Di pishing, vishing e più in generale della gestione dei reclami e dei ricorsi ABF in materia di frodi informatiche bancarie e pagamenti non autorizzati parleremo al webinar del 27 maggio.
Il Collegio ABF di Bologna si è espresso in merito ai requisiti di autenticazione forte del cliente (SCA) in caso di truffa perpetrata mediante utilizzo fraudolento di carta di credito.
La truffa in oggetto è stata sviluppata con l’invio al cliente di un sms proveniente da un numero telefonico corrispondente alla banca, che invitava a cliccare sul link ivi contenuto.
A seguito dell’inserimento delle proprie credenziali il cliente ha ricevuto una telefonata da parte di un sedicente operatore della banca (vishing – phishing tramite chiamata vocale) che lo informava di un possibile utilizzo indebito della sua carta di credito chiedendo di confermare le proprie generalità, i dati della carta e i codici OTP ricevuti.
L’operazione fraudolenta è avvenuta tramite l’inserimento dei numeri della carta di credito, compreso il codice CVV (cioè dei dati statici).
Alla luce dei fatti riportati, l’ABF rileva come i dettagli stampati sulla carta di pagamento non costituiscano un elemento di possesso e nemmeno un elemento di conoscenza ai fini della SCA. Quindi ha ritenuto che, sebbene la modalità di autenticazione applicata nella fattispecie sia stata, in passato, ritenuta dai Collegi ABF conforme alle prescrizioni normative in materia di SCA, oggi l’autenticazione avvenuta sui dati statici della carta, pure incautamente forniti dall’utilizzatore al truffatore, non possa essere più essere considerata una procedura sicura di autorizzazione dell’operazione, in mancanza di ulteriori elementi di carattere dinamico.