Reclamo N° 224914

Il 18/09/19 vengo contattata da PostePay (identificativo 0113144 Giusi) che mi chiede se ho richiesto un pagamento di 1103,99€. Allarmata blocco subito la carta. La mattina avevo attivato l'app per il Sistema Sicurezza Web e ho ricevuto SMS con dati sensibili da PosteInfo. Alle 14.29 ricevo SMS da PosteInfo, che segnalava un blocco delle utenze per mancata sicurezza web. Credendo fosse l'attivazione del servizio, seguo il link contenuto, che mi conduce su una pagina web del tutto identica a Poste.it, dove mi si chiedevano le credenziali di sicurezza. Compilo il form e la procedura va a buon fine. Poco dopo ricevo la suddetta telefonata per la transazione fraudolenta che viene visualizzata sull'estratto conto solo il 20/09/19, a favore di Worldmit Brussels Bel n. 674881. Sporgo denuncia ai Carabinieri il 21/09/2019, ed il 23/09/19 disconosco l’operazione allo sportello, ma la richiesta viene respinta perché l'operazione risulta legittima. Faccio appello all'ABF ma la mia richiesta viene ulteriormente respinta. Poste Italiane dichiara che “le spunte verdi apposte sull’operazione certificano che al momento della materiale esecuzione della stessa i sistemi informatici non hanno rilevato alcuna anomalia o irregolarità”. Ma, se effettivamente non fosse stata rilevata alcuna anomalia o irregolarità, cosa avrebbe spinto l’operatrice 0113144 (Giusi) a contattarmi per confermare che fossi stata io a richiedere un pagamento di 1.103,99 €? Dunque, l’anomalia dell’operazione da Poste era stata notata e, nonostante la telefonata, non bloccata. L'aver consentito il prelievo della somma, pur avendo verificato l'effettiva fraudolenza dell’operazione, costituisce senz'altro negligenza inescusabile. In aggiunta, vorrei sottolineare il mio dissenso da quanto dichiarato da Poste Italiane – e cito “la ricorrente ha incautamente cliccato su un link truffaldino, con tutta evidenza non appartenente a questo istituto […] posto che l’Intermediario interloquisce con i propri clienti solo tramite canali ufficiali” – in quanto il link truffaldino è stato ricevuto proprio su quei “canali ufficiali” cui Poste fa riferimento. Alle 14.29 ricevo SMS da PosteInfo (canale ufficiale da cui ricevo codici OTP e comunicazioni di Poste, quali anche quelli relativi all’attivazione dell'app per il Sistema Sicurezza Web), che segnalava un blocco delle utenze per mancata sicurezza web. Senza considerare che il link ricevuto portava ad un sito in tutto uguale a quello di Poste. Pertanto, decade l’affermazione “con tutta evidenza non appartenente a questo istituto”, dal momento che il messaggio è stato ricevuto dal numero ufficiale di Poste. È sì vero che “i clienti sono gravati dall’obbligo di diligente custodia dei dispositivi personalizzati che consentono l’utilizzo dello strumento di pagamento”, ma è altresì vero che Poste ha il dovere di custodire i patrimoni della propria clientela con diligenza professionale. Inoltre, la possibilità di sottrazione fraudolenta dei codici identificativi del correntista rientra nel rischio d'impresa dell'istituto di credito, che deve pertanto predisporre misure di protezione idonee ad evitare l’accesso fraudolento di terzi ai depositi e adottare misure di sicurezza adeguate a verificare se le operazioni siano attribuibili effettivamente al cliente. Quindi l'istituto è responsabile di inadempimento all'obbligo di garantire la sicurezza delle operazioni on-line. Inoltre, Poste, non impedendo a terzi di introdursi illecitamente nei suoi sistemi di sicurezza, ha cagionato un danno ad un proprio risparmiatore, quale titolare del trattamento dei dati personali. Ed ancora, l’art. 31 del d.lgs. n. 196/2003 impone che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. In applicazione dei già menzionati principi, le Poste avrebbero dovuto adottare tutte le misure di sicurezza, tecnicamente idonee e conosciute, a prevenire danni, come quelli verificatisi, in quanto appaiono inadeguati se raffrontati con quelli adoperati da altri operatori, i cui sistemi non sono costantemente sottoposti ad attacchi truffaldini. Alla luce delle pregresse argomentazioni si chiede che Poste Italiane mi rimborsi della somma sottrattami: 1.103,99 €, per non aver dotato il sistema informatico di idonei strumenti di protezione e di non aver bloccato per tempo l'operazione nonostante Poste avesse individuato subito l'operazione come "sospetta". Avendo ricevuto il messaggio di phishing da PosteInfo mi sento direttamente frodata da PostePay e mi ritrovo con 1.103.99 € in meno sul mio conto (praticamente conto svuotato), in un momento in cui mi trovavo a dover affrontare spese importanti per il mio futuro. Se non si provvede al rimborso, ricorrerò a vie legali, denunciando PosteItaliane per concussione in reato e danni morali, a causa di evidenti falle di sicurezza nel loro sistema, essendomi arrivato da un loro numero il messaggio fraudolento ed essendosi loro resi conto della transazione fraudolenta (vedi telefonata ricevuta). Tengo a precisare che il messaggio, come detto prima, mi è arrivato dal mittente "PosteInfo", lo stesso da cui inviano i codici di sicurezza e altri SMS sensibili. Inoltre, si sono fatti copiare in tutto e per tutto la pagina web per l'accesso all'area riservata.