LA MEDIAZIONE BANCARIA CHE FUNZIONA: UN CASO DI PHISHING!
I numeri ci dicono che la mediazione in materia bancaria non funziona…ma la mediazione non è fatta solo di numeri!
Ogni caso è unico perché le Parti sono uniche, i loro Legali sono unici e il Mediatore è unico.
La mediazione non è la soluzione a tutti i mali della giustizia, ma se può essere la soluzione anche solo per quel caso unico, perché non accoglierla come strumento di giustizia consensuale?
Vi voglio raccontare questa speciale mediazione, che mi ha regalato davvero tante emozioni!
Prendetevi qualche minuto per scoprire che i protagonisti della mediazione bancaria non sono l’anatocismo, i contratti di leasing, le clausole vessatorie…ma sono Luca e Alice che hanno un conto corrente, Maria che lavora allo sportello, i loro avvocati e il mediatore!
COSA E’ SUCCESSO?
Luca e Alice, una giovane coppia, hanno un conto corrente cointestato presso la Banca del Sole acceso nel 2007.
I signori utilizzano il servizio di home banking per consultare il proprio conto corrente ed effettuare disposizioni.
In data 03.11.2019 Luca riceve una e-mail con la quale gli veniva indicato di cliccare su un link al fine di inserire le proprie credenziali ed effettuare delle operazioni per mettere in sicurezza il proprio account bancario.
Luca procede secondo le indicazioni ricevute a mezzo mail.
In data 08.11.2019, in seguito ad alcuni problemi che da quale che giorno riscontrava sul proprio numero di cellulare, Luca si reca presso un centro assistenza clienti del proprio operatore di telefonia, ma la problematica di ricezione dei messaggi e delle telefonate in entrata non viene risolta.
In data 09.11.2019 Luca si collega al servizio di home banking e vede un’operazione in uscita per € 8.990,00 effettuata in data 07.09.2019. Luca non aveva ricevuto alcun allert a mezzo sms di questa operazione e non conosceva la destinataria del bonifico, dunque chiede ad Alice.
Consultatosi con Alice, la coppia si rende conto di essere in presenza di un’operazione fraudolenta e si reca immediatamente presso la filiale ove aveva acceso il conto corrente.
In filiale, vengono accolti da Maria, assistente al credito dei privati, la quale provvede al blocco delle carte di credito e del bancomat e riferisce che essendo l’operazione stata posta in essere alle ore 18.28 del giovedì poteva essere ancora bloccata in quanto addebitata il lunedì successivo.
Maria suggerisce alla coppia di effettuare la denuncia dell’accaduto presso l’Autorità Competente e gli fornisce una copia della “schermata” dell’operazione da cui si evince che in data 07.09.2019 alle ore 18.28 era stata effettuata una disposizione di € 8.990,00.
Luca e Alice, si recano quindi presso i Carabinieri per effettuare la denuncia, per poi tornare in filiale ove Maria comunica che l’operazione si sarebbe completata alle ore 17.18 e, pertanto, che non era possibile più bloccarla.
Luca e Alice si rivolgono a un avvocato il quale invia formale richiesta per ottenere il riaccredito della somma di € 8.990,00.
L’istituto di credito non dava seguito alla richiesta dei signori.
In data 23 giugno 2020 il legale di Luca e Alice depositava domanda di mediazione presso AccademiADR e l’istituto di credito aderiva formalmente in data 15 luglio 2020.
COME E PERCHE’ LA PROCEDURA DI MEDIAZIONE HA AIUTATO LE PARTI A TROVARE UNA SOLUZIONE?
IL MIO PUNTO DI VISTA
Il mio obiettivo principale, come Terzo indipendente – non ho alcun rapporto personale o professionale con le Parti, imparziale – non favorisco una parte a discapito dell’altra- , neutrale – non ho alcun interesse personale circa l’esito di questa controversia- è quello di cercare di portare le Parti a prendere in considerazione ipotesi risolutive diverse dalle rispettive posizioni iniziali, cercando di individuare una soluzione che possa soddisfare i rispettivi bisogni, a prescindere dell’accertamento del torto o della ragione.
Ho rappresentato alle parti che l’accordo di conciliazione non scaturirà da un’ applicazione puntuale delle norme, compito questo che esula dalle prerogative della procedura di mediazione, ma piuttosto sarà conseguenza di valutazioni di opportunità, nonché di reciproca convenienza, che vengono effettuate da un lato considerato che in sede di mediazione debbano prevalere le finalità conciliative e il bilanciamento degli interessi delle parti coinvolte, e dall’altro che la situazione in esame può essere germe di una futura più grave disputa tra le parti che le vedrà contrapposte in un giudizio con aggravio di costi e allungamento dei tempi.
E’ dunque interesse delle Parti, da un lato, valutare i benefici scaturenti da un possibile accordo rispetto alla peggior aspettativa giudiziaria e, dall’altro lato, considerare che un vantaggio economicamente differente rispetto alla propria aspettativa iniziale, allo stato attuale potrebbe essere sicuramente più rassicurante di una vittoria futura ed incerta.
In particolare, ho cercato di aiutare le parti a:
- tenere conto dei tempi dell’eventuale procedimento giudiziario, che potrebbe costituire l’epilogo del mancato raggiungimento di un accordo conciliativo;
- considerare che il contenuto della sentenza emessa all’esito di un eventuale giudizio non è necessariamente prevedibile e potrebbe anche scontentare entrambe le Parti, mentre l’accordo raggiunto in mediazione in quanto titolo esecutivo, costituisce di fatto la “sentenza” che le stesse Parti concordano tra loro;
- tenere in considerazione i costi dell’assistenza legale, che verrebbero ad essere necessariamente contenuti con la risoluzione della controversia ante causam; inoltre, ho richiamato l’attenzione delle Parti sull’oggetto della controversia, che presuppone anche una competenza tecnica adeguata che in un eventuale giudizio avrebbe condotto alla disposizione di una CTU con un inevitabile aggravio di costi per le Parti.
- valutare il carattere pubblico della sentenza, la quale si contrappone con la riservatezza intrinseca del procedimento di mediazione;
Il mio intento dunque, è unicamente quello di cercare di portare le Parti a considerare, individuare e positivamente valutare un’ipotesi risolutiva della controversia che possa incontrare le reciproche aspettative, alla luce di tutte le considerazioni sopra svolte, suggerendo dunque una soluzione fondata essenzialmente su buon senso ed equità, senza che ciò comporti ammissione di responsabilità.
IL PUNTO DI VISTA DELL’ISTITUTO DI CREDITO
Nel corso della sessione separata emerge che dalle valutazioni interne dell’istituto di credito il caso rientrava nella ipotesi di fattispecie c.d. di Phishing.
Che cos’è il phishing?
Il phishing non è altro che un tentativo di frode messo in pratica attraverso Internet che ha come unico scopo quello di carpire informazioni riservate e sensibili quali, ad esempio, username, password, codici di accesso, numeri del conto corrente o dati della carta di credito.
Non a caso phishing deriva dal termine inglese fishing che significa, per l’appunto, pescare.
Per mettere in pratica questo tentativo di frode, i malintenzionati inviano delle normali email, sotto forma di messaggi di spam, con sembianze e caratteristiche molto simili a quelle riscontrabili su siti web autorevoli e particolarmente diffusi come, ad esempio, istituti bancari, istituti postali, e servizi di pagamento online.
Per far sì di essere credibile, il messaggio fraudolento informa l’utente, guarda caso non chiamandolo mai con il proprio nome, simulando delle situazioni che possono in realtà verificarsi per davvero. Ad esempio, un tipico messaggio di phishing potrebbe riguardare:
- la scadenza di una determinata password;
- l’accettazione dei cambiamenti delle condizioni contrattuali;
- il potenziale rinnovo della carta prepagata o della carta di credito, tipo Postepay, CartaSi, Visa o MasterCard;
- dei potenziali problemi inerenti accrediti, addebiti o trasferimenti di denaro su determinati conti online, tipo PayPal, MoneyGram o Western Union;
- la mancata, incompleta o errata presenza di informazioni, che magari riguardano Poste Italiane e/o gli account di Google, Facebook o Twitter;
- la presenza di offerte di lavoro particolarmente allettanti, che magari invitano ad inserire le coordinate bancarie per far sì di esser tra i primi a beneficiarne;
Una volta quindi catturata l’attenzione dell’ignaro utente, il messaggio fraudolento, contenente un apposito allegato o un semplice collegamento ipertestuale, permetterà di effettuare l’accesso al sito Internet in questione, che assomiglierà il più possibile a quello ufficiale, con la speranza che il malcapitato utente inserisca username, password o altre potenziali informazioni che possano rivelarsi utili in qualche modo.
Se a questo punto l’utente di turno “abbocca all’amo”, il phisher, cioè il malintenzionato, potrà disporre come gli pare e piace dei dati in suo possesso, con tutte le spiacevoli conseguenze del caso.
Cosa ha preso in considerazione la banca per formulare una proposta conciliativa?
La prima circostanza valutata è la mancata ricezione della notifica del messaggio.
La responsabilità del fatto che Luca non avesse avuto l’allert a mezzo di sms della disposizione, non era in ogni caso riconducibile alla banca, in quanto la stessa aveva tracciato nei propri sistemi l’invio dell’sms al numero di telefono indicato dal cliente in sede contrattuale.
Il fatto che, proprio in quel periodo il numero avesse dei problemi di ricezione, non dipendeva certo dalla banca, bensì eventualmente dall’operatore telefonico, che eventualmente le parti istanti avrebbero potuto chiamare in causa.
La seconda circostanza presa in considerazione era la maturità digitale di Luca e Alice. I signori abitualmente accedevano e utilizzavano l’home banking, pertanto la disposizione oggetto di contestazione non era inusuale per il loro profilo.
La terza circostanza emersa è che la banca è promotrice di una campagna pubblicitaria massiva di informazioni proprio su questa tipologia di situazioni, presente sul proprio sito internet, ovvero, ogni qualvolta un cliente accede al sito della banca, oltre alla pubblicità dei proprio prodotti vi sono chiare indicazioni di fare attenzione a mail sospette in quanto la banca non invia mail per il cambio di password.
Quando la banca è responsabile?
Sul punto vi sono state diverse pronunce giurisprudenziali che hanno riconosciuto la responsabilità della banca per non aver attivato adeguati sistemi di prevenzione e controllo sui sistemi home banking, con consequenziale diritto per l’utente al risarcimento del danno oltre che, com’è ovvio, al rimborso di quanto sottratto.
Nel caso di erogazione del servizio di home banking, la banca deve garantire uno standard di sicurezza adeguato nell’effettuazione dei pagamenti al fine di precludere l’accesso a soggetti non abilitati al sistema.
La giurisprudenza ritiene che «la sottrazione dei codici del correntista, attraverso tecniche fraudolente, rientra nell’area del rischio di impresa, destinato ad essere fronteggiato attraverso l’adozione di misure che consentano di verificare, prima di dare corso all’operazione, se essa sia effettivamente attribuibile al cliente».
Alla luce di ciò, la responsabilità dell’istituto di credito può essere esclusa solo nel caso in cui quest’ultimo dimostri di aver adottato tutti i meccanismi necessari alla tutela del cliente e di aver messo in atto ogni misura idonea a scongiurare il verificarsi di condotte fraudolente.
Una delle modalità di sicurezza più diffuse nei servizi di home banking consiste nella doppia autenticazione e nella conferma dell’operazione con un pin inviato tramite sms al titolare del conto. A tal proposito si parla di One Time Password (OTP), vale a dire dell’impiego di un codice numerico o alfanumerico, usa e getta, che rende le transazioni molto più sicure dato che è impiegabile una volta soltanto. Infatti, non è sufficiente possedere le credenziali di accesso al conto corrente per effettuare delle transazioni; l’operazione può andare a buon fine solo dopo la digitazione di un’ulteriore password – impiegabile una volta sola – inviata tramite sms sullo smartphone del titolare del conto. Un altro strumento è il token, si tratta di un dispositivo fisico che genera password dinamiche ad intervalli di tempo. Il suo uso dà luogo all’autenticazione a due fattori: da una parte “occorre possedere lo specifico token che, in un dato istante, genera lo stesso numero casuale generato dal server di autenticazione, dall’altro occorre conoscere il PIN con cui il numero va combinato.
IL PUNTO DI VISTA DI LUCA E ALICE
Un mix di emozioni: rabbia, perdita di fiducia, desiderio di ricominciare
Alice è molto arrabbiata con Luca: cosa gli è saltato in mente di cambiare le credenziali di accesso?!? C’è scritto ovunque di fare attenzione e lui con tanta leggerezza ha “abboccato” all’amo!
E poi ha fatto un casino con quel cellulare! Per cambiare operatore e risparmiare pochi centesimi ora si ritrovano con € 8.990,00 in meno sul conto!
Luca è mortificato e si sente responsabile di questa situazione.
Certo non è tutta colpa loro se sono stati truffati! Ma con chi prendersela? Con la banca? Con l’Operatore Telefonico? Con la signora destinataria del bonifico che non hanno mai sentito nominare e che magari è solo una “presta nome”, ignara anche lei di tutto?
La coppia spera che le indagini possano portare a un risultato positivo, ma il fatto di trovare il responsabile non gli garantirà di vedersi riaccreditata la somma di denaro illegalmente sottratta.
Luca e Alice, con l’aiuto del loro avvocato e del mediatore comprendono che un accordo mediato è la strada migliore per raggiungere i loro obiettivi: superare in fretta questo momento che li ha messo fortemente in crisi la fiducia reciproca e riavere i soldi sul conto corrente.
In particolare, Luca e Alice valutano che l’alternativa a loro disposizione ovvero l’instaurare una causa con coinvolgimento della banca e dell’operatore telefonico, non solo non gli garantisce la condanna alla banca a riaccreditare € 8.990,00 ma gli costerebbe ulteriori soldi che in questo momento desiderano utilizzare in altro modo!
Il legale, amica della coppia da sempre, testimone delle loro nozze, è molto in difficoltà nel vedere gli amici in crisi…non tanto economica ( per fortuna!) ma relazionale!
LA CONCLUSIONE POSITIVA DELLA MEDIAZIONE
Abbiamo tenuto 4 incontri online di circa un’ora ciascuno alternando sessioni congiunte e riservate.
Si sono susseguiti momenti di tecnicismi a momenti di grande emotività.
La mediazione si è conclusa con un accordo tra le Parti che ha realmente tenuto conto degli interessi e bisogni che ho cercato di illustrarvi!
Non indico i “numeri” con cui si è conclusa la mediazione proprio perché, come ho detto in apertura e come spero di avervi trasmesso…la mediazione, anzi il successo di una mediazione, non è una percentuale!