Secondo la nota diramata in data 15 marzo 2020, sul sito internet istituzionale della Polizia Postale, le restrizioni imposte alla circolazione delle persone dalle misure di contenimento dettate al fine di arginare l’attuale crisi sanitaria, hanno portato ad un aumento considerevole dei reati informatici.
Con attinenza allo specifico settore bancario, sono ormai numerose le tecniche di criminalità informatica attraverso le quali i malfattori provano a carpire le informazioni di accesso all’utenza home banking degli utenti, allo scopo di sottrarre loro denaro.
Tra le varie condotte escogitate, quella che sta conoscendo maggior diffusione e desta, pertanto, maggiori allarmi è la sim swap fraud.
Si tratta di una frode complessa che sfrutta il diffuso ricorso alla tecnologia mobile nella fruizione dei servizi di credito sia per l’accesso ai dati sia per la conferma delle disposizioni. Inizialmente il malintenzionato, dopo aver sottratto vari dati come, dati di accesso dell’utente alle app ad ai servizi di home banking (User ID e Password/PIN) , dati anagrafici ad esso riferibili, si procura uno o più documenti di riconoscimento della vittima, anche reperendoli ad esempio nel deep internet con un “investimento” nell’ordine di qualche centinaio di euro, ovvero sottraendoli presso vari archivi informatici o cartacei di pubbliche amministrazioni e privati.
Recuperato il documento anagrafico del malcapitato, il truffatore provvede alla sua contraffazione inserendo, accanto ai dati della vittima la propria effige o quella di un complice. A questo punto il malintenzionato si reca presso il Dealer telefonico su cui la vittima appoggia l’utenza telefonica utilizzata per la fruizione dei servizi di credito e dichiarando, anche tramite apposito modulo, di aver smarrito la scheda SIM, si fa rilasciare pertanto un duplicato dalla stessa oppure ne richiede la portabilità presso altro operatore. Il malvivente inserisce la nuova sim all’interno di un telefono cellulare sul quale, anche dopo aver scaricato l’apposita app, a questo punto potrà captare la ricezione delle password “usa e getta” (SMS OTP), dando conferma delle disposizioni in modalità home banking e procedendo alla sottrazione di denaro con disposizioni nei confronti di terzi.
La Sim Swap Fraud è certamente una frode telematica molto insidiosa e diffusa. La associazione bancaria Abi Lab nello studio pubblicato nel 2019, la classifica, infatti, tra i principali fenomeni rilevanti nel settore mobile, evidenziando che il 90% degli istituti di credito e operatori , hanno segnalato tentativi di frode di Sim Swap ed il 40% di questi ha subito perdite effettive.
A fronte dell’insidiosità di tali reati e del loro progressivo aumento, registrato soprattutto in quest’ultimo periodo, si avverte che il fenomeno rischia di avere un’incidenza significativa nei confronti degli utenti finali che, pertanto, necessitano di forme adeguate di tutela.
La responsabilità degli intermediari finanziari in caso di frode all’utenza è disciplinata dai D.lgs. 27 gennaio 2010, n. 11 e del D.lgs. n. 218 del 15 dicembre 2017, con i quali il legislatore ha dato attuazione alle due direttive sugli strumenti di pagamento (PSD1 e PSD2), ma risultano certamente applicabili anche le disposizioni in tema di diritto della protezione dei dati personali, oggi disciplinato dal D. Lgs. 196/2003 (Codice della Privacy) per come novellato dal D. Lgs. 101/2018 e in attuazione del Reg. EU 2016/679 (c.d. GDPR).
Quanto, invece, ai rimedi esperibili, il correntista che abbia subito la frode può astrattamente tutelare le proprie ragioni sia in sede giudiziale che stragiudiziale, promuovendo, un procedimento presso l’Arbitrato Bancario Finanziario (ABF) e l’azione giudiziale innanzi al tribunale ordinario, tenendo però conto che la scelta di promuovere l’una delle due iniziative potrà sensibilmente influenzare l’esito della decisione e, quindi l’attuazione dei suoi diritti.
Per quanto concerne sempre la specifica Sim Swap Fraud, dalle decisioni delle controversie sottoposte al vaglio dell’ABF si registra la sussistenza di un orientamento spesso ondivago, sia tra le diverse sedi territoriali di cui si compone l’organismo sia in seno ai singoli consessi.
Prendendo in considerazione le sole decisioni relative a fattispecie di Sim Swap si osservano, ad esempio, nel corso del 2019, presso il Collegio ABF di Roma, decisioni tra loro contrastanti e comunque prevalentemente a favore dell’intermediario.
Mentre, infatti, con il provvedimento n. 3002 del 31.1.2019 si è affermata la responsabilità dell’intermediario non in grado di dimostrare – a fronte della frode subita dal correntista ed in mancanza di condotte colpose da parte di quest’ultimo – di aver tenuto una condotta confacente ai doveri e alle responsabilità professionali su di esso incombenti all’art. 1176 c.c., con le successive decisioni n. 3240 del 1.2.2019 e n. 3769 del 7.2.2019 si è negato ai correntisti la restituzione delle somme loro sottratte.
Venendo alle motivazioni di tali decisioni di rigetto della domanda di rimborso del correntista, nel primo caso, si è assecondata la linea difensiva della banca secondo cui le operazioni disconosciute erano in realtà legittime e regolari, siccome disposte a seguito di immediata e diretta conferma da parte del legittimo titolare ed autorizzate con sistema di autenticazione dinamica (OTP). In particolare, si è ritenuto che la banca, con tale allegazione, avesse provato di aver adottato un sistema di autenticazione a due fattori -e quindi da ritenersi sicuro secondo i massimi standard tecnici disponibili – e che, pertanto, anche in assenza di prove da parte dell’intermediario, doveva presumersi la responsabilità del correntista per negligente custodia delle credenziali di accesso al sistema di home banking.
Anche per la decisione ABF n. 3769 del 2019, il ricorso del correntista è stato respinto valorizzando, da un lato, il fatto che il sistema informatico della banca non solo non risultava violato, ma era, anzi, regolarmente funzionate, come dimostrato dal regolare accesso all’home banking effettuato, attraverso il consueto IP utilizzato dal cliente anche in occasione di altri accessi – effettuati anche nella stessa giornata, prima e dopo l’operazione di cui si discute e che, inoltre, la stessa operazione disconosciuta risultava confermata con l’inserimento del codice generato dall’OTP. Dall’atro, il Collegio decidente ha poi ritenuto rilevante la mancata allegazione di prove, da parte del ricorrente sulla ricostruzione di quanto accaduto e sulle circostanze di fatto idonee ad evidenziare un’aggressione informatica operata in suo danno attraverso un malware particolarmente sofisticato e tale da escludere ogni sua colpa.
Pertanto, il Consesso capitolino, alla luce del quadro istruttorio e delle evidenze raccolte, ha ritenuto che, dimostrando di aver provveduto all’adozione di un sistema di autenticazione forte “a due fattori” la banca avesse fornito la prova liberatoria su di essa incombente e che, invece, il ricorrente non era stato in grado di provare le circostanze di intrusione generalizzata nel sistema di sicurezza della banca tali da smentire l’efficacia delle misure di sicurezza adottate e, pertanto, ha respinto la richieste di indennizzo del correntista.
Maggiore apertura a favore del correntista si registra, invece, in ordine agli orientamenti del Collegio ABF di Milano nel corso del 2019.
Tuttavia, ciò che è certo è che, allo stato attuale, il correntista, al fine di massimizzare la tutela delle proprie ragioni dovrà preferibilmente, se non in molti casi necessariamente, promuovere le proprie istanze in sede giudiziaria, confidando nella conferma dell’orientamento giurisprudenziale fino ad ora prevalente
