Vittima di phishing truffata di 12mila euro, Poste Italiane condannata a risarcire

Non è stato dimostrato che siano state adottate adeguate misure di sicurezza, né che ci sia stata una colpa grave nell'utente nella custodia delle proprie credenziali di accesso: per questo motivo Poste Italiane ha restituito l'importo sottratto fraudolentemente a una donna napoletana, che aveva visto sparire 12.400 euro dal proprio conto. La vicenda è stata risolta dal collegio dell'Arbitro Bancario Finanziario, organismo che si occupa della risoluzione stragiudiziale delle controversie tra i clienti e le banche o gli altri intermediari finanziari; la vittima è stata assistita nell'iter da FederConsumatori Campania.

Vittima di phishing truffata di 12mila euro

Nel documento della decisione del Collegio di Napoli viene ricapitolata la storia, che comincia il 23 marzo 2023, quando la donna riceve un sms apparentemente proveniente da Poste Italiane con cui viene avvisata di un accesso anomalo al proprio conto corrente. Si tratta, in realtà, di un attacco spoofing, nel quale viene falsificato il mittente per indurre la vittima, come è avvenuto in questo caso, a cliccare su un link che la porterà su un sito clone per poi recuperare le credenziali che andrà ad inserire.

La donna contatta il servizio clienti e l'operatore le dice di non inserire i dati personali. Poco dopo, però, arriva una telefonata: un sedicente operatore, in realtà un truffatore, le dice di avere ricevuto una segnalazione dal servizio clienti, che dal suo conto corrente è partito un bonifico verso una persona a lei sconosciuta e che è necessario bloccarlo. La donna segue le indicazioni al telefono e, quando successivamente blocca le carte nella propria area personale, si rende conto che 12.400 euro sono scomparsi; in particolare, c'è stata una prima operazione, con cui 9.750 euro sono stati trasferiti dal libretto di risparmio al conto corrente, e la seconda, un bonifico, da lei mai autorizzato, con cui 12.400 euro sono stati inviati ad una persona che non conosce.

Poste Italiane risarcisce vittima di phishing

Di fronte al collegio Poste Italiane ha sostenuto che la controparte ha eseguito personalmente le operazioni dettate dallo sconosciuto, partecipando così alla truffa anche se in modo inconsapevole, e ha specificato che il primo trasferimento di denaro è stato autorizzato prima con codice alfanumerico e poi con la notifica sul dispositivo della correntista.

Prosegue il documento:

(Poste Italiane, ndr) non produce tuttavia evidenza né a sostegno del fatto che l'operazione sia stata eseguita personalmente dalla ricorrente con il proprio consenso, seppur viziato (es. esecuzione dell'operazione dal medesimo IP in uso alla cliente), né che la stessa sia stata eseguita con i predetti fattori di autentificazione.

Il che impone al Collegio di riconoscere che l'intermediario non abbia provato, come richiesto dalle citate disposizioni del d. lgs. 11/2010, di aver adottato adeguate misure di sicurezza e protezione volte a prevenire il rischio, nel caso in esame materializzatosi, dell'utilizzo fraudolento della carta di pagamento della parte istante e tanto meno abbia dimostrato l'esistenza della colpa grave della ricorrente nel custodire le proprie credenziali di accesso. La prova di autentificazione rappresenta infatti, in aderenza al dato nominativo, un prius logico rispetto alla prova della colpa grave dell'utente. Ciò anche nei casi di phishing conclamato.