Una nuova vittoria contro la Sim Swap Fraud
Una recentissima pronuncia dell’Arbitro Bancario Finanziario (Collegio di Roma n. 19082 del 29 ottobre 2020) ha condannato una nota banca online alla restituzione al proprio correntista, assistito dallo Studio legale Vitelli, della somma di 60.000,00 euro che erano stati illecitamente sottratti grazie ad una articolata operazione di frode informatica bancaria.
Questa pronuncia conferma due importanti circostanze:
- le truffe informatiche bancarie continuano ad essere sempre più frequenti e di importi anche considerevoli;
- per il correntista, utente o azienda che sia, esistono gli strumenti normativi e tecnici per difendersi.
L’Abi Lab, nello studio pubblicato nel 2019, la classifica, infatti, tra i principali fenomeni rilevanti nel settore mobile, evidenziando che il 90% degli istituti di credito e operatori rispondenti ai questionari hanno segnalato tentativi di frode di Sim Swap e il 40% di questi ha subito perdite effettive
D’altra parte, va anche ricordato che il problema della sicurezza informatica nelle transazioni bancarie non può limitarsi alle sole misure tecnologiche, ma deve necessariamente fondarsi su un approccio ben più articolato che, per il sistema bancario, deve avere come elemento fondante la direttiva c.d. PSD2 entrata in vigore il 14 settembre 2019, il D.lgs 11/10 come modificato proprio dalla direttiva, nonché il Regolamento 679/216.
Il Fatto.
Un noto professionista apriva un conto corrente presso l’istituto di credito online senza mai riscontrare alcun problema.
Un giorno si vede costretto a recarsi presso il negozio del proprio operatore telefonico in quanto il proprio smartphone non riceve ed esegue le chiamate e non si connette alla rete. In tutte queste occasioni l’assistenza provvede a sostituire la sim e, pertanto riportando il telefono cellulare al pieno funzionamento. Questa circostanza si ripente più di una volta nell’arco della settimana.
In quel periodo riceve anche un sms da parte della banca per la conferma di un bonifico di 32.000,00, circostanza che viene negata immediatamente.
Successivamente durante un controllo ordinario sul proprio conto corrente si avvede che in quei giorni, sono state autorizzate ed eseguite svariate operazioni bancarie e che gli sono stati sottratti 60.000,00.
Il professionista è stato vittima della tipica frode bancaria denominata Sim Swap Fraud (cioè la frode per mezzo dello scambio delle sim).
Come funziona la truffa.
Questa frode informatica è altamente complessa in quanto comporta il coinvolgimento di più persone, più istituti di credito ed una profonda conoscenza delle dinamiche di sicurezza bancarie.
Il truffatore, infatti, riesce a carpire le credenziali di accesso al conto corrente online e, per mezzo dei dati personali, ivi compreso il numero di telefono, eventualmente anche appresi nella pagina di homebanking (come è avvenuto nel caso oggetto della pronuncia) è in grado di creare un documento di identità falso.
Con la nuova carta di identità e con il numero di telefono della vittima riesce (sostenendo di aver subito un furto, una perdita o un danneggiamento) a farsi consegnare una nuova sim collegata all’utenza telefonica della vittima medesima.
A questo punto per i criminali è sufficiente accedere nell’hombanking del correntista, eseguire tutte le operazioni bancarie, confermando i messaggi inviati all’utenza telefonica collegata al conto che tuttavia non giungono al telefono del correntista (che come su indicato appare non funzionante), ma al telefono con la nuova sim in possesso dei truffatori e, infine, sparire con il denaro.
Le norme che tutelano il correntista.
Il rimedio di base è nell’art. 11 d.lgs. 11/2010 (riformato dall’art. 73 della PSD2) che prevede l’immediato ripristino da parte dell’istituto bancario del conto dell’utente, al momento del disconoscimento dell’operazione di pagamento non autorizzata.
La norma stabilisce, infatti, che grava in capo alla banca l’onere di provare la negligenza, la colpa grave o il dolo del correntista.
A tale previsione si somma anche quella di cui all’art. 10 bis della direttiva PSD2 che impone agli intermediari finanziari di porre in essere tutte le misure volte a garantire la sicurezza degli utenti, in particolare adottando tecniche di autenticazione forte (cioè capaci di garantire l’assoluta certezza del soggetto che esegue l’operazione) connessi a sistemi (efficaci) di comunicazione multicanale vero i correntisti (cioè tra loro indipendenti e non tutti quindi contemporaneamente violabili).
Sul punto può essere richiamata una, ormai nota, sentenza del Tribunale di Parma (n. 1268/2018) che ha condannato una banca alle dovute restituzioni per operazioni bancarie non autorizzate, proprio confermando che “spetta alla banca fornire la prova del corretto funzionamento del proprio sistema e, quindi, della riconducibilità dell’operazione al correntista che l’abbia disconosciuta.”
Pronuncia che si allinea pienamente con l’indirizzo maggioritario della giurisprudenza di legittimità e con un’altra sentenza, anch’essa ormai di scuola, emessa dal Tribunale di Roma (sentenza n. 16221 del 31/08/2016)
Allo stesso modo, anche il GDPR trova rilevante applicazione imponendo, ai sensi dell’art. 32 l’adozione di adeguate misure di sicurezza tecniche ed organizzative. Misure che essendo inserite nel contesto normativo dominato dal principio di accountability impongono al titolare del trattamento (quindi la banca) l’onere di dimostrare che l’evento dannoso subito dal correntista non gli sia in alcun modo imputabile dovendo essere in grado di documentare le proprie scelte in relazione alla tutela della riservatezza della disponibilità e dell’integrità del dato personale (di cui al conto corrente) e conseguentemente che l’operazione di pagamento posta in essere da parte dell’utente tramite sia stata autorizzata correttamente.
Cosa deve fare il correntista
Se questa è la norma di riferimento è comunque necessario che il correntista agisca subito con tutti gli strumenti a propria disposizione. Strumenti che sono sia giuridici che informatici.
In primo luogo occorre immediatamente:
- Disconoscere le operazioni bancarie non autorizzate;
- Depositare idonea e articolata denuncia querela;
- Acquisire tutte le informazioni necessarie per la difesa.
Nel caso dei fatti di cui alla decisione su richiamata dell’ABF è stato fondamentale procedere attraverso una organizzata e complessa attività ed in particolare con:
- Richiesta accesso dati bancari ex art. 119 T.U.B.;
- Richiesta accesso dati personali ex art. 15 Reg. UE 679/2016;
- Indagini difensive penali (con collaborazione del Pubblico Ministero, titolare del procedimento) affinché si raccogliesse tutta la ulteriore documentazione anche tecnica.
Dal punto di vista procedurale alla vittima si pongono due strade:
- Nel caso la frode sia sotto i 100.000,00 mila euro è possibile adire l’Adbitro Bancario Finanziario (procedura fondata esclusivamente su prove documentali, veloce, poco costosa, che punta alla sola restituzione degli importi sottratti);
- Il giudizio ordinario, che ha i costi ed i tempi di un processo civile, che permette non solo di richiedere gli eventuali risarcimenti danni, ma anche di avere molto più spazio sotto il profilo della prova.
Conclusioni
Purtroppo le frodi telematiche ed i furti di identità sono sempre più frequenti ed è necessario che tanto le istituzioni (pubbliche e privati) quanto gli utenti facciano sempre molta attenzione. Le banche ed i conti correnti sono certamente obiettivi frequenti, ma quando lo scopo diviene la sottrazioni di informazioni e dati personali anche le aziende diventano target di attacco.
Ancora una volta, quindi, si deve sottolineare che se certamente abbiamo gli strumenti per difenderci in caso di frodi informatiche così complesse e articolare, la soluzione migliore è quella di predisporre a monte (gli istituti bancari in primis) tutte le difese tecniche ed organizzative tali affinché si possa minimizzare il più possibile il rischio di subire violazioni di dati e sottrazioni di denaro, talvolta anche di notevoli entità.
Giorni e Orari
Dal Lunedì al Venerdì
15:00 - 18:30
Mercoledì chiuso
Dove Siamo
Il nostro studio
si trova a Latina,
in Via Satrico, n. 14
Recapiti
Contattaci all'indirizzo
ev@studiolegalevitelli.it
o compila il form di contatto