Il furto di identità è un fenomeno in forte crescita negli ultimi anni, anche i conti correnti degli italiani sono un allettante bersaglio per la criminalità informatica. Accanto ad oramai noti fenomeni illeciti come il phishing nel quale il correntista fornisce inconsapevolmente a terzi i propri dati personali tramite email fasulle, inclusi password e nome utente, sono nate frodi sempre più specifiche dallo spear phishing dove i criminali si spacciano per il collega di lavoro della vittima tentano di acquisire dati personali sempre più mirati, a frodi che sfruttano tecnologie più recenti come lo smishing (effettuata tramite Sms) ed il vishing (effettuata tramite voip, contact center, skype, ecc.) che sebbene note da tempo agli esperti del settore sono meno conosciute alle persone comuni.
L’avvocato Fabio Di Resta, esperto di privacy e docente universitario in materia di privacy presso l’Università Roma Tre, ha ottenuto insieme all’avvocato Emiliano Vitelli, sempre dello studio legale Di Resta Lawyers, un’importante sentenza al Tribunale di Roma nella quale si è affermata la responsabilità di due noti istituti di credito online. Il primo è stato condannato al risarcimento del danno per trattamento illecito dei dati personali ed il secondo per responsabilità del dipendente in relazione alla non corretta identificazione del correntista.
Racconta l’avvocato Di Resta: “La frode perpetrata ai danni del correntista era complessa, i frodatori, dapprima, erano riusciti a sostituire la Sim card telefonica, poi i cybercriminali erano riusciti ad captare la password per accedere al conto di home banking, l’ulteriore password, al fine di concludere la truffa e compiere le decisive movimentazioni, veniva comunicata da uno degli istituti bancari tramite sim card appositamente sostituita ed in possesso dei soli frodatori, acquisita anche questa erano riusciti ad ottenere oltre 110.000 euro bonificati in più operazioni su un altro conto corrente nella loro disponibilità”.
L’ulteriore abilità era che questo ultimo conto corrente era stato aperto tramite una carta di identità falsa, conto corrente intestato tramite questo documento falso sempre al medesimo correntista.
Lo schema di frode realizzata era piuttosto complesso afferma l’avvocato Di Resta, la sentenza è da considerarsi storica perchè apre la strada al risarcimento ai casi complessi come il c.d. sim swap fraud, ovvero schemi di frode nel quale viene disattivata la sim card contenuta nel cellulare del correntista e si sfruttavano le debolezze di sistema di sicurezza bancari poco sicuri.
Purtroppo, in precedenza i casi sim swap fraud, noti soprattutto all’estero, non venivano risarciti soprattutto le frodi riguardavano importi molto elevati come nel caso trattato, infatti, la tendenza degli istituti di credito era spesso di difendersi spostando le responsabilità o sul correntista stesso giocandosi la carta che trattandosi di tecniche di ingegneria sociale la vittima della frode era stata in qualche modo negligente fornendo le credenziali di accesso oppure sostenendo in alcuni casi che non era l’istituto bancario a dover rispondere del danno ma eventualmente la società telefonica, queste ultime come noto adottano protocolli meno sicuri rispetto agli standard imposti agli operatori bancari.
Con la recentissima sentenza del 31 agosto 2016 del Tribunale di Roma, con la quale la vittima è stata risarcita per oltre 130.000 euro, si afferma così in concreto un principio sacrosanto per i correntisti vittime di frode complesse come la sim swap fraud, in applicazione della normativa privacy e di quella sui servizi di pagamento nel mercato interno, una volta che il correntista abbia provato il danno, il nesso causale e disconosciuto le operazioni illecite, è l’istituto bancario a dover dimostrare di aver correttamente adempiuto le proprie obbligazioni attenendosi ai più alti standard del settore bancario.