Phishing e prelievo di somme dal conto corrente: l’argomento non smette di essere attuale. Stavolta è il turno dell’Arbitro Bancario Finanziario, organo deputato alla risoluzione delle controversie tra istituti di credito e clienti. La decisione (datata 28 aprile 2022), ancora una volta, traccia una linea di demarcazione tra la buona fede del correntista (o, secondo qualcuno, la sua ingenuità) e gli obblighi a cui è tenuta la banca.

Come funziona il phishing

Il caso è presto spiegato. Una persona riceve una telefonata da quello che si presenta come un operatore della sua banca, il quale lo invita a cambiare password di accesso al servizio home banking, seguendo le istruzioni che gli saranno comunicate. Pochi istanti dopo, arriva un SMS che contiene le indicazioni per il cambio password. Il malcapitato le segue scrupolosamente, convinto che arrivino realmente dalla sua banca. Immediatamente, dal suo conto parte un bonifico, destinato a chissà quali lidi.

Intuibili i punti di vista delle parti: il cliente, da un lato, dice di aver seguito, in buona fede, quelle che a tutti gli effetti sembravano indicazioni rivolte dall’istituto. La banca, dall’altro lato, l’intermediario ritiene che l’operazione di prelievo sia stata assolutamente regolare.

Ebbene, l’ABF ha ritenuto insufficienti le prove fornite dalla banca. Quest’ultima, in particolare, avrebbe dovuto documentare puntualmente l’impiego dei fattori di autenticazione necessari per autorizzare l’operazione. Nello specifico, occorre la prova di aver impiegato correttamente almeno due fattori di autenticazione forte. Il log fornito dalla banca si è rivelato inidoneo a fare chiarezza in merito e, di conseguenza, l’istituto dovrà restituire i soldi al correntista.