Nota ABF, Collegio di Roma, n. 20551 del 04 settembre 2019.
di Marzia Luceri
Il Collegio di Roma, con la decisione in commento, si è espresso su una controversia avente ad oggetto una nuova tecnica di truffa, la c.d. “SIM swap”, diffusasi in tempi relativamente recenti e in grado si aggirare il sistema di autenticazione con OTP.
Nella vicenda in esame, il ricorrente, titolare di un rapporto di conto corrente con servizio internet banking[1], chiedeva al Collegio ABF il rimborso della somma corrispondente all’importo di un bonifico disconosciuto effettuato sul proprio conto. Precisava che terzi ignoti e non autorizzati, per mezzo di un documento d’identità contraffatto, avevano sostituito la carta SIM del suo telefono cellulare, procedendo, in seguito, al perfezionamento dell’operazione oggetto della controversia.
In sede di controdeduzioni, l’intermediario richiamava gli obblighi di custodia che il cliente è tenuto a rispettare, affermando che l’operazione disconosciuta era stata effettuata attraverso l’inserimento di tutte le credenziali informatiche richieste. Chiedeva, pertanto, il rigetto del ricorso.
Prima di esaminare la decisione in commento, è opportuno definire la c.d. “SIM swap”.
Le modalità esecutive di tale tipo di frode sono delineate in un comunicato stampa diffuso dalla Polizia Postale in data 02.07.2018, richiamato anche in una precedente decisione ABF[2]: “[…] La SIM SWAP è una avanzata tipologia di frode informatica articolata in vari passaggi. Una volta individuata la vittima si procede alla acquisizione dei suoi dati e delle credenziali di home banking tramite tecniche di hacking ovvero di ingegneria sociale e, successivamente, utilizzando documenti falsificati ad hoc, si sostituisce la sim card della vittima e, attraverso lo stesso numero telefonico, si ottengono dalla banca le credenziali per operare sul conto corrente on line”.
Quindi, dopo aver ottenuto le informazioni necessarie, i malintenzionati si recano presso un dealer al fine di chiedere la sostituzione della carta SIM utilizzata dalla vittima con una seconda SIM che risulta attiva sul loro dispositivo telefonico.
Così facendo, “gli autori del reato penetra[no] nel sistema informatico dell’istituto di credito presso cui la vittima aveva acceso il conto corrente, riuscendo il più delle volte a reimpostare le credenziali di accesso attraverso una telefonata all’assistenza clienti, presentandosi come il titolare del conto e rispondendo alle varie domande di sicurezza”; dopo aver eseguito tali passaggi, procedono al perfezionamento delle operazioni online[3].
Risulta alquanto plausibile la circostanza per cui la persona offesa, nel momento in cui rileva il mancato funzionamento della propria carta SIM, non immagina di essere vittima di frode; nell’arco temporale che va dalla sostituzione della SIM alla scoperta della causa del suo malfunzionamento, i terzi ignoti eseguono una serie di operazioni indebite di cui la vittima acquisisce consapevolezza solo al momento della lettura dell’estratto del conto corrente.
La rapidità con cui si succedono le fasi della c.d. “SIM swap” non consente alla persona offesa di attivare tempestivamente i dispositivi di sicurezza.
In merito alla controversia oggetto della decisione in commento, il Collegio ABF di Roma fa presente che l’intermediario, ricorrendo ad un sistema di autenticazione dinamico basato sull’utilizzo della carta SIM, non può ravvisare la responsabilità di tale tipo di frode in capo al cliente dei servizi bancari perché il possesso della SIM non può essere univocamente attribuito al titolare del conto corrente.
Operando in tal modo, non ricorrendo a meccanismi aggiuntivi di verifica dell’identità del cliente – qualora vi sia una richiesta di sostituzione della carta SIM – la responsabilità rientra nel rischio d’impresa dell’intermediario, il quale ha omesso di cautelarsi di fronte alla possibilità che la carta SIM utilizzata per l’autenticazione dinamica possa essere sostituita fraudolentemente, così vanificando i presidi di sicurezza predisposti a tutela della clientela.
Richiamando una propria precedente decisione[4], il Collegio di Roma precisa, altresì, che la violazione di una singola misura di sicurezza ha compromesso anche l’affidabilità delle altre, “quando, al contrario, la piena operatività del sistema di autenticazione multifattore si fonda sull’indipendenza tra le singole misure di sicurezza”.
Ciò nonostante, in ultima analisi, l’Arbitro ravvisa un concorso di responsabilità: pur riconoscendo in maniera prevalente la responsabilità dell’intermediario, evidenzia come il ricorrente non abbia adempiuto in modo corretto gli obblighi di custodia del proprio codice identificativo e della password statica (conformemente a quanto asserito dal resistente nelle controdeduzioni).
Qui il testo della Decisione: ABF, Collegio di Roma, n. 20551 del 04 settembre 2019
[1] È opportuno precisare che, per l’utilizzazione del conto corrente con servizio internet banking, parte attrice aveva attivato il servizio “Secure Call”: ai fini del perfezionamento di una operazione online, è necessario che il cliente digiti non solo il proprio codice identificativo e la password personalizzata, ma anche un codice dinamico OTP, inviato sul proprio dispositivo al momento della conferma dell’operazione e che deve essere comunicato al numero verde dell’intermediario resistente.
[2] V. Collegio di Napoli, dec. n. 13889 del 04.06.2019
[3] Gli stessi possono disporre “bonifici e/o ricariche di carte prepagate in favore di altri conti correnti e/o carte prepagate nella loro disponibilità, in quanto appositamente accesi da complici e prestanome, così ostacolando l’identificazione della provenienza delittuosa delle somme e l’individuazione degli effettivi beneficiari dei proventi del reato attraverso il tracciamento dei flussi finanziari generati dall’operazione dispositiva indebita”.
[4] V. Collegio di Roma, dec. n. 11777/2019