Avv. Simona Zuccarini - Home banking e sim swap

Home banking e sim swap: responsabilità della banca e risarcimento

A chi può rivolgersi il correntista quando il suo conto corrente on-line viene svuotato da terzi che hanno “rubato” la sua identità?

In questo articolo ci occuperemo delle vittime di frodi on-line (in particolare della cd. “sim swap fraud“), ovvero di coloro che vivono la sgradevole esperienza di vedere il proprio conto corrente svuotato in un “click” ad opera di terzi che si appropriano illecitamente del loro numero di telefono.

Partendo dall’analisi di un caso concreto affrontato dallo Studio, analizzeremo quali sono le possibili forme di tutela previste dal nostro ordinamento non tanto nei confronti dei “truffatori” (che sono, di norma, soggetti che non possono garantire alcun risarcimento alle loro vittime), ma soprattutto nei confronti degli istituti di credito (tenuti a garantire che il sistema operativo messo a disposizione dell’utenza sia sicuro).


§ 1. Cos’è l’home banking?

L’home banking o internet banking (in italiano telebanca o banca a domicilio) indica quei servizi bancari che consentono al cliente di effettuare operazioni (quali depositi, bonifici, ricariche telefoniche) da casa o dall’ufficio, mediante collegamento telematico.

Anche detta banca online o banca via internet, prevede che le operazioni bancarie siano effettuate dai clienti degli istituti di credito tramite una connessione remota; funzionalità resasi possibile con la nascita e lo sviluppo di internet e delle reti di telefonia cellulare.

L’utilizzo di queste modalità operative ha peraltro conosciuto nell’ultimo anno un enorme incremento, legato alla situazione emergenziale Covid-19 e alla conseguente necessità per l’utenza di gestire “a distanza” ogni tipo di rapporto (compreso quello con la propria Banca).

§ 2. Perdere i risparmi di una vita in un attimo con l’home banking: esame di un caso concreto di “sim swap”

Il presente approfondimento prende spunto dalla triste esperienza vissuta da due coniugi abruzzesi, contitolari di un conto corrente on-line, che si sono rivolti al nostro Studio Legale per essere tutelati nell’ambito della vicenda qui di seguito riassunta.

Una mattina d’autunno del 2019, i coniugi si sono accorti dell’assenza di segnale del loro smartphone. Pensando si trattasse di un banale problema tecnico, hanno immediatamente contattato il gestore di telefonia mobile, che riferiva loro che nel tardo pomeriggio del giorno precedente era stata operata una sostituzione della sim (cd. “sim swap“); sostituzione, in realtà, mai richiesta dagli intestatari della scheda.

Visto che la sim era collegata al loro conto corrente on-line, i coniugi si sono immediatamente allarmati ed hanno quindi controllato il conto accendendovi tramite computer. Ebbene: il conto era stato completamente svuotato tramite due bonifici istantanei effettuati a loro insaputa in favore di individuo sconosciuto.

I coniugi non hanno impiegato molto per capire di essere stati vittime di frode informatica (la cosiddetta truffa ‘sim swap’, in italiano ‘cambio della sim’), così hanno subito formalizzato in Banca il disconoscimento delle due operazioni di pagamento, denunciando contestualmente il fatto ai Carabinieri.

§ 3. La truffa “sim swap” (ovvero tramite sostituzione della sim)

La truffa “sim swap” è una tipologia di frode informatica articolata in vari passaggi:

  • il punto di partenza è rappresentato dal furto delle credenziali di home banking della vittima, tramite attacco hacker (per cui è indispensabile che i dispositivi elettronici che utilizziamo per accedere ai nostri conti on-line siano adeguatamente protetti da validi antivirus);
  • il secondo momento di questa frode è rappresentato dal furto di identità: presentando al gestore di telefonia mobile documenti falsi, il truffatore chiede il rilascio di una nuova sim card in sostituzione di quella in uso alla vittima (di cui denuncia falsamente lo smarrimento ovvero la distruzione accidentale);
  • infine, utilizzando la sim card così ottenuta (e dunque il numero di telefono cellulare della vittima), il truffatore riceve dalla banca le ulteriori credenziali necessarie per operare sul conto corrente online.

Il numero di telefono è, infatti, il canale normalmente utilizzato dalle banche per comunicare codici temporanei da inserire al momento della disposizione bancaria, oltre che per notificare i movimenti e per operare controlli di sicurezza. Una volta ottenuta la sostituzione della sim, però, tutti i messaggi e le chiamate di verifica arrivano a chi sta commettendo il reato, e non al reale intestatario dell’utenza e del conto corrente ad essa collegato.

La pericolosità di questa truffa sta, dunque, nel superamento del secondo fattore di autenticazione, legato al numero di telefono e questo apre il complicato capitolo della individuazione del soggetto tenuto alla restituzione del denaro fraudolentemente sottratto.

Hai bisogno di supporto in materia di truffe on-line o sim swap fraud?

§ 4. Frode informatica da “sim swap”: la Banca è davvero estranea?

Il nostro sistema normativo prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento, l’onere di provare la genuinità della transazione ricade sul prestatore del servizio. E’ dunque la Banca a dover provare di aver assicurato tutte le misure idonee a garantire la sicurezza dell’operazione via home banking, garantendo sistemi di autenticazione forti e comunque una struttura organizzativa adeguata a garantire la sicurezza dei pagamenti on-line.

Quanto accaduto alla coppia assistita dal nostro Studio rivela, invece, la estrema vulnerabilità del sistema, risultato inidoneo ad impedire a terzi di introdursi illecitamente nel rapporto di conto corrente e di eseguire operazioni tali da portare ad uno svuotamento del conto in pochissimo tempo. Né la Banca è stata in grado di individuare e bloccare le operazioni, benché sospette e nonostante la pronta reazione dei titolari del conto.

§ 5. Banca e clienti truffati: quali strumenti di tutela?

Alla luce delle considerazioni esposte nel paragrafo che precede, e fermo restando che ogni caso va valutato in relazione alle sue concrete caratteristiche, possiamo quindi sostenere che gli istituti di credito possono essere ritenuti senz’altro responsabili nei confronti dei loro clienti vittime di frode informatica da “sim swap”, ove non siano in grado di dimostrare di aver adottato e garantito quei sistemi di autenticazione forti che la normativa nazionale ed europea impongono in materia di home banking.

Ma quali – in concreto – sono gli strumenti di tutela del “piccolo” correntista truffato nei confronti delle “grandi” banche?

Ai sensi del D.Lgs. n. 28/2010, chi intende esercitare in giudizio un’azione relativa ad una controversia in materia di contratti bancari è tenuto preliminarmente ad esperire il procedimento di mediazione obbligatoria, che rappresenta una condizione di procedibilità della domanda giudiziale.

Un’ulteriore opportunità di tutela stragiudiziale da tenere in debita considerazione è rappresentata dal ricorso all’Arbitro Bancario Finanziario. Questo strumento di tutela, peraltro, qualora non si raggiunga il risultato sperato e si renda necessario rivolgersi al giudice, è valido ai fini della mediazione obbligatoria. Il che significa, in pratica, che dopo l’arbitrato, sarà possibile agire in giudizio senza passare per la fase della mediazione.

§ 6. Cos’è e come funziona l’Arbitrato Bancario Finanziario (ABF)

Il ricorso all’Arbitro Bancario Finanziario (ABF) rappresenta un sistema di risoluzione alternativa delle controversie che possono sorgere tra i clienti e le banche e gli altri intermediari in materia di operazioni e servizi bancari e finanziari.
L’ABF è un organismo indipendente e imparziale nei compiti e nelle decisioni, sostenuto nel suo funzionamento dalla Banca d’Italia, che decide sui ricorsi che gli vengono sottoposti sulla base della documentazione prodotta dalle parti (ricorrente e intermediario).

Le decisioni dell’ABF non sono vincolanti come quelle del giudice ma, se l’intermediario non le rispetta, la notizia del loro inadempimento è resa pubblica.
Per poter ricorrere all’ABF il correntista deve dimostrare di aver già tentato di risolvere la controversia direttamente con la Banca, tramite reclamo scritto non andato a buon fine.

Se la decisione dell’ABF non è ritenuta soddisfacente, sia il correntista che l’intermediario possono rivolgersi al giudice per tutelare i propri diritti (ma il giudice non potrà non considerare e valutare sia gli atti che gli esiti dell’arbitrato svolto).

§ 7. Sim swap: tutto è bene, quel che finisce bene!

Tornando al caso concreto che è stato gestito dal nostro Studio, scopriamo qual è stato l’epilogo della vicenda.

Subìta la truffa informatica, i correntisti, riponendo fiducia nella Banca che da sempre aveva “accompagnato” la loro vita familiare, hanno dapprima tentato di risolvere personalmente la questione proponendo reclamo. Detto reclamo è stato però rigettato sul presupposto che le operazioni contestate erano state disposte con le giuste credenziali.

Resisi ben presto conto di essere dei semplici “numeri” per la loro “storica” interlocutrice, i coniugi hanno deciso di ribadire le proprie richieste tramite il nostro Studio Legale che, fallito ogni tentativo di risoluzione bonaria, ha presentato per loro conto un ricorso dinanzi all’ABF.

Successivamente alla instaurazione dell’arbitrato, e prima ancora che lo stesso venisse deciso, la Banca ha finalmente dimostrato ampia disponibilità a definire il contenzioso, creando così i presupposti per il raggiungimento di un soddisfacente accordo stragiudiziale. Il tutto in un lasso di tempo estremamente ridotto rispetto alle tempistiche connesse alla celebrazione di un giudizio: in soli tre mesi dalla presentazione del ricorso all’ABF, infatti, si è avuta la conclusione dell’accordo transattivo ed il rimborso delle cifre pattuite sul conto corrente dei clienti.

Si sta attualmente valutando l’opportunità di agire (non appena sarà possibile accedere alle risultanze del procedimento penale, allo stato in fase di indagine preliminare) per essere risarciti anche dall’operatore di telefonia mobile, ritenuta la sua corresponsabilità rispetto al comportamento illecito messo in atto dai truffatori. L’operatore ha in effetti rilasciato con estrema leggerezza il duplicato della sim, senza accertarsi della effettiva provenienza della relativa richiesta da parte del titolare della scheda (sarebbe bastata una telefonata o un sms che preannunciasse la sua sostituzione); il tutto nella consapevolezza delle funzioni oggi svolte dalle sim, divenute tutt’altro che semplice tessere telefoniche.

Ti è piaciuto l’articolo? Condividilo sui Social