermediario dimostri che le operazioni sono state autenticate tramite appositi presidi con la corretta digitazione del PIN e dell’OTP e non emergano circostanze tali da rendere quantomeno plausibile l’ipotesi della clonazione.”.

Dunque nel caso specifico, il nostro lettore e chiunque si trovi nelle sue condizioni dovrebbe ricostruire l’accaduto e capire se effettivamente, come sostiene Unicredit, abbia egli stesso richiesto un codice OTP che possa essere stato intercettato, e ricorrendo all’Autorità bancaria e finanziaria ricostruire i fatti in maniera tale da escludere la colpa grave.

Laconico il commento di Raffaella Grisafi: “Se sistemi evoluti come quelli bancari non riescono a intercettare la truffa come potrebbe un consumatore provvedere a tutelarsi – con i suoi scarsi o inesistenti mezzi tecnologici- e difendersi? In cosa consiste questa sua presunta “colpa grave” se probabilmente attivamente il consumatore non ha fatto nulla?”

E perché accollare sul consumatore il rischio del sistema? Ancora la dirigente di Konsumer Italia: “Perché la norma a monte prevedeva la responsabilità a carico dell’intermediario ora bypassata con questa ricostruzione normativa e giurisprudenziale di ‘aver predisposto sistemi di autenticazione e sicurezza’”.

Dunque il consumatore truffato dovrebbe adire un giudice e dimostrare i profili tecnici ed informatici della vicenda, per sollevarsi di una “colpa” che di fatto non consiste in nulla perché egli non ha fatto nulla, se non possedere la carta clonata.

Insomma oltre al danno la beffa.