Quando la Postepay ti ruba i soldi

Non si contano più i casi di denari"svaniti "dalla tessera prepagata di Poste Italiane. La quale cerca il più possibile di non riconoscere rimborsi per chi è truffato con il phishing. Incolpando gli utenti di non aver utilizzato gli accorgimenti necessari per evitare le truffe

Scena madre. Possiedo una carta postepay, custodita gelosamente nel portafoglio. La uso solo per acquisti on line attraverso siti che adottano un protocollo Ssl (Security Socket Layer) o Set (Secure Electronic Transaction) così da non avere sorprese. Tutto va bene finché un bel giorno, nel mezzo di un acquisto, convinto che la carta sia ancora bella fornita di soldi, non c’è più nulla. Vuota. Stop.

SOLDI SPARITI – Perché? Eppure ho sempre ricaricato con grosse cifre, la uso per questi piccoli acquisti e non ho mai avuto nessuna spesa imprevista da affrontare. Non si tratta certo di un caso limite. Il tutto è partito dalla segnalazione pubblicata sull’ultimo numero de “Il Salvagente” che raccontava la storia di un uomo che si è visto sottrarre dalla sua carta postepay qualcosa come oltre 950 euro spesi in sei pagamenti effettuati a favore dell’ente dell’energia elettrica messicana. E’ necessario ricordare, anche se è superfluo, che il signore in questione non è mai stato in Messico e si è accorto solo durante una vacanza in Thailandia di essere quasi a secco, in quanto nella sua carta erano presenti solo nove euro.

TUTTO IN REGOLA – Eppure le Poste hanno rifiutato di concedere il risarcimento perché i pagamenti messicani sono avvenuti in un sito che partecipa al protocollo “3D Secure”, sistema sicuro che impedisce qualsiasi azione nei confronti della banca che ha effettuato la transazione, visto anche il fatto che sono stati usati correttamente tutti i dati in possesso del titolare della carta per condurre le operazioni. Tradotto: non c’è modo di dimostrare che la carta ti sia stata clonata, per quel che ci riguarda i pagamenti li hai effettutati tu, il sito equipaggiato con un certo protocollo non può essere fregato da chicchessia e quindi la spesa non può esserti rimborsata.

TREMILA EURO ADDIO – L’Arena di Verona ha raccontato lo scorso 16 giugno diversa nel contenuto ma analoga nella situazione finale. Un 41enne di San Martino Buon Albergo ha visto sparire dalla sua carta circa 3,000 euro per colpa di sei prelievi in dieci giorni per un’entità, a “botta” che variava da 402 a 500 euro. Ripulito dei risparmi quindi, in una circostanza parecchio spiacevole, visto che quei soldi servivano per pagare il funerale del suocero. “Mi sono accorto del furto -queste le parole della vittima- dopo dieci giorni che non facevo operazioni online. Mi servivano dei soldi per pagare il funerale di mio suocero. Ho seguito la solita procedura e sono entrato nel mio conto, dove sapevo che c’erano 2.952 euro. Quando ho visto il saldo non credevo ai miei occhi: erano rimasti 19 centesimi. Mi sono spaventato, ho chiuso tutto e reinserito i dati. Niente da fare, sempre 19 centesimi: dei miei soldi non c’era più niente”.

OPERAZIONE SENZA OMBRE – L’uomo ha bloccato subito la carta, ha fatto la denuncia ai carabinieri ed ha aspettato la risposta delle Poste, la quale è stata per certi aspetti raggelante: “le operazioni sul suo conto sono state disposte mediante il corretto inserimento di tutte le successive serie di riconoscimenti informatici indispensabili per tali operatività. Poste Italiane non risponde dell’eventuale acquisizione di dati e informazioni riguardanti il titolare da parte di terzi che abbiano in qualunque modo accesso agli strumenti operativi, ad esempio il personal computer, utilizzati dal titolare per effettuare operazioni con la carta attraverso la rete Internet”.

LA PROSSIMA VOLTA FACCIA ATTENZIONE – E non è finita: “Il titolare è responsabile della carta, tenendone in ogni forma esonerata Poste Italiane per i danni di qualsiasi natura eventualmente derivanti dall’aver incautamente fornito a terzi i propri dati personali e/o strumenti di identificazione e legittimazione”. Quindi la colpa è sua perché il sistema è sicuro, ha sparso ai quattro venti i suoi dati e quindi, morale, “chi è causa del suo mal pianga sé stesso”. Non fa nulla se l’uomo non ha mai rivelato niente a nessuno. Dal canto loro le Poste hanno risposto che qualora la polizia riesca a risalire agli autori del furto, allora i soldi possono essere recuperati. Eppure non viene svelato né quanti sono stati truffati né a quanto ammonterebbe il recupero. Unica circostanza ribadita, quella di dotarsi del nuovo sistema di protezione web Postepay oltre alla necessità di segnalare le mail fraudolente inviate da chissà chi a nome Poste Italiane al numero di telefono gratuito 803.160.

OMONIMIA? – Un vecchio adagio però recitava: “tre indizi fanno una prova”, e la terza viene raccontata dalla Gazzetta del Mezzogiorno che ci parla di una donna di 31 anni di Oppido Lucano la quale si è vista sottrarre dalla carta circa 1750 euro. In questo caso si parlò addirittura di omonomina e che la responsabilità fosse del sistema informatico. Appurato che la donna non aveva omonimi, restava solo la clonazione. Per Poste Italiane la carta non può essere clonata ed ha risolto così il problema. La situazione poi si fa ancora più grave nel vedere in quanti forum on line si racconti più o meno la stessa cosa.

QUALCHE REAZIONE – He-man.org: “A me è successo di trovarmi un saldo contabile di circa 230 euro e un saldo effettivo disponibile di -16 euro!!!”.  In questo caso però i soldi poi sono tornati alla base dopo opportune segnalazioni e solleciti. Mtb-forum.it: Tre gg. fa mi collego al portale per controllare il saldo (dovevo aggiungerci qlcs per fare un acquisto) e sorpresa delle sorprese il saldo era pari a poco + di 10€. Dovevano essercene + di 120 […] Controllo la lista movimenti e mi accorgo che c’era un addebito di 110€ per un pagamento on line su snai.it. Cartedipagamento.com: “dalla sera alla mattina ho visto sparire 405,62 € dalla mia carta Postepay, senza che io avessi effettuato nessuna transazione”. In questo caso visto che il pagamento su un sito di scommesse non è andato a buon fine, mancando la data di scadenza è il codice Cvv2, i soldi sono stati “congelati” per 15 giorni salvo poi essere riaccreditati.

HO RIAVUTO I MIEI SOLDI! – Forum.telefonino.net ci racconta una storia ancora più interessante: “alla fine di novembre 2005 mi accordo consultando on-line la lista movimente della postepay che ci sono 2 addebiti del giorno prima che non potevano essere miei perchè fatti a citta di castello, uno in distributore 31 euro, l’altro in negozio 100 euro. Ho subito chiamato il num verde delle poste , ho spiegato l’accaduto e loro mi hanno detto di bloccare la carta e poi di fare denuncia […]  Li ho parlato con la direttrice che conosco avendo fatto il postino anni fa, lei mi ha detto che rimborsano solo il postamat in caso di clonazione, ma la p.pay no, non è assicurata”. In quel caso la posta ha restituito tramite assegno 157 euro per movimenti fraudolenti ed estinzione della postepay, ma il fatto che non sia assicurata lascia molti dubbi.

PROTOCOLLO DI SICUREZZA – Allora andiamo a vedere come funziona per davvero la tessera postepay e soprattutto se dal 2005 a oggi sono cambiate le cose, messaggio destinato agli utilizzatori di lungo corso. Dal primo febbraio 2o12 è in vigore un nuovo protocollo di sicurezza per quanto riguarda le carte postepay dedicato alle ricariche telefoniche, della scheda e per i pagamenti dei bollettini. Oltre alla carta è necessario avere a portata di mano il cellulare sul quale arriva un messaggio contenente la password “usa e getta” generata appositamente per l’operazione. Scheda e messaggio. Un connubio inattaccabile.

E LA VECCHIA MANIERA – Ma se volessi comparare una maglietta di Glennz? Allora ecco a cosa bisogna fare attenzione, e lo spiegano le stesse Poste Italiane. Intanto ogni operazione andrebbe condotta seguendo il protocollo Https il quale garantisce la protezione delle informazioni scambiate tra cliente e servizio selezionato in quanto vengono criptate. criptandole in modo che nessuno possa intercettarle e comprenderle. E’ necessario conservare con la massima cura il nome utente, la password e il codice dispositivo, evitare che altri conoscano questi dati, che vengano posti in determinati siti internet sicuri, non far conoscere ad altri i propri codici di accesso, evitare d’inserire i dati nelle mail fraudolente.

LA CONFUSIONE DEGLI IMPIEGATI – Questo procedimento era lo stesso che veniva seguito anche per le operazioni sul sito di Poste Italiane, ma visto che la gente non paga solo i bollettini con queste schede è opportuno capire bene cosa può succedere quando avviene un “incidente”. Perché le poste sostengono come la carta sia anti-clonazione. Posizione assolutamente coraggiosa, specie alla luce di quanto raccontato al Giornale di Brescia ha perso 400 euro e scoperto che la direttrice del suo ufficio postale non sapeva che la password temporanea non arriva su operazioni condotte fuori da poste.it. Quindi cos’è successo? Hanno clonato la carta, e poco importa se avesse il chip o meno.

LA SENTENZA – Quindi indipendentemente dalla sicurezza, in caso di operazione fraudolenta le Poste sono obbligate a risarcire l’utente, come confermato da una sentenza dell’arbitro bancario e finanziario, organismo di risoluzione stragiudiziale delle controversie tra clienti e istituti di credito gestito dalla Banca d’Italia, emessa nel marzo 2012 e ripresa da Kataweb il quale stabilisce che chi ha subìto una frode informatica ha diritto a ottenere un rimborso da parte di Poste italiane. L’arbitro si è pronunciato sul caso di un consumatore cui sono stati sottratti 1000 euro facendo spese con la carta postale prepagata su un portale di e-commerce sito apparentemente sicuro. Nonostante Poste italiane abbia negato la sua responsabilità, l’Arbitro ha stabilito che dovrà versare 850 euro per risarcire il cliente. Al momento dell’addebito delle somme gli sono stati sottratti 1000 euro in più dalla carta.

LA STORIA – Il consumatore ha dunque sporto reclamo a Poste italiane per far valere le proprie ragioni, ma l’azienda ha negato qualsiasi responsabilità. Tramite una nota, a firma di un generico “responsabile”, i funzionari delle Poste si schermivano affermando che il rimborso non era dovuto, visti i requisiti di affidabilità della piattaforma e considerato che i codici di utilizzo della carta erano rimasti segreti: “Da verifiche effettuate – rispondeva l’ufficio reclami – è emerso che il sito viene identificato come attendibile in quanto l’esercente partecipa ai ‘protocolli 3D Secure’” il quale richiede una password prima dell’acquisto.

LA DIFESA E LA LEGGE – L’esistenza di questo tipo di controlli, a dire di Poste italiane, è sufficiente a rendere ingiustificata “qualsiasi iniziativa nei confronti della banca che gestisce gli incassi”. Quindi visto che l’acquisto è stato effettuato su un sito sicuro allora il cliente non può lamentarsi del fatto che gli abbiano portato via 1000 euro in più. Almeno secondo Poste Italiane. Meno male che esiste l’arbitro. Inoltre dopo un’attenta lettura del foglio illustrativo del servizio Poste Pay, preso atto che non vi sono riferimenti a operazioni di disconoscimento in caso di furto, appropriazione indebita e frode informatica se non l’invito a rivolgersi alle Poste tramite raccomandata o all’arbitro bancario, qualora la prima richiesta non sia stata acolta, le stesse poste fanno riferimento alla direttiva 2007/64/CE, alla quale vengono applicate queste disposizioni.

QUALCHE PASSO INTERESSANTE – A questo punto guardiamo cosa dice tale direttiva: relativamente al furto ecco alcuni passaggi parecchio interessanti:

punto numero 32: Al fine di incentivare l’utente dei servizi di pagamento a notificare senza indugio al suo prestatore l’eventuale furto o perdita di uno strumento di pagamento e di ridurre pertanto il rischio di operazioni di pagamento non autorizzate, occorre prevedere che l’utente debba rispondere per solo un importo limitato, a meno che non abbia agito in modo fraudolento o con grave negligenza. Inoltre, una volta che l’utente ha notificato al prestatore di servizi di pagamento il rischio di uso fraudolento del suo strumento di pagamento, non dovrebbe essere tenuto a coprire eventuali perdite supplementari derivanti dall’uso non autorizzato di tale strumento.

E poi

Quando l’utente di un servizio di pagamento nega di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento non è di per sé necessariamente sufficiente a dimostrare che l’operazione di pagamento sia stata autorizzata dal pagatore né che questi abbia agito in modo fraudolento o non abbia adempiuto, con negligenza grave o intenzionalmente, a uno o più degli obblighi di cui all’articolo 56.

E ancora

La presente direttiva dovrebbe stabilire norme per un rimborso a tutela del consumatore quando l’importo dell’operazione di pagamento effettuata è superiore a quello che si poteva ragionevolmente prevedere. I prestatori di servizi di pagamento dovrebbero poter stabilire condizioni ancora più favorevoli per i loro clienti e, per esempio, prevedere un rimborso per qualsiasi operazione di pagamento controversa. Nei casi in cui l’utente presenti una richiesta di rimborso di un’operazione di pagamento, il diritto di rimborso non dovrebbe influire né sulla responsabilità del pagatore nei confronti del beneficiario derivante dal rapporto sottostante, ad esempio per i beni o i servizi ordinati, consumati o legittimamente fatturati, né sul diritto dell’utente per quanto riguarda la revoca di un ordine di pagamento.

E per finire

Il prestatore di servizi di pagamento del pagatore dovrebbe assumere la responsabilità della corretta esecuzione del pagamento, in particolare per quanto riguarda l’importo integrale dell’operazione di pagamento e il tempo di esecuzione, nonché la piena responsabilità in caso di inadempienza di altre parti nell’iter del pagamento fino al conto del beneficiario. In conseguenza di questa responsabilità, ove l’importo integrale non sia accreditato al prestatore di servizi di pagamento del beneficiario, il prestatore di servizi di pagamento del pagatore dovrebbe rettificare l’operazione di pagamento o rimborsare senza indugio il corrispondente importo dell’operazione al pagatore, fatte salve altre eventuali richieste di rimborso ai sensi della legge nazionale […] Art. 62

Gli Stati membri assicurano che un pagatore abbia il diritto al rimborso, da parte del suo prestatore di servizi di pagamento, di un’operazione di pagamento autorizzata disposta dal beneficiario o per il suo tramite e già eseguita, se sono soddisfatte le condizioni seguenti:

a) l’autorizzazione non specifica, quando viene data, l’importo esatto dell’operazione di pagamento; e

b) l’importo dell’operazione di pagamento supera l’importo che il pagatore avrebbe potuto ragionevolmente aspettarsi, prendendo in considerazione il suo precedente modello di spesa, le condizioni del suo contratto quadro e le pertinenti circostanze del caso.

Su richiesta del prestatore dei servizi di pagamento, il pagatore fornisce elementi fattuali relativi a tali condizioni.

Il rimborso corrisponde all’intero importo dell’operazione di pagamento eseguita.

LA MORALE E’ SEMPRE QUELLA – Insomma. Questi passi sembrano contraddire in toto la posizione di Poste Italiane raccontata in queste pagine. Certo, alcuni hanno avuto i soldi indietro ma questo non dovrebbe essere considerato un miracolo, ma la prassi, almeno secondo quanto espresso dal documento comunitario. In attesa di una risposta a specifica repilica inviata a Poste Italiane è opportuno ricordare come comportarsi se la vostra carta è stata oggetto di “interesse” da parte di malintenzionati: stampate una lista completa dei movimenti della carta, denunciate la truffa alla polizia postale o ai carabinieri disconoscendo le operazioni fraudolente,  bloccate la carta o al telefono o allo sportello con tanto di lista delle operazioni da disconoscere e spedite a: “Poste italiane SPA – Condirettore generale revisione interna banco posta reclami, viale Europa, 175 – 00144 Roma” i seguenti documenti: una copia della lista dei movimenti con evidenziato il movimento disconosciuto, una copia denuncia polizia postale o carabinieri, una copia del documento di blocco postepay con codice di blocco e una lettera in fronte che spiega la situazione e la richiesta di rimborso e che elenca i documenti allegati. E se vi rispondono picche ricordatevi dell’arbitrato.