Abbiamo, poco tempo fa, trattato di alcuni fenomeni fraudolenti determinati dal sempre più frequente utilizzo, acuitosi ancora di più a causa dell’emergenza Covid-19, di dispositivi informatici per eseguire le normali operazioni bancarie.
Abbiamo già esaminato, in un precedente scritto, il fenomeno del pishing ovvero della frode informatica realizzata da un soggetto che si finge rappresentativo di un ente affidabile e cerca, tramite comunicazioni digitali come email e/o sms, di ingannare la propria vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, e del vishing ovvero la frode perpetrata attraverso una semplice telefonata, apparentemente da parte della propria banca, tramite cui l’utente viene invitato a fornire i codici operativi del conto corrente.
In questa sede esaminiamo un’ulteriore ipotesi di frode attraverso l’utilizzo di strumenti tecnologici.
Si tratta della c.d. Sim Swap Fraud consistente nella truffa perpetrata attraverso il furto dell’identità digitale e dei successivi codici di accesso al sistema di home banking che, come evidenzieremo qui di seguito, vede coinvolti, oltre alla vittima e al truffatore (dal quale – essendo difficilmente identificabile – è difficile essere risarciti), sia gli Istituti di credito che gli operatori telefonici.
Attraverso la Sim Swap Fraud (letteralmente, frode con scambio di sim) i truffatori carpiscono le credenziali di accesso al sistema di home banking avendo prima acquisiti i dati anagrafici dell’utente. Attraverso, dunque, una falsa riproduzione della carta di identità della vittima, viene richiesta all’operatore telefonico – presentandosi con i dati del soggetto truffato – il rilascio di una nuova sim collegata al numero di telefono di quest’ultimo con richiesta di disabilitazione della sim legittima. Attraverso tale espediente, dunque, il truffatore entra in possesso di tutti i dati utili per utilizzare il sistema di home banking della vittima ed ottiene i codici (c.d. OTP) necessari per effettuare illecite operazioni bancarie volte, ovviamente, a trasferire il denaro dal conto corrente della vittima a quello del truffatore.
A chi dovrà, dunque, essere imputata la responsabilità della sottrazione del denaro presente sul conto corrente violato?
Si tenga presente che, nell’ipotesi di Sim Swap Fraud, il soggetto truffato – più ancora che nelle altre forme di frode già esaminate – di rado è coinvolto direttamente.
Dal punto di vista normativo le illegittime condotte appena esaminate vanno ricondotte nell’alveo del D.lgs. 27 gennaio 2010, n. 11, modificato a seguito dell’entrata in vigore del D.lgs. 15 dicembre 2017, n. 218, di recepimento della direttiva UE 2015/2366 che, all’art. 10, prevede che “1. Qualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti. 1-bis. Se l’operazione di pagamento è disposta mediante un prestatore di servizi di disposizione di ordine di pagamento, questi ha l’onere di provare che, nell’ambito delle proprie competenze, l’operazione di pagamento è stata autenticata, correttamente registrata e non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti connessi al servizio di disposizione di ordine di pagamento prestato. 2. Quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per se’ necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, ne’ che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente”. Grava quindi sull’Intermediario l’onere di provare che l’illecita operatività ad opera di terzi, con riferimento alle disposizioni contestate, sia stata resa possibile dal dolo o dalla colpa grave del cliente.
Con riferimento agli operatori telefonici occorre precisare che solo recentemente, con l’art. 2 della delibera n. 86/21/CIR dell’AGCOM (“Identificazione del soggetto richiedente il cambio della sim”), è stato stabilito che il fornitore di servizi di telefonia mobile, nel caso di richiesta di cambio sim, «è tenuto ad identificare il soggetto che richiede la sostituzione della sim attuando le relative vigenti norme. Nel caso delle sim, l’identificazione è effettuata prima del caricamento del profilo da remoto o della sua attivazione in rete.». In precedenza, l’art. 55 del Codice delle Comunicazioni Elettroniche non prevedeva l’identificazione del soggetto richiedente, in caso di richiesta di duplicazione della sim.
Per consentire una valutazione complessiva della questione e per comprendere la ratio delle pronunce di cui daremo atto, non ci si può esimere dall’evidenziare che il problema di cui ci stiamo occupando è oggetto di molta attenzione: l’ABI e la Polizia di Stato hanno promosso un Vademecum contenente consigli utili per la protezione dei dati personali, per consentire agli utilizzatori di evitare comportamenti che possano essere potenzialmente rischiosi. Il progetto è stato realizzato dall’ABI in collaborazione con l’Osservatorio per la sicurezza fisica (OSSIF, il Centro di Ricerca dell’ABI sulla Sicurezza Anticrimine), il CERTFin (l’iniziativa cooperativa pubblico-privata diretta dall’ABI e da Banca d’Italia finalizzata a innalzare la capacità di gestione dei rischi cibernetici degli operatori bancari e finanziari), la Polizia Postale e le Associazioni dei Consumatori.
Avendo a mente tutto quanto sopra, esaminiamo alcune pronunce sul punto che, anche in questo caso, sono assai variegate anche in considerazione della fattispecie concreta esaminata.
Tribunale di Rimini, sentenza del 11 novembre 2021 n. 1003
Il Tribunale di Rimini ha escluso che sia configurabile – a carico dell’Istituto di Credito – una responsabilità c.d. oggettiva, evidenziando che “La responsabilità della Banca non dovrà considerarsi esistente per il sol fatto che dall’home banking sia partito un pagamento non autorizzato (c.d. responsabilità oggettiva) ma potrà essere chiamata solo in caso di omessa adozione delle misure di sicurezza previste dal contratto”.
Arbitro Bancario e Finanziario - Collegio di Milano, decisione n. 2885/2021
Come dicevamo poco sopra, il cliente truffato nella fattispecie di Sim Swap Fraud viene di rado coinvolto e subisce supinamente l’attacco hacker. Su questa base, l’Arbitro Bancario e Finanziario, nell’interessante pronuncia esaminata evidenzia che “Il non funzionamento dell’utenza telefonica, l’avvenuta attivazione di una sim da parte di un altro soggetto e l’esecuzione di un’operazione tramite utilizzo fraudolento dello strumento di pagamento sono eventi di non immediata associazione da parte dell’utente al fine di percepire la truffa in atto, e fra i quali può intercorrere un lasso di tempo sufficiente affinché il malfattore riesca a compiere la propria azione criminale. In proposito, secondo l’orientamento recentemente condiviso dai Collegi, la sostituzione della sim card va equiparata alla mancanza di autenticazione dell’operazione di pagamento ai sensi e per gli effetti dell’art. 10 bis del D.lgs. n. 11/2010, sull’autenticazione c.d. forte; in ogni caso, per le modalità di attuazione, la c.d. “Sim Swap Fraud” costituisce una manovra fraudolenta nell’ambito della quale non si può ravvisare la colpa grave del cliente”.
Il Tribunale di Prato ha considerato una responsabilità condivisa tra tutti i soggetti coinvolti, evidenziando che la compagnia telefonica è responsabile dei danni subiti dall’utente qualora i dati della sim allo stesso intestata vengano carpiti fraudolentemente e utilizzati per compiere illecite operazioni tramite il servizio di home banking che richieda sistemi di autenticazione con l’utilizzo della sim. Responsabile solidale con la compagnia telefonica è anche la banca che a sua volta non abbia adottato idonee misure di sicurezza per evitare che terzi non autorizzati accedessero al servizio di home banking. È comunque rilevante, ai fini della determinazione del danno, la condotta colposa del titolare del conto e della sim che, una volta avvedutosi della sottrazione dei dati della sim e dei tentativi di intrusione da parte di terzi sul conto corrente, non ne abbia dato immediata informativa alla banca.
Tribunale di Milano, sentenza del 13 aprile 2022 n. 3292
Il Tribunale di Milano recentemente ha dato una lettura differente delle responsabilità attribuibili ai soggetti coinvolti evidenziando che il cliente non può considerarsi completamente inconsapevole (ovviamente si tratta di una decisione strettamente collegata al caso di specie, nella quale l’Istituto di Credito aveva dimostrato di aver posto in essere tutte le precauzioni necessarie) atteso che “il prestare fede a una mail di phishing già di per sé concreti i presupposti della colpa grave. Sul punto, infatti, non possono non essere considerate le campagne informative che in modo assiduo vengono proposte da tutti gli istituti di credito e, in generale, dai mezzi di comunicazione, con l’avvertimento di non immettere le proprie credenziali in siti internet o in sede di risposta a mail apparentemente provenienti da banche, in quanto trattasi di dati che nessun dipendente di banca è legittimato a richiedere; la diffusione e la capillarità di tali campagne, evidentemente in risposta alla frequenza con la quale tali mail vengono inviate a pioggia a tutti gli utenti, fa sì che oggi non possa che essere ascritto a una condotta gravemente negligente cadere in simili inganni, a meno che non si provi che il raggiro non sia stato attuato con modalità particolarmente persuasive, tali da indurre una persona di normale avvedutezza in errore sulla provenienza della richiesta e sulla plausibilità della stessa».
Il Tribunale ha, quindi, escluso la responsabilità della Banca e riconosciuto un concorso di colpa tra il cliente e l’operatore telefonico, stabilendo che «va riconosciuto un concorso di colpa del danneggiato ex art. 1227 c.c., comma 1, considerato come il danno da questi patito si sia determinato solo per effetto della concorrente condotta negligente del F. e di W., il primo per avere messo a disposizione le credenziali statiche del proprio conto corrente online e i riferimenti della propria utenza telefonica, cadendo nell’inganno attuato tramite la mail di phishing; la seconda, per avere negligentemente rilasciato al truffatore il duplicato della sim, che ha consentito di conseguire la disponibilità anche delle credenziali dinamiche (la password OTP). Il pari contributo causale delle due condotte colpose impone di quantificare in misura paritetica il concorso di colpa, con l’effetto che la convenuta va condannata a risarcire l’attore per il danno patito nella misura del 50%».
Comments