Sim swap fraud e “vulnerabilità” delle operazioni di pagamento.



3 min read

Nota a ABF, Collegio di Napoli, 8 aprile 2021, n. 9557.

di Lucio Casalini

 

 

 

 

Con la decisione in epigrafe, il Collegio di Napoli dell’Arbitro Bancario e Finanziario accoglie il ricorso proposto da parte istante che riteneva di essere stata vittima di sim swap fraud. Difatti, dopo aver notato un malfunzionamento del proprio cellulare, parte ricorrente si rivolgeva al gestore telefonico che provvedeva alla sostituzione della sim ritenuta malfunzionante. Nello stesso lasso di tempo, tuttavia, venivano eseguiti bonifici per un valore complessivo pari ad € 8.000, avvalendosi della OTP ricevuta grazie all’abusivo impossessamento di una SIM associata al numero telefonico.

Ebbene, a fronte del disconoscimento di dette operazioni di pagamento da parte del ricorrente, rileva il Collegio che incombe sul prestatore di servizi di pagamento l’onere di provare che l’operazione è stata autenticata, correttamente registrata e contabilizzata ai sensi dell’art. 10, co. 1, d.lgs. n. 11/2010, come modificato dal d.lgs. n. 218/2017[1].

Segnatamente, nel caso di specie trova applicazione il comma 1, art. 10-bis, laddove prevede che i prestatori di servizi di pagamento applichino l’autenticazione forte del cliente qualora l’utente: a) acceda al suo conto di pagamento online; b) disponga un’operazione di pagamento elettronico; c) effettui qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi.

Il Collegio rileva che il sistema di autenticazione adottato dall’intermediario non è adeguato, ai fini della definizione delle responsabilità tra le parti, in quanto viene utilizzato lo stesso canale, potenzialmente compromesso, sul quale il cliente ha già ricevuto l’OTP dispositiva. Un punto cruciale, dunque, nella definizione dei sistemi di sicurezza è costituito dall’indipendenza dei diversi fattori. Così, l’intermediario, nel caso di sospetta frode, dovrebbe adottare altre misure che assicurino un effettivo controllo dell’identità del soggetto che ha eseguito l’operazione attraverso un fattore aggiuntivo indipendente da quelli già utilizzati per la sua autenticazione.

Nel caso in esame, la frode ha avuto luogo tramite un intervento sul numero di cellulare sul quale si fonda il sistema di autenticazione delle operazioni tramite home banking e la violazione di una singola misura di sicurezza ha compromesso anche l’affidabilità dell’altra. La piena operatività del sistema di autenticazione multi-fattore dovrebbe, invece, fondarsi sull’indipendenza tra le singole misure di sicurezza: l’esistenza di una relazione funzionale tra di esse consente di eludere il doppio controllo delle credenziali e rendere, nei fatti, il sistema di autenticazione (non più forte ma) debole[2].

Conclude, pertanto, il Collegio che non appaiono condivisibili le asserzioni dell’intermediario secondo cui il cliente sia incorso in colpa grave nella custodia dei codici personali e degli apparati informatici. Al contrario, la circostanza che l’intermediario si avvalga di una modalità di autenticazione che affida parzialmente a terzi soggetti la procedura che conduce all’esecuzione delle operazioni di pagamento, induce a ritenere pur sempre ascrivibile la riscontrata “vulnerabilità” della procedura all’organizzazione d’impresa dell’intermediario e, dunque, al rischio tipico dell’attività[3].

 

Qui la decisione.


[1] Ai sensi del quale “[q]ualora l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è onere del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”.

[2] Cfr. ABF Napoli, n. 13889/2019; ABF Milano, n. 1066/2019; ABF Torino, n. 25065/2018.

[3] Cfr. ABF Bari, n. 13399/19, in merito alla rilevanza dei “rischi tipici della sfera professionale di riferimento”, nella valutazione della condotta dell’intermediario.

Iscriviti al nostro canale Telegram 👇

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap