Addebito non autorizzato tramite Google Pay - Avvocato per il Rimborso

Prima di attivare il servizio Google Pay collegato alla propria carta (Visa, Mastercard, Nexi, N26 etc) occorre attentamente sapere come tutelarsi da addebiti non autorizzati (tramite strumenti di pagamento telematici).

In generale, il dubbio frode arriva subito dopo il prelievo non autorizzato (di mille, 5mila, anche 30 mila euro), ma districarsi nella materia delle operazioni non autorizzate è abbastanza difficile se non supportati da un Avvocato competente.

In questi casi consigliamo di contattarci (gratuitamente e senza impegno) prima di proporre denuncia querela, nell'interesse della buona riuscita del recupero crediti.

Pagare con Google Pay è più comodo, ma la sicurezza di rimborso in seguito a queste operazioni è effettivamente sempre garantita?

Purtroppo no, e troppo spesso dimostriamo falle importanti nei sistemi di pagamento che azzerano i risparmi dei correntisti.

Ma, come è possibile che dei male intenzionati riescano a frodare i sistemi informatici di Google? Questo accade quando il sistema non è sufficientemente sicuro e, cioè, quando non si approntano le adeguate tutele.

E’ quanto accaduto di recente a diversi Assistiti, titolari di carte prepagate e conti correnti, che hanno subìto delle perdite economiche importanti perché era stata violata la propria privacy e sicurezza informatica tramite Google Pay per effettuare pagamenti non autorizzati.

In alcuni casi, infatti, l’intermediario finanziario presso cui è custodito il saldo del cliente (ad esempio la banca), permette l’inscrizione presso il proprio portale - che consente di compiere qualsivoglia operazione – semplicemente inserendo le credenziali cosiddette statiche della carta, cioè il numero di carta, la scadenza e le tre cifre che si trovano sul retro.

Una volta inseriti tali dati sul portale dell’intermediario, è possibile scaricare l’APP di Google Pay e ricevere o visualizzare un codice OTP che viene inviato sul numero cellulare indicato, che autorizza tutte le successive operazioni di pagamento, senza più utilizzare l'autenticazione a più fattori.

E’ facile comprendere, dunque, che in tali circostanze, può verificarsi un problema di sicurezza nel sistema perchè si elude la necessaria autenticazione cosidetta forte.

A causa di tale meccanismo, sono sorte recentemente diverse dispute che hanno portato i clienti di vari intermediari finanziari, che si erano visti prelevare illegittimamente dal proprio conto corrente o dalla propria carta prepagata cifre anche ingenti, a ricorrere all’Avvocato esperto di transazioni non autorizzate, per ottenere il risarcimento delle somme frodate. 

Il difetto del sistema di autentificazione forte in Google Pay

Le prime disposizioni volte a limitare fenomeni come quelli cui si è accennato a raccontare poc’anzi sono state quelle adottate con il D.lgs. n.11 del 2010.

Tale decreto richiede che alcune operazioni consentite dagli intermediari, in particolare quelle elettroniche e “a distanza”, siano possibili solo tutelando il cliente con un sistema di autentificazione forte e di autorizzazione del pagamento attraverso due o più elementi.

Il d.lgs. n.11 del 2010, all’articolo 10, comma 1, prescrive infatti che: “Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o altri inconvenienti”. 

Si precisa, quindi, a chiare lettere, che l’onere probatorio relativo alla correttezza e alla sicurezza dell’operazione è a carico dell’intermediario che ha eseguito il pagamento (ad esempio la banca).

Ancora, l’articolo 10 bis dello stesso decreto, prescrive che i prestatori di servizi di pagamento debbano ricorrere al sistema di autentificazione forte del cliente quando l’utente accede al suo conto di pagamento on-line, quando dispone un’operazione di pagamento elettronico o quando effettua qualsiasi azione tramite un canale a distanza che può comportare un rischio di frode nei pagamenti o altri abusi.

Infine, l’art 1 dello stesso decreto, definisce autentificazione forte del cliente quella basata sull’uso di due o più elementi, cosiddetti fattori di autentificazione, classificati nelle 3 categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza solo quell’utente).

In materia, è stata da ultimo emanata la Direttiva Europea 2366 del 2015, che richiama ugualmente l’esigenza di ricorre all’autentificazione forte del cliente (Strong Customer Authentication o SCA) e che impone, infatti, che le operazioni a potenziale rischio frode, come i pagamenti elettronici a distanza e altre operazioni sui conti on-line, siano autorizzate dagli intermediari esclusivamente utilizzando due o più fattori di autenticazione, scelti combinando tra qualcosa che solo chi effettua l’operazione conosce (ad esempio una password), qualcosa che solo chi effettua l’operazione possiede (ad esempio un dispositivo mobile, un’applicazione o una chiave generatrice di codici OTP), e qualcosa che contraddistingue ed è inerente solo all’utente (ad esempio l’impronta digitale, la geometria del volto o un’altra caratteristica biometrica).

La nuova direttiva europea, inoltre, impone che questi elementi di autentificazione forte siano tra loro indipendenti, nel senso cioè che la violazione di uno di essi non può compromettere l’affidabililtà e l’attendibilità degli altri.

A partire dal 14 settembre 2019, quindi, gli utenti avranno questo ulteriore strumento normativo per difendersi ed ottenere giustizia nel caso di frodi on-line.

Disconoscimento dell'Addebito su conto tramite Google Pay

E’onere dell’intermediario dimostrare la correttezza dell’operazione di pagamento.

Qualora si ritenga di essere stato vittima di una frode on-line questi può, anzitutto, rivolgersi ad un Avvocato per segnalare l’illegittimità del pagamento e bloccare la carta.

Disconoscere l’operazione bancaria e bloccare immediatamente la carta è, quindi, il primo passo.

Di solito, gli intermediari, all’atto della sottoscrizione del contratto di apertura del conto o di intestazione della carta prepagata, forniscono il numero dedicato proprio a questa eventualità che, quindi, deve essere tenuto sempre a portata di mano.

Diversamente, anche in breve lasso di tempo, potrebbero essere disposti dai male intenzionati che hanno portato a termine la frode, anche più operazioni di prelievo.

Prima ancora di aver fatto tali segnalazioni, si raccomanda di rivolgersi ad un Avvocato esperto di controversie finanziarie.

Si tratta, infatti, di una materia delicata che deve essere risolta da un professionista esperto. 

Il sistema di autentificazione forte richiede che l’intermediario, in questi casi, debba utilizzare due o più fattori classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza solo l’utente).

Nel ricorso deve essere richiamata la normativa di riferimento, quindi il d.lgs. n.11 del 2010 (articoli 1, 10 e 10 bis) e, per i fatti avvenuti successivamente al 14 Settembre 2019, anche la direttiva europea 2366 del 2015 che richiama ugualmente il sistema di autentificazione forte del cliente e, quindi, il ricorso a due o più fattori di autenticazione, scelti combinando qualcosa che solo chi effettua l’operazione conosce (ad esempio un PIN o una password), qualcosa che solo chi effettua l’operazione possiede (ad esempio un dispositivo mobile o una chiave generatrice di codici OTP) o un elemento di inerenza cioè qualcosa che si riferisce e contraddistingue solo l’utente (ad esempio l’impronta digitale, la geometria del volto, o un’altra caratteristica biometrica).

Dato il particolare favor riconosciuto al cliente, una volta segnalata l’operazione ritenuta fraudolenta, sarà onere dell’intermediario dimostrare con tutti gli elementi di prova consentiti e leciti che l’operazione è stata correttamente autenticata ed eseguita, proprio in relazioni agli obblighi imposti da tali norme richiamate.

Qualora tali oneri probatori non risultino soddisfatti a pieno, si può ottenere la liquidazione della somma illegittimamente prelevata dal conto corrente o dalla carta.  

Avvocato Ricorso al Colleggio Arbitrale

A sostegno delle proprie tesi l'Avvocato in diritto bancario finanziario può richiamare nel ricorso diverse decisioni relative a casi analoghi, risolti positivamente a favore dei clienti negli ultimi anni.

In primis, una decisione arbitrale che ha imposto all’intermediario di rimborsare al cliente la somma illegittimamente prelevata dalla sua carta di pagamento, dopo che il cliente aveva provveduto a disconoscere il pagamento e bloccare la carta.

In questo caso, il malintenzionato era riuscito a scaricare l’APP Google Pay proprio dopo aver effettuato l’accesso al portale on-line dell’intermediario, conoscendo ed inserendo le credenziali statiche di accesso.

Tale operazione aveva all'impostore permesso di visualizzare ed ottenere l’unico codice OTP che permetteva di eseguire tutti i successivi pagamenti.

In altre parole, in questo caso, Google Pay, successivamente alla prima autenticazione forte, non richiedeva più un’autentica forte per ogni singola transazione di pagamento, in contrasto con la normativa di settore (cd. tokenizzazione della carta).

Lo Studio Legale ha, quindi, fatto ritenere Google Pay un sistema non adeguato per gli standard tecnici in uso e per l'effetto l'intermediario finanziario è stato condannato.

La seconda decisione in materia che si richiama è relativa ad un caso in cui il ricorrente dichiarava di essere stato vittima di truffa tramite “sms phishing” per aver ricevuto un sms apparentemente proveniente dall’intermediario, contenente la richiesta di contatto con un presunto ufficio frodi.

Il ricorrente telefonava al numero indicato e, seguendo, le indicazioni fornite da un operatore fasullo, forniva i dati della sua carta e il codice OTP ricevuto via sms dall’intermediario (sufficiente per installare l’APP Google Pay per effettuare tutte le successive operazioni di pagamento contactless).

A quel punto, partivano i prelievi illegittimi ed il ricorrente tempestivamente provvedeva al disconoscimento degli stessi, nonchè al blocco della carta.

Richiamando la normativa di settore sulla cosiddetta autentificazione forte, e avendo riscontrato che l’intermediario non aveva adeguatamente provato l’adozione di tale sistema di sicurezza a due o più fattori (che prevede che per l’esecuzione di ciascuna disposizione di pagamento oltre all’inserimento delle credenziali statiche della carta debba essere utilizzata una password OTP ricevuta su un dispositivo mobile posseduto dal cliente) l'Avvocato ha fatto riconoscere il rimborso integrale delle somme illecitamente prelevate.  

Nello stesso senso, per un caso radicato a Roma, avverso un intermediario che, a fronte della stessa condotta fraudolenta perpetrata da terzi ai danni della propria cliente, si era limitato alla produzione di prove documentali vertenti unicamente sulla attività di installazione da parte della ricorrente dell’ applicazione Google Pay sul proprio dispositivo e nulla aveva allegato, invece, come era tenuto a fare per liberarsi, rispetto alla singola operazione di prelievo contestata dalla ricorrente.

Anche in questo caso, dunque, il cliente ha ottenuto il ristoro totale.

Ulteriori Questioni 3d Secure e Tracking Autorizzativi

Oltre a quanto ampiamente prospettato pocanzi, molto spesso ci troviamo a dibattere sulle tipologie di pagamenti accettati dagli stessi operatori dei pagamenti.

Invero capita che alcune volte i malfattori utilizzino siti web non aderenti ai protocolli di sicurezza 3D Secure, e nonostante ciò l'intermediario finanziario colposamente ammetta la transazione illegittimamente.

Di ciò, qualche volta, non si tiene nemmeno copia copia dei tracking autorizzativi delle transazioni.