Nota a ABF, Collegio di Napoli, 7 gennaio 2021, n. 306.
di Antonio Zurlo
La c.d. “Sim Swap Fraud” è una frode complessa, con la quale il truffatore sottrae vari dati generalmente per via telematica come, dati di accesso dell’utente alle app oppure ai servizi web di home banking (User ID e Password/PIN), dati anagrafici a esso riferibili, si procura uno o più documenti di riconoscimento della vittima (anche reperendoli nel deep internet). Il malintenzionato si reca presso il dealer telefonico su cui la vittima poggia l’utenza telefonica utilizzata per la fruizione dei servizi di credito e dichiarando, anche tramite apposito modulo, di aver smarrito la scheda SIM, si fa rilasciare un duplicato o, alternativamente, richiede la portabilità del numero di telefono ad altro operatore. Il duplicato della SIM viene inserito all’interno di un telefono cellulare e dopo il download dell’apposita app (oppure tramite il canale web), il malvivente carpisce anche la password “usa e getta” (c.d. OTS) e conferma le disposizioni in modalità home banking, ordinando bonifici.
Venendo al caso oggetto della controversia, la normativa stabilisce la responsabilità dell’intermediario laddove quest’ultimo non abbia predisposto un sistema di autenticazione forte, sì come declinata nell’art. 1, lett. q) e qbis), d. lgs. N. 11/2010; segnatamente: per “autenticazione” deve intendersi «la procedura che consente al prestatore di servizi di pagamento di verificare l’identità di un utente di servizi di pagamento o la validità dell’uso di uno specifico strumento di pagamento, incluse le relative credenziali di sicurezza personalizzate fornite dal prestatore (lettera q)»; per “autenticazione forte del cliente”, contrariamente, «un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente), che sono indipendenti, in quanto la violazione di uno non compromette l’affidabilità degli altri, e che è concepita in modo tale da tutelare la riservatezza dei dati di autenticazione (lettera qbis).». Definizione ribadita anche dagli Orientamenti finali sulla sicurezza via internet emanati dall’EBA.
L’onere di provare la colpa grave (o, addirittura, il dolo) del ricorrente grava sull’intermediario resistente, sì come, peraltro, espressamente affermato dal Collegio di Coordinamento[1]. A tal riguardo, secondo la giurisprudenza di legittimità, la colpa grave è costituita da una «straordinaria e inescusabile» imprudenza, negligenza o imperizia, la quale presuppone che sia stata violata non solo la diligenza ordinaria del buon padre di famiglia, di cui all’art. 1176, primo comma, c.c., ma anche «quel grado minimo ed elementare di diligenza generalmente osservato da tutti»[2]. L’onere di provare la colpa grave (o addirittura il dolo) della parte ricorrente da parte dell’intermediario resistente è chiaramente affermato dal disposto dell’art. 10, secondo comma, d.lgs. n. 11/2010, il quale statuisce che «quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzazione di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o più degli obblighi di cui all’art. 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente.». Sul punto, il Collegio di Coordinamento[3] ha affermato più in generale che «il d.lgs. 15 dicembre 2017, n. 218 non modifica il regime della responsabilità né quello probatorio precedentemente applicati», osservando, per di più, che «[…] resta invariato il principio secondo cui la responsabilità dell’utente non sussiste, salvo che nelle ipotesi in cui si accerti che egli abbia ‘agito in modo fraudolento o non abbia adempiuto a uno o più degli obblighi di cui all’art. 7, con dolo o colpa grave’ (art. 12, comma 3).».
La stessa giurisprudenza di merito, in più occasioni ha evidenziato che «La società che non abbia impedito a terzi di introdursi illecitamente nel conto corrente online di un cliente è responsabile di aver cagionato un danno al proprio risparmiatore, pertanto, va condannata al risarcimento del danno subito dal correntista»[4]. Ed ancora, il d. lgs. n. 11/2010 «prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio. Nel contempo obbliga quest’ultimo a rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode, e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare, anche in un momento successivo, che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, dall’utilizzatore, la restituzione dell’importo rimborsato. Agli istituti bancari, da considerare debitori qualificati ex art. 1176, comma 2, c.c., si richiede un elevatissimo livello di diligenza, la c.d. «diligenza del buon banchiere»[5].
Nell’adempimento delle obbligazioni inerenti all’esercizio di un’attività professionale, la diligenza deve valutarsi con riguardo alla natura dell’attività esercitata, ai sensi dell’art. 1176, secondo comma, c.c.; in particolare, nel rapporto contrattuale di home banking, la banca ha la veste di contraente qualificato, che, non ignaro delle modalità di frode mediante phishing da tempo note, è tenuto ad adeguarsi all’evoluzione dei nuovi sistemi di sicurezza[6]. La Suprema Corte, in una recente pronuncia[7], ha stabilito che «in tema di responsabilità della banca, ovvero dell’erogatore del corrispondente servizio, in caso di operazioni effettuate a mezzo di strumenti elettronici, anche al fine di garantire la fiducia degli utenti nella sicurezza del sistema, è del tutto ragionevole ricondurre nell’area del rischio professionale del prestatore dei servizi di pagamento – prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente – la possibilità di un’utilizzazione dei codici di accesso al sistema da parte di terzi, non attribuibile a dolo del titolare o a comportamenti talmente incauti da non poter essere fronteggiati in anticipo.». Di conseguenza, «l’erogatore di servizi, cui è richiesta una diligenza di natura tecnica, da valutarsi con il parametro dell’accorto banchiere, è tenuto a fornire la prova della riconducibilità dell’operazione al cliente»[8].
Nel caso in esame, la frode risulta avere avuto luogo tramite un intervento sul numero di cellulare del ricorrente, sul quale si basa il sistema di autenticazione delle operazioni tramite home banking. L’OTP è un sistema di controllo dell’identità dinamico e monouso, consistente in un codice alfanumerico, generato da un algoritmo, trasmesso all’utente su un canale fuori banda (nella specie, messaggistica SMS), per cui è sempre necessaria, ai fini della sua utilizzazione, una tecnologia supplementare (per esempio, ITC mobile o token). Dalla descritta logica di autenticazione, consegue che l’operazione di modifica dell’utenza telefonica sulla quale ricevere la OTP o la semplice possibilità di venire a conoscenza del numero di telefono, può rischiare di svuotare la password dinamica della propria funzione protettiva di verificare la genuinità dell’operazione e, dunque, costituisce, di per sé, un’operazione o una situazione anomala. Dalla narrativa di entrambe le parti, emerge che agli autori della sottrazione è stato sufficiente ottenere le credenziali statiche per poter sia accedere al portale del titolare, sia di venire a conoscenza del numero di utenza cui vengono inviati i codici alfanumerici, che intervenire sulla relativa SIM e appropriarsi di questi ultimi. In altri termini, la violazione di una singola misura di sicurezza ha compromesso anche l’affidabilità dell’altra, quando, al contrario, la piena operatività del sistema di autenticazione multifattore si fonda sull’indipendenza tra le singole misure di sicurezza[9].
Questo Collegio ha rilevato che, anche qualora l’intermediario affermi che il sistema di sicurezza adottato sia altamente sofisticato, in quanto “a due fattori”, sia evidente come esso si venga, in definitiva, a basare sull’operatività del sistema telefonico e sulla relativa garanzia di sicurezza ad opera del gestore del relativo servizio.
Quasi in una riproposizione attualizzata e contestualizzata di un verso dantesco[10], l’ABF giunge ad addebitare all’intermediario una responsabilità oggettiva da “scelta del mezzo”. Difatti, delle possibili disfunzioni di quest’ultimo l’intermediario non possa far carico al cliente, dato che, avendo prescelto un simile sistema di garanzia delle operazioni, solo su di lui deve gravare ogni responsabilità (nei confronti del cliente) connessa anche al verificarsi di modalità anomale di gestione del servizio (le cui ricadute dannose, in conseguenza dei propri eventuali oneri risarcitori nei confronti di clienti, sono ovviamente destinate ad essere regolate, poi, nell’ambito dei rapporti contrattuali con il gestore stesso)[11]. L’esistenza di una relazione funzionale tra di esse consente di eludere il doppio controllo delle credenziali e rendere, nei fatti, il sistema di autenticazione (non più forte ma) debole. La portata dirimente del suddetto requisito di indipendenza tra misure di sicurezza è del resto riconosciuta anche dalla Direttiva 2015/2366/UE, che lo prescrive come caratteristica obbligatoria del rapporto tra singole misure di sicurezza di un sistema di autenticazione forte.
[1] Il riferimento è a ABF, Collegio di Coordinamento, 17 ottobre 2013, n. 5304.
[2] Cfr. Cass., 3 maggio 2011, n. 913; Cass., 19 novembre 2001, n. 14456.
[3] Il riferimento è a ABF, Collegio di Coordinamento, 28 marzo 2019, n. 8553.
[4] Cfr. Trib. Palermo, 20 dicembre 2009; Trib. Nocera Inferiore, 15 settembre 2011, n. 816.
[5] V. Trib. Roma, 31 agosto 2016.
[6] Cfr. Trib. Milano, 4 dicembre 2014.
[7] V. Cass. 26 novembre 2020, n. 26916.
[8] Cfr. Cass., 3 febbraio 2017, n. 2950; Cass., 5 luglio 2019, n. 18045.
[9] Cfr. ABF, Collegio di Milano, n. 1066/2019; ABF, Collegio di Milano, n. 5895/2020.
[10] Il riferimento è ai versi 20 – 21 del Canto XXIX dell’Inferno: «credo ch’un spirto del mio sangue pianga la colpa che là giù cotanto costa».
[11] Cfr. ABF, Collegio di Napoli, n. 2173/2020; ABF, Collegio di Napoli, n. 7731/2014.