Società, Banca e Impresa

Sim swap fraud: chi risarcisce i danni al truffato?

Di Giuseppina Satta
Avvocato in Firenze
… continua a leggere
Pubblicato il

Il Tribunale di Roma, con le decisioni del 19 luglio 2023 e dell’11 settembre 2023, torna ad occuparsi di frodi informatiche compiute a danno della clientela bancaria attraverso la tecnica della c.d. Sim swap fraud. In entrambe le vicende dedotte in lite il Tribunale di Roma accerta la responsabilità dell’operatore telefonico – chiamato in causa dalla banca presso cui gli utenti avevano acceso il rapporto di conto corrente dal quale erano stati effettuati i prelievi illegittimi di denaro – ritenendo che la truffa non avrebbe potuto perfezionarsi se i terzi non fossero riusciti ad intervenire sull’utenza telefonica certificata. In particolare, la condotta negligente dell’operatore telefonico, estrinsecatasi in una superficiale verifica dell’identità del richiedente la sostituzione della SIM, è ritenuta causalmente connessa con l’esecuzione dei bonifici indebiti.

I due casi dedotti in lite

Le due fattispecie affrontate dal Tribunale di Roma sono simili e possono essere riassunte come segue:

- alcuni utenti, titolari di rapporti di conto corrente presso una banca, lamentano il proprio incolpevole coinvolgimento nella frode informatica denominata “Sim Swap Fraud”, consistente nella sottrazione di denaro ad opera di terzi tramite l’ottenimento fraudolento del duplicato della Sim sul telefono cellulare;

- la banca convenuta contesta le domande attoree e ne chiede il rigetto sostenendo il concorso colposo dei clienti nella causazione dell’evento lesivo; la banca formula poi domanda di chiamata in causa, ex art. 106 c.p.c., dell’operatore telefonico gestore della SIM dei clienti, contestandogli di aver rilasciato a terzi un duplicato della SIM medesima, omettendo di verificare adeguatamente l’identità del richiedente;

- l’operatore telefonico, nel costituirsi in giudizio, chiede il rigetto delle domande nei suoi confronti e l’accertamento dell’esclusiva responsabilità della banca per le perdite subite dagli clienti.

La decisione: sistemi di autenticazione per l’accesso al servizio home banking

In entrambe le pronunce il Tribunale di Roma ricorda, in primo luogo, quale sia la disciplina applicabile, e cioè quella del d. lgs. n. 11/2010 attuativo della direttiva 2007/64/CE (c.d. PSD1), da ultimo novellato con il d.lgs. n. 218/2017, emanato per recepire la nuova direttiva relativa ai servizi di pagamento 2015/2366/UE in vigore dal 13 gennaio 2018 (c.d. PSD2). Al riguardo, il giudice capitolino osserva che il sistema più evoluto di autenticazione per l’accesso e l’utilizzo della piattaforma home banking è quello che prevede l’autenticazione del cliente non soltanto tramite le cosiddette credenziali statiche (UserId e Pin) consegnate allo stesso al momento dell’apertura del rapporto, ma anche attraverso l’utilizzo di un codice dinamico, detto OTP (one time password), ovvero un codice cifrato monouso generato contestualmente all’accesso al servizio/esecuzione dell’operazione e con durata limitata nel tempo.

In ipotesi di operazioni disconosciute, com’è noto, l’art. 10, comma 2, d.lgs. n. 11/2010 stabilisce che: “Quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente”. La norma prevede, quindi, che in caso di disconoscimento dell’autorizzazione di un’operazione di pagamento la banca provi, da un lato, di aver correttamente adempiuto la propria prestazione, dall’altro, l’inadempimento doloso o gravemente colposo da parte del cliente agli obblighi previsti nell’art. 7d.lgs. n. 11/2010, a mente del quale: “L'utente abilitato all'utilizzo di uno strumento di pagamento ha l'obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso e che devono essere obiettivi, non discriminatori e proporzionati; b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l'appropriazione indebita o l'uso non autorizzato dello strumento non appena ne viene a conoscenza […] l'utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.

Il confine tra responsabilità della banca e dell’operatore telefonico

Considerate queste premesse, nelle due fattispecie esaminate il Tribunale di Roma giunge a conclusioni parzialmente differenti in relazione alla posizione della banca:

a) nell’una viene esclusa la responsabilità della banca avendo questa fornito prova, non solo, di aver predisposto le misure più idonee a garantire la tutela del cliente, ma anche, dell’inadempimento del cliente medesimo, sorretto da colpa grave, agli oneri, di cui all’art. 7 del d.lgs. 11/2010, di custodia delle credenziali di sicurezza personalizzate e di comunicazione alla banca dell’uso non autorizzato dello strumento di pagamento;

b) nell’altra, invece, pur accertata la regolarità formale del sistema di autenticazione forte utilizzato dalla banca, non risulta provato che questa, ponderando i rischi tipici del proprio ambito, abbia applicato tutte le possibili cautele volte ad accertare la riconducibilità delle operazioni effettuate tramite l’home banking alla volontà dei correntisti, al fine di evitare prelievi non autorizzati.

Sostanzialmente identico è invece il giudizio del Tribunale in ordine alla condotta dell’operatore telefonico: considerate infatti le caratteristiche strutturali della Sim Swap Fraud e la specifica circostanza per cui, nonostante il possesso delle credenziali statiche (userid e password), la truffa non avrebbe potuto perfezionarsi se i terzi non fossero riusciti ad intervenire sull’utenza telefonica certificata, rendendola inattiva e dirottando a proprio favore l’invio delle credenziali dinamiche OTP e OTS tramite la sostituzione della SIM, il Tribunale di Roma accerta la responsabilità (nell’un caso esclusiva, nell’altro concorrente) dell’operatore telefonico, la cui condotta negligente, estrinsecatasi in una superficiale verifica dell’identità del richiedente la sostituzione, è causalmente connessa con l’esecuzione dei bonifici indebiti.

La responsabilità della compagnia telefonica: l’obbligo di identificazione del cliente anche per la sostituzione della SIM

Sul punto, il Tribunale rileva che l’art. 55, comma 7, d.lgs. n. 259 del 2003 ha previsto in capo agli operatori di telefonia mobile un obbligo di identificazione degli abbonati e degli acquirenti prima dell’attivazione del servizio, stabilendo che ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell'Interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, i quali devono essere identificati prima dell'attivazione del servizio, al momento della consegna o messa a disposizione della occorrente scheda elettronica (SIM). A tal fine, le imprese di telefonia sono tenute ad adottare tutte le necessarie misure atte a garantire: a) l'acquisizione dei dati anagrafici riportati sul documento di identità esibito dal cliente e dei dati relativi al tipo e al numero del documento; b) la corretta acquisizione della riproduzione del documento presentato dall'acquirente e ad assicurare il corretto trattamento dei dati ottenuti.

Ciò detto, ritiene il Tribunale che sussista nell’ordinamento un obbligo di identificazione dei clienti anche per la mera sostituzione della SIM, del tutto similare a quello previsto in caso di attivazione della stessa; l’art. 1, comma 46, l. n. 124 del 2017, prevede al riguardo che: “Al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l’integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del Ministero dell’Interno, di concerto con il Ministero dello sviluppo economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per l’identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell’identità digitale previsto dall’art. 64 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica”; sicché la ratio di tale intervento normativo, ossia semplificare le modalità di identificazione del cliente nelle operazioni di migrazione, integrazione o sostituzione della SIM, trova un antecedente logico necessario nell’esistenza di un dovere in capo agli operatori telefonici di provvedere all’identificazione del cliente in occasione delle operazioni menzionate.

Aggiunge poi il Tribunale che proprio la rilevanza del suddetto dovere ha determinato l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) all’emanazione della Delibera n. 86/21/CR dell’8 luglio 2021, che, seppur ratione temporis non applicabile alle due fattispecie in discorso, ha ulteriormente rafforzato l’obbligo di identificazione del richiedente la duplicazione della SIM da parte dei gestori dei servizi di telefonia, con l’espressa intenzione di garantire maggiore protezione ai dati personali dei clienti e di prevenire attività dolose attuabili tramite la sostituzione della SIM dell’utente da parte di soggetti terzi non autorizzati.

Sim swap fraud

Su questo quotidiano sono già state pubblicate sentenze aventi ad oggetto la c.d. sim swap fraud, in esecuzione della quale il malintenzionato, dopo aver sottratto i dati di accesso dell’utente alle applicazioni oppure ai servizi di home banking si impossessa della sua utenza telefonica così riuscendo, da un lato, a deviare gli eventuali messaggi di alert provenienti dalla banca sull’imminente esecuzione di un’operazione di addebito sul conto; dall’altro, ad acquisire gli OTP di volta in volta trasmessi per l’autorizzazione delle operazioni impartite (cfr. G. Satta, Sim swap fraud: banca e compagnia telefonica responsabili in solido; Id., Sim swap fraud: responsabile la banca o la compagnia telefonica?).

Come ricordato anche dal Tribunale di Roma, il sistema di autenticazione a due fattori dovrebbe consentire all’utente di far affidamento sull’adozione di misure che tutelano la riservatezza e l’integrità delle credenziali di sicurezza personalizzate. Tali misure comprendono di norma sistemi di cifratura basati su dispositivi personali del pagatore, tra cui lettori, appunto, i telefoni cellulari. A tal fine è stato imposto l’obbligo ai prestatori di servizi di pagamento di applicare, sia in fase di accesso al conto on line, sia in fase di pagamento elettronico, l’autenticazione forte del cliente che comprenda elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un altrettanto specifico beneficiario nel rispetto delle norme tecniche demandate all’Autorità Bancaria Europea. La possibilità di sostituire la propria SIM mantenendo il medesimo numero, può derivare da esigenze dell’utente, quali ad esempio il malfunzionamento o la rottura della stessa, ovvero il cambio del dispositivo o del gestore telefonico. Ma questa possibilità, se intercettata da un malintenzionato, espone il titolare della SIM alla sottrazione non solo del numero di telefono, ma anche di tutta l’operatività del servizio di home banking ad esso collegato. Da ciò, la necessità che gli operatori telefonici adottino misure idonee per verificazione dell’identità dei richiedenti anche la sostituzione della SIM (cfr. sul punto, Trib. Milano n. 3295/2022; Trib. Milano n. 8562/2022, Trib. Ivrea n. 543/2018, Trib. Savona n. 428/2022).

In questa direzione, la delibera dell’AGCOM 86/21/CIR, adottata l’8 luglio 2021 e richiamata in sentenza, ove previsto, tra l’altro, che:

1) la richiesta di cambio della SIM, inclusi i casi di richiesta di Mobile Number Portability (MNP), di furto o smarrimento, o altre fattispecie di modifica virtuale (eSIM), può essere effettuata esclusivamente dal titolare della SIM;

2) in caso di furto, smarrimento o malfunzionamento la richiesta della nuova SIM può essere effettuata solo presso il proprio operatore. In tali circostanze, la richiesta di MNP può essere effettuata solo dopo aver sostituito la SIM e, pertanto, disponendo di una SIM funzionante;

3) l’utilizzo di deleghe al cambio della SIM è consentito solo nel caso delle SIM aziendali;

4) il fornitore di servizi di telefonia mobile è tenuto ad identificare il soggetto che richiede la sostituzione della SIM acquisendo copia fotostatica chiara e leggibile: i) del suo documento d’identità del soggetto e di un documento attestante il Codice Fiscale; ii) della vecchia SIM; iii) nel caso di furto o di smarrimento della SIM, della relativa denuncia.

Copyright © - Riproduzione riservata

Per approfondire

Prodotti suggeriti

Riviste 2x1! Il Fallimento + Le società

Riviste 2x1! Il Fallimento + Le società

Più Letti

  1. Quote Tfr non versate dal datore al fondo complementare? Il lavoratore può insinuarsi al passivo
  2. Dichiarazione sostitutiva di atto notorio
  3. Legge 104: la guida completa
  4. Decreto flussi 2023-2025: ok dal Consiglio dei Ministri
  5. Codice Civile
  6. Eccesso di velocità e auto sbalzata oltre il guard rail: il Comune è responsabile?
  7. Eredità: tutto quello che devi sapere sulle successioni ereditarie
  8. Pignoramento presso terzi: la guida completa
  9. Codice di procedura civile
  10. Le quote ereditarie

Novità editoriali

Vedi Tutti
Massimario delle operazioni societarie e degli enti non profit

Massimario delle operazioni societarie e degli enti non profit

Busani Angelo
Risparmi 5% € 170,00
€ 161,50
Acquista
Le Società

Le Società

Bini Mauro, Busani Angelo, Giudici Paolo, Lamandini Marco, Pagni Ilaria, Paliero Carlo Enrico, Rordorf Renato, Salafia Vincenzo, Toffoletto Alberto
Risparmi 20% € 305,00
€ 244,00
Acquista
Manuali notarili - Le società di capitali e le cooperative

Manuali notarili - Le società di capitali e le cooperative

Genghini Lodovico, Simonetti Paolo
Risparmi 30% € 150,00
€ 105,00
Acquista
Le società di persone

Le società di persone

Genghini Lodovico, Simonetti Paolo
Risparmi 30% € 100,00
€ 70,00
Acquista
Atti societari - Formulario commentato

Atti societari - Formulario commentato

Bonfante Guido, De Angelis Lorenzo, Salafia Vincenzo, AA.VV.
Risparmi 30% € 165,00
€ 115,50
Acquista
Gli oggetti delle Società

Gli oggetti delle Società

Busani Angelo, Corso Marco
Risparmi 30% € 80,00
€ 56,00
Acquista
ilQG - Il Quotidiano Giuridico

ilQG - Il Quotidiano Giuridico

AA.VV.
Risparmi 52% € 250,00
€ 118,80
Acquista
Codice delle Società

Codice delle Società

Abriani Niccolo'
Risparmi 30% € 190,00
€ 133,00
Acquista