Sim swap fraud: l’onere della prova a carico dell’Intermediario.



9 min read

Nota a ABF, Collegio di Roma, 14 febbraio 2020, n. 2431.

di Antonio Zurlo

 

 

 

 

Le circostanze di fatto.

Il ricorrente chiedeva la restituzione della somma di denaro, corrispondente all’importo di due bonifici disconosciuti, eseguiti fraudolentemente da soggetti terzi non autorizzati, in seguito alla clonazione della sua SIM card. Più nello specifico, deduceva di aver scoperto, dopo l’infruttuoso tentativo di connettersi all’home banking dal proprio portatile, che l’accesso al conto risultasse bloccato, a partire dal 15 maggio 2019, a seguito di una frode realizzata, a suo danno, da terzi che avevano effettuato n. 2 bonifici fraudolenti verso l’estero, per un importo di ammontare complessivo pari a euro 34.676,82.

Le operazioni de quibus erano state ordinate tramite un cellulare “utilizzando l’applicazione mobile della banca o comunque il browser di un dispositivo cellulare”, con utilizzo di password dinamiche fornite dalla resistente tramite sms. Rilevato che nella propria scheda cliente risultasse inserito, quale numero di telefono principale, un’utenza sconosciuta e, al contempo, appreso che, in considerazione della natura sospetta delle operazioni, l’Intermediario avesse tentato, senza successo, di bloccarle e di contattare il ricorrente al numero di cellulare, l’istante ricollegava l’accadimento al fatto che, lo stesso giorno dell’effettuazione delle operazioni fraudolente, si fosse verificata una disattivazione della propria utenza telefonica, la cui corretta funzionalità era stata ripristinata solo nella giornata successiva. Il gestore telefonico confermava che, in data 15 maggio 2019, alle ore 13:10, la SIM in uso al ricorrente veniva sostituita con causale “sostituzione furto/smarrimento” e il relativo numero migrava su altra SIM card.

Ritenendo di essere stato vittima di una frode, il ricorrente sporgeva denuncia alle forze dell’ordine e presentava formale reclamo, riscontrato negativamente dall’Intermediario. In tal guisa, parte attrice  censurava la condotta della resistente, ritenuta omissiva di alcuni indici sintomatici di un’attività truffaldina; segnatamente: a) l’inserimento di un numero telefonico diverso; l’accesso al portale home banking per la prima volta tramite un’applicazione mobile o un browser diverso dal computer fino a quel momento utilizzato dal ricorrente; b) l’attivazione del servizio di OTP tramite sms in luogo dell’utilizzo del token fisico; c) la disposizione di due bonifici di importo rilevante a fronte di un’attività storica del conto del tutto ordinaria, aggravata dal fatto che i predetti indici si fossero manifestati nell’arco di poche ore.

L’istante rilevava, inoltre, che il blocco non fosse stato comunicato né sul numero di rete fissa, né, tantomeno, tramite mail.

Nelle controdeduzioni l’Intermediario deduceva di aver adottato un sistema di autenticazione “a due fattori”, che richiedeva l’inserimento delle credenziali di accesso per effettuare il login (numero cliente + Pin) e necessitava del Pin e dell’OTP per disporre le singole operazioni. Evidenziava come siffatto sistema sia pacificamente riconosciuto come sistema “forte” dai Collegi ABF[1] e che dovesse presumersi, non rilevandosi anomalie di sistema, che ci fosse stata una negligenza del cliente nella custodia delle credenziali necessarie a utilizzare i servizi di pagamento. A tal riguardo, allegava, a riprova, copia dei Log riferiti alla giornata del 15 maggio 2019, dai quali si ricavava il corretto inserimento di “Login name” e password necessari per l’autorizzazione delle disposizioni, nonché evidenza attestante la consegna, sempre nella giornata del 15 maggio 2019, tra le ore 13:30 e le ore 14:17, al numero del ricorrente di n. 2 messaggi relativi all’attivazione del mobile token, con il quale erano, poi, stati generati i codici OTP necessari per autorizzare i bonifici, e n. 2 messaggi relativi all’inserimento di bonifici, precisando anche che il motore antifrode, avendo intercettato le due operazioni di importo rilevante e ravvicinate nel tempo (disallineate rispetto all’operatività ordinaria), avesse innescato il blocco delle credenziali di accesso.

Nelle repliche, parte ricorrente affermava che il sistema di autenticazione forte avrebbe dovuto essere attivo non solo per le singole operazioni dispositive, ma anche per accedere all’area riservata, laddove, per contro, al momento dei fatti rappresentati, per accedere all’area clienti fosse sufficiente inserire il nome utente e la password, acquisendo così tutte le informazioni relative alla posizione del ricorrente: circostanza questa che, secondo lo stesso istante, avrebbe consentito ai criminali di farsi scaricare dal call center della resistente l’App generatrice dell’OTP, procedendo ai due bonifici e consumando, quindi, la truffa.

Nelle controrepliche, la resistente richiamava quanto affermato in sede di controdeduzioni, ribadendo che solo la condotta incauta del cliente avrebbe potuto permettere a soggetti terzi di apprendere le credenziali di accesso al sito e all’App, consentendo il perpetrarsi della frode. Inoltre, negava quanto indicato nelle repliche circa le modalità con cui l’App era stata scaricata, essendo non veritiere, poiché scaricabile esclusivamente dal cliente, in autonomia, riconosciuto in base alle credenziali riservate delle quali solo quest’ultimo è possessore (senza, quindi, alcun asserito intervento del Call center o della Banca in generale).

 

La decisione del Collegio.

Le operazioni contestate sono state effettuate sotto la vigenza del D.lgs. n. 11/2010, sì come modificato dal D.lgs. n. 218/2017, di recepimento della Direttiva 2015/2366/UE del Parlamento europeo e del Consiglio del 25 novembre 2015 (c.d. “PSD 2”). L’attuale formulazione dell’art. 12 del D.lgs. de quo prevede, testualmente, che «[…] 2-bis. Salvo il caso in cui abbia agito in modo fraudolento, il pagatore non sopporta alcuna perdita se il prestatore di servizi di pagamento non esige un’autenticazione forte del cliente. Il beneficiario o il prestatore di servizi di pagamento del beneficiario rimborsano il danno finanziario causato al prestatore di servizi di pagamento del pagatore se non accettano l’autenticazione forte del cliente. […] 4. Qualora abbia agito in modo fraudolento o non abbia adempiuto ad uno o più obblighi di cui all’articolo 7, con dolo o colpa grave, l’utente sopporta tutte le perdite derivanti da operazioni di pagamento non autorizzate.».

In altri termini, si stabilisce la responsabilità dell’Intermediario nel caso in cui quest’ultimo non abbia predisposto un sistema di autenticazione “forte”. Tale tipologia di autenticazione viene declinata nell’art. 1, lett. q) e q-bis), del D.lgs. (rubricato “Definizioni”), laddove si definisce per “autenticazione” «la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore (lettera q)» e per “autenticazione forte del cliente” «un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione (lettera q-bis).».

Siffatta definizione è ribadita anche negli Orientamenti finali sulla sicurezza via internet emanati dall’European Banking Authority (EBA).

Alla luce della previgente formulazione dell’art. 12, si era già ritenuto che, trattandosi di un fatto impeditivo dell’esercizio del diritto risarcitorio da parte del ricorrente, l’onere di provare la colpa grave (o, finanche, il dolo) di quest’ultimo dovesse gravare sull’Intermediario resistente, ai sensi del secondo comma dell’art. 2697 c.c.[2]. Secondo la giurisprudenza di legittimità, la colpa grave è costituita da una “straordinaria e inescusabile” imprudenza, negligenza o imperizia, che presuppone la violazione non solo della diligenza ordinaria del buon padre di famiglia (ex art. 1176, primo comma, c.c.), ma anche “quel grado minimo ed elementare di diligenza generalmente osservato da tutti[3]. La giurisprudenza arbitrale si è costantemente richiamata a tale orientamento[4].

L’onere di provare la colpa grave (o il dolo) di parte ricorrente in capo all’Intermediario resistente è stato esplicitamente affermato dal disposto dell’art. 10, secondo comma, D.lgs. n. 11/2010, così come modificato dal D.lgs. n. 218/2017, il quale statuisce che «quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzazione di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art. 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.».

Il Collegio di Coordinamento, con una recente decisione[5], nell’esaminare la specifica questione della portata del comma 2-ter dell’art 12, introdotto dal D.lgs. n. 218/2017, ha affermato, più in generale, che «il d.lgs. 15 dicembre 2017, n. 218 non modifica il regime della responsabilità né quello probatorio precedentemente applicati […]», osservando che «[…] resta invariato il principio secondo cui la responsabilità dell’utente non sussiste, salvo che nelle ipotesi in cui si accerti che egli abbia ‘agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’art. 7, con dolo o colpa grave’ (art. 12, comma 3).».

Ciò premesso e richiamata la disciplina applicabile, il Collegio romano ritiene il ricorso fondato, atteso che l’Intermediario non abbia fornito adeguata prova della colpa grave di parte ricorrente. Nel caso di specie, quest’ultimo risulta vittima della truffa denominata “sim swap fraud”, che consiste in un furto di identità tramite captazione dei dati di accesso relativi al conto home banking e conseguente sostituzione/contraffazione della SIM card telefonica. La frode ha avuto, dunque, luogo mediante un intervento sul numero di cellulare sul quale si fonda il sistema di autenticazione delle operazioni tramite home banking: la sostituzione della SIM card consente, di fatto, di bypassare il sistema di autenticazione a doppio fattore, poiché il c.d. codice OTP viene ricevuto da chi ha fraudolentemente carpito l’identità telefonica, ottenendo una nuova SIM, attiva e funzionante.

Dalle circostanze dedotte, non può ravvisarsi una colpa grave del cliente, per la captazione degli OTP. Difatti, per quanto riguarda le credenziali statiche di accesso (ovverosia, codice cliente e password), non si è ricostruito come potessero essere conosciute da persone diverse dal titolare, ma come è noto le tecniche di acquisizione dei codici identificativi personali sono sempre più sofisticate e tali da rendere possibile l’acquisizione di tali dati da parte di terzi, a prescindere da qualsiasi forma di negligenza del titolare, potendo essere carpiti dagli archivi delle banche, come pure dalle reti telematiche sulle quali transitano i flussi di informazioni[6]. Non può, pertanto, escludersi (e, da tale punto di vista, le affermazioni di parte resistente non appaiono dotate del necessario grado di fondatezza, ai fini dell’assolvimento dell’onere della prova, ex art. 2697 c.c.) che le credenziali statiche della carta siano state acquisite dal soggetto frodatore con modalità indipendenti da profili di colpa grave a carico del ricorrente (ai sensi del succitato art. 10, secondo comma, D.lgs. n. 11/2010).

Per questi motivi, il Collegio romano, in accoglimento del ricorso, dispone che l’intermediario corrisponda alla parte ricorrente la somma richiesta.

 

 

Qui la decisione.


[1] Cfr. ABF, Collegio di Roma, 21 febbraio 2019, n. 5565.

[2] Tale soluzione è stata espressamente affermata in ABF, Collegio di Coordinamento, 17 ottobre 2013, n. 5304.

[3] Cfr. Cass., 3 maggio 2011, n. 913; Cass. Civ., Sez. III, 19 novembre 2001, n. 14456, in dejure.it.

[4] Cfr. ABF, Collegio di Coordinamento, 17 ottobre 2013, n. 5304; ABF, Collegio di Coordinamento, 29 novembre 2013, n. 6168.

[5] Il riferimento è a ABF, Collegio di Coordinamento, 28 marzo 2019, n. 8553.

[6] Cfr. ABF, Collegio di Roma, 5 dicembre 2014, n. 8144; ABF, Collegio di Roma, 13 gennaio 2012, n. 82; ABF, Collegio di Milano, 14 marzo 2019, n. 7440.

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap