Sim Swap Fraud ed il risarcimento del correntista: paga la banca o la compagnia telefonica?

Il danno patito dal cliente vittima di una frode informatica da chi deve essere risarcito?

La fattispecie della Sim Swap Fraud, certamente più complessa rispetto a quella del phishing (truffa tramite e-mail), dello smishing (attacco tramite sms) o del vishing (attacco tramite chiamata telefonica), può essere così sintetizzata:

• il malintenzionato sottrae, generalmente per via telematica, i dati di accesso dell’utente alle app oppure ai servizi web di home banking (User ID e Password/PIN), e i dati anagrafici; si procura uno o più documenti di riconoscimento della vittima, anche reperendoli nel Deep Internet, ed inserisce accanto ai dati della vittima la propria effige o quella di un complice;
• il malintenzionato si reca poi presso la compagnia telefonica sulla quale la vittima appoggia l’utenza telefonica utilizzata per la fruizione dei servizi di credito e, dichiarando di aver smarrito la scheda SIM, si fa rilasciare un duplicato, oppure richiede la portabilità del numero di telefono ad altro operatore;
• il duplicato della SIM viene inserito all’interno di un telefono cellulare e, dopo il download dell’apposita app (oppure tramite il canale web), il truffatore sottrae anche la password “usa e getta” (SMS OTP) e conferma le disposizioni in modalità home banking.

Una recente pronuncia della giurisprudenza di merito ha affrontato proprio la fattispecie della Sim Swap Fraud (Tribunale di Taranto del 5 aprile 2024) e la questione circa il soggetto chiamato a risarcire il danno subito dal cliente.

La vicenda

In quel caso, il cliente (l’Ordine delle Professioni Infermieristiche della Provincia di Taranto) aveva convenuto in giudizio la Banca e la compagnia telefonica chiedendo la condanna di entrambe, per violazione dei rispettivi obblighi di diligenza professionale, al risarcimento dei danni subiti per l’illecito prelievo dal conto corrente senza il proprio consenso.

Tale prelievo, effettuato mediante sei operazioni di bonifico, era stato realizzato attraverso l’utilizzo di un duplicato della sim, avente lo stesso numero di utenza di cellulare autorizzata ad operare sul conto corrente, rilasciato dalla compagnia telefonica ai malfattori a seguito di una richiesta operata tramite la presentazione di documento di identità contraffatto.

La responsabilità (esclusa) della Banca

Parte attrice fondava la domanda risarcitoria nei confronti della Banca sulla violazione, da parte della stessa, dell’obbligo di diligenza professionale riguardante la protezione delle transazioni elettroniche dal rischio di esecuzione, da parte di terzi, di operazioni senza il consenso del titolare. Il Tribunale ha reputato infondata tale doglianza ritenendo che il CTU avesse accertato l’elevato livello di sicurezza delle transazioni elettroniche adottato dall’istituto bancario, con la predisposizione di una serie di protezioni dell’utente, sia statiche che dinamiche, conformi al regolamento UE 2018/389 (in particolare, il codice utente e pin, e l’OTP, nonché l’invio di un sms nel caso di operazioni ‘sospette’ contenente l’ulteriore codice necessario per eseguire l’operazione). Le sei operazioni, secondo il Giudice, sarebbero state eseguite correttamente, cosicché il sistema di protezione delle transazioni elettroniche poteva dirsi di livello elevato. Da qui il rilievo secondo il quale i prelievi fraudolenti sarebbero stati resi possibili senza l’autorizzazione del correntista non per falle nel sistema di protezione in uso alla banca, bensì per un fatto estraneo al controllo della stessa, rappresentato dalla duplicazione della scheda sim da parte del gestore telefonico ad un soggetto diverso dal titolare dell’utenza.

La responsabilità (accertata) del gestore telefonico

Al contrario, secondo il Tribunale, l’illecito accesso al conto corrente dell’attore sarebbe stato reso possibile, in via esclusiva, dalla condotta colposa imputabile al gestore telefonico. Tale condotta, secondo il Giudice, rappresenterebbe una “forza maggiore tale da escludere (in tal senso Cass. civ. n. 10836/2016), ai sensi dell’art. 1218 c.c.e dell’art. 2050 c.c., la configurabilità di un inadempimento contrattuale della Banca rispetto ai suoi obblighi di protezione del traffico elettronico dell’attore”.

E il correntista?

Secondo il Giudice non potrebbe, invece, addebitarsi al correntista la responsabilità per omessa custodia delle credenziali di accesso, o una qualsiasi condotta gravemente colposa idonea a causare da sé l’evento lesivo, avendo riguardo anche alla normativa di settore (si veda, al riguardo, il d. lgs. n. 11/2010).

L’onere della prova

Particolarmente interessante è il passaggio della sentenza laddove il Giudice ha rilevato che, poiché la domanda dell’attore era fondata sulla violazione di obblighi contrattuali di diligenza professionale a carico del proprio gestore telefonico, era onere di quest’ultimo provare che le illecite operazioni di bonifico erano state rese possibili per fatto a lui non imputabile o con il concorso colposo del cliente. In assenza di tale prova liberatoria, che imponeva di provare che il codice titolare e pin erano stati sottratti dai terzi malfattori a seguito di comportamenti colposi del cliente, il danno patito dall’attore va addebitato a fatto esclusivo colposo del gestore per avere rilasciato un duplicato della sim con il numero di utenza cellulare collegato al conto corrente intestato all’attore senza porre in essere alcuna cautela idonea ad accertare che il richiedente fosse anche il titolare dell’utenza telefonica. In particolare, il gestore:

• era in possesso del documento di identità genuino del cliente;
• non ha provveduto a confrontarlo con quello esibito dal richiedente il duplicato della sim;
• non ha richiesto né la restituzione della sim originale, né il deposito di una denuncia di smarrimento o sottrazione della stessa prima di consegnare il duplicato.

L’obbligo di identificazione degli abbonati

Secondo il Giudice, dunque, le operazioni fraudolente erano avvenute senza che fossero state forzate le procedure di identificazione e di accesso del sistema informatico della banca, ma solo a seguito della duplicazione della sim che ha consentito di operare, all’interno del sistema osservando tutte le corrette procedure.

In questo contesto, la pronuncia ricorda che sussiste un vero e proprio obbligo per gli operatori di telefonia mobile di identificare gli abbonati e gli acquirenti prima dell’attivazione del servizio (art. 5, co. 7 del d.lgs. n. 239/2003), così come anche per la mera sostituzione delle sim (cfr. art. 1 comma 46 della legge n.124 del 2017).

La conclusione

È stata così affermata la responsabilità del gestore telefonico per non aver opportunamente identificato il soggetto che aveva chiesto, ed ottenuto, la sostituzione della sim. La domanda dell’attore è stata accolta nei confronti, appunto, del solo gestore, con conseguente condanna dello stesso al pagamento della somma corrispondente all’addebito effettuato sul conto corrente.

Si segnala che già il Tribunale di Monza, con sentenza del 4 luglio 2022, aveva affermato che, qualora una compagnia telefonica, in spregio a quanto disposto dal d. lgs. n. 196/2003 come novellato dal d. lgs. n. 101/2018, in attuazione del Reg. EU 2016/679, abbia colposamente contribuito alla condotta dolosa del terzo beneficiario del bonifico fraudolento, non avendo assicurato alla cliente un'idonea protezione dei suoi dati, è responsabile per i danni derivanti a un utente vittima di una sim swap fraud.

In tema di responsabilità in caso di frodi informatiche, si veda anche Il cliente vittima di frode informatica deve essere risarcito dalla banca, Operazioni effettuate a mezzo di strumenti elettronici: la Banca deve dimostrare la riconducibilità dell’operazione al cliente nonché Phishing e frodi informatiche: chi deve dimostrare la riconducibilità dell’operazione al cliente?).