Sim Swap Fraud: una frode telematica bancaria estremamente insidiosa
Il presente articolo viene scritto a seguito di un approfondito esame delle recenti ricerche tecnico-giuridiche e delle nuove proposte del Centro europeo per la privacy (EPCE), associazione specializzata in ambito protezione dati personali con particolare riguardo al settore sanitario e bancario e ai cybercrimes.
La tematica qui analizzata è quella relativa alle frodi telematiche bancarie collegate al tema della Sim Swap Fraud.
Secondo la nota diramata in data 15 marzo 2020 sul sito internet istituzionale della Polizia Postale, le restrizioni imposte alla circolazione delle persone dalle misure di contenimento, dettate al fine di arginare l’attuale crisi sanitaria, hanno portato a un aumento considerevole dei reati informatici.
Parrebbe quindi che le organizzazioni criminali, nell’impossibilità di promuovere le proprie attività nelle forme, per così dire “più tradizionali”, abbiano concentrato i propri sforzi su iniziative di cyber crime; fenomeno già purtroppo noto e diffuso nel nostro Paese.
Naturalmente e per ovvie ragioni tra i settori colpiti da tale tipologia di reati vi sono i servizi a distanza erogati dagli operatori bancari.
A tale proposito, sono ormai numerose le tecniche attraverso le quali i malfattori provano a carpire le informazioni di accesso all’utenza home banking degli utenti, allo scopo di sottrarre loro denaro.
Tra le varie condotte escogitate, quella che sta conoscendo maggior diffusione e desta, pertanto, maggiori allarmi è la così detta Sim Swap Fraud.
Si tratta di una frode complessa, che sfrutta il diffuso ricorso alla tecnologia mobile nella fruizione dei servizi di credito sia per l’accesso ai dati sia per la conferma delle disposizioni. Inizialmente il malintenzionato, dopo aver sottratto vari dati – come dati di accesso dell’utente alle app oppure ai servizi web di home banking (User ID e Password/PIN) o dati anagrafici ad essi riferibili – si procura uno o più documenti di riconoscimento della vittima, anche reperendoli ad esempio nel deep internet con un “investimento” nell’ordine di qualche centinaio di euro, ovvero sottraendoli presso vari archivi informatici o cartacei di pubbliche amministrazioni e privati.
Recuperato il documento anagrafico del malcapitato, il truffatore provvede alla sua contraffazione inserendo, accanto ai dati della vittima, la propria effige o quella di un complice. A questo punto il malintenzionato si reca presso il Dealer su cui la vittima appoggia l’utenza telefonica utilizzata per la fruizione dei servizi di credito e dichiarando, anche tramite apposito modulo, di aver smarrito la scheda SIM, si fa rilasciare un duplicato dalla stessa che inserisce all’interno di un telefono cellulare sul quale, dopo aver effettuato il download dell’apposita app oppure tramite il canale web, può comunque utilizzare per la ricezione delle password “usa e getta” (SMS OTP) confermando le disposizioni in modalità home banking, realizzando pertanto la sottrazione di denaro con disposizioni nei confronti di terzi.
La Sim Swap Fraud è certamente una frode telematica estremamente insidiosa e diffusa; la sua pericolosità è caratterizzata dal fatto che in molti casi la frode viene realizzata tramite bonifici immediati non revocabili, tanto che un controllo di tali operazioni, anche se effettuato pressoché nell’immediatezza dal correntista e comunicato alla banca, comporta difficoltà spesso insormontabili del recupero delle somme sottratte illegalmente. L’Abi Lab, nello studio pubblicato nel 2019, la classifica, infatti, tra i principali fenomeni rilevanti nel settore mobile, evidenziando che il 90% degli istituti di credito e operatori rispondenti ai questionari hanno segnalato tentativi di frode di Sim Swap e il 40% di questi ha subito perdite effettive.
A fronte dell’insidiosità di tali reati e del loro progressivo aumento, registrato soprattutto in quest’ultimo periodo, si avverte che il fenomeno rischia di avere un’incidenza significativa nei confronti degli utenti finali che, pertanto, necessitano di forme adeguate di tutela.
La responsabilità degli intermediari finanziari in caso di frode all’utenza è disciplinata dai D.lgs. 27 gennaio 2010, n. 11 e D.lgs. n. 218 del 15 dicembre 2017, con i quali il legislatore ha dato attuazione alle due direttive sugli strumenti di pagamento (PSD1 e PSD2), nonché dalle disposizioni in tema di diritto della protezione dei dati personali, oggi disciplinato dal D. Lgs. 196/2003 (Codice della Privacy) per come novellato dal D. Lgs. 101/2018 e in attuazione del Reg. EU 2016/679 (GDPR).
Attualmente la pietra angolare della disciplina in tema di riparto dell’onere della prova e di imputabilità del fatto è costituita, in particolare, dall’interpretazione di due disposizioni che si rinvengono nel citato D. Lgs. 11/2010, per come novellato dal D. Lgs. 218/2017: la prima è inserita nel testo dell’art. 10, il quale dispone che, nell’ipotesi di disconoscimento dell’operazione da parte dell’utente, è il prestatore di servizi di pagamento a dover assolvere l’onere di fornire la prova della frode, del dolo e della colpa grave dell’utente; la seconda consta nell’art. art. 10 bis, il quale introduce specifici obblighi in capo agli intermediari finalizzati a garantire la sicurezza degli utenti, imponendo l’adozione di misure tecniche di autenticazione forte e che colleghino in maniera dinamica l’operazione a uno specifico importo e a un beneficiario specifico, al fine di garantire la riservatezza e l’integrità delle credenziali di sicurezza personalizzate degli utenti dei servizi di pagamento.
In tale contesto, vi è da rilevare che a seguito dell’applicazione della Direttiva PSD2 gli istituti di credito riconoscono al correntista che dal momento dell’addebito non autorizzato da parte del cliente, sarebbe giustamente compito dell’istituto provare che l’operazione sia stata correttamente autorizzata dal cliente o provare il dolo, la colpa grave, o l’attività fraudolenta del cliente. In mancanza di tale prova, l’istituto di credito provvede pertanto a rimborsare il cliente delle somme erroneamente addebitate, effettuando un’operazione di riaccredito quasi immediato.
Si rileva, tuttavia, dell’esperienza dei casi a noi sottoposti che diversi istituti di credito, prima riaccreditano “salvo buon fine” seguendo un procedimento che ricalca la c.d. procedura di chargeback prevista per le carte di credito. Successivamente, le operazioni disconosciute sono sottoposte a una verifica di “correttezza” delle stesse, verifica che tuttavia rimane niente affatto chiara dal lato del correntista e che si conclude, spesso, con il riaddebito delle medesime somme sul conto corrente. Pertanto il correntista, inizialmente illuso dalla temporanea restituzione delle somme scopre invece, ma in via definitiva, di non essere in alcun modo tutelato dall’istituto di credito.
Questa condotta, riscontrata in alcuni istituti di credito leader nel settore bancario, purtroppo da una parte non appare coerente con il quadro normativo applicabile, non dimostrando né il dolo né la colpa grave del correntista, ma solo escludendo al limite la possibilità di eventuali attacchi informatici al sistema di internet banking o anomalie dello stesso, mentre finisce per generare un’inutile aspettativa nel correntista che scopre solo dopo alcuni mesi di non essere tutelato e della necessità impellente di un’assistenza legale specialistica.
Infatti, il diritto alla tutela del correntista va ulteriormente valorizzato sulla base dell’interpretazione sistematica degli artt. 24 e 32 e 82 par. 3 del Reg. UE 2016/679, in forza dei quali il titolare del trattamento, per pervenire alla prova liberatoria della legittimità del trattamento dei dati – ovvero al fine di dimostrare che l’evento dannoso subito dal correntista non gli sia in alcun modo imputabile – dovrà essere in grado di documentare di aver adottato le migliori soluzioni disponibili sul mercato e non il meno oneroso esatto adempimento della prestazione, ossia la corretta autorizzazione dell’operazione di pagamento posta in essere da parte dell’utente tramite i presidi predisposti nel sistema di internet banking.
Quanto, invece, ai rimedi esperibili, il correntista che abbia subito la frode può astrattamente tutelare le proprie ragioni sia in sede giudiziale che stragiudiziale, promuovendo, anche in alternativa a un procedimento presso l’Arbitrato Bancario Finanziario (ABF), azione giudiziaria innanzi al tribunale ordinario, tenendo però conto che la scelta di promuovere l’azione innanzi l’ABF potrà sensibilmente influenzare l’esito della decisione.
Infatti, prima di introdurre l’azione giudiziale è sempre obbligatorio procedere ad un tentativo di mediazione ovvero adire l’ABF; queste opzioni, almeno in linea teorica, potrebbero talvolta concludersi positivamente per il correntista e pertanto evitare un procedimento giudiziario di certamente più lunga durata.
Tuttavia, da un lato la giurisprudenza oggi maggioritaria sulle frodi informatiche bancarie – formatasi a decorrere dalla storica sentenza del 20 dicembre 2009 con cui il Tribunale di Palermo, in applicazione delle disposizioni appena citate -, ha riconosciuto e affermato la responsabilità civile dell’intermediario per le fraudolente sottrazioni di denaro subite dal correntista, valorizzando il fatto che la prestazione offerta dalla banca è una prestazione offerta nell’esercizio di un’attività professionale e che, pertanto, essa deve impiegare, nell’adempimento contrattuale, una diligenza qualificata che le impone l’adozione di tutte le misure di sicurezza, tecnicamente idonee e conosciute in base al progresso tecnico, al fine di prevenire l’insorgenza di danni in capo ai correntisti.
L’impostazione motivazionale del giudice palermitano ha dapprima trovato condivisione nella successiva giurisprudenza di legittimità (Tribunale di Nocera, 15 settembre 2011; Giudice di Pace di Lecce, 4 dicembre 2013; Tribunale di Parma 23 luglio 2013; Tribunale di Milano del 4 dicembre 2014, sez. VI, Tribunale di Roma 31 agosto 2016), per poi ricevere l’avvallo anche dalla giurisprudenza di legittimità con le sentenze nn. 10638/2016 e 2950/2017 che ha espressamente qualificato come semi-oggettiva la responsabilità della banca a fronte del disconoscimento dell’operazione da parte del correntista.
A tale proposito, doveroso ricordare una pronuncia leading case: si tratta della sentenza n. 16221 del 31 agosto 2016, nel quale il Tribunale capitolino ha sancito il primo risarcimento del danno da Sim Swap Fraud.
Il caso in questione riguardava un correntista vittima di Sim Swap, il quale ha visto riconosciuto il diritto al risarcimento di oltre 130.000,00 euro sulla base del principio secondo cui: “in tema di ripartizione dell’onere della prova, al correntista abilitato a svolgere operazioni ‘on line’ che, alla stregua degli artt. 15 del D.lgs. n. 196 del 2003 e 2050 c.c., agisca per l’abusiva utilizzazione (nella specie, mediante illegittime disposizioni di bonifico) delle sue credenziali informatiche, spetta soltanto la prova del danno siccome riferibile al trattamento del suo dato personale, mentre l’istituto creditizio risponde, quale titolare del trattamento di dato, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico mediante la captazione dei codici d’accesso del correntista, ove non dimostri che l’evento dannoso non gli sia imputabile perché discendente da trascuratezza, errore o frode del correntista o da forza maggiore (Cfr. Cass., Sez. 1, Sentenza n. 10638 del 23/05/2016).
Viene così a configurarsi un sistema di responsabilità di tipo “semioggettivo”, atteso il rinvio all’art. 2050 cod. civ. contenuto nell’art. 15 del codice della privacy, e considerato che il modello di responsabilità è coerente con quello delineato finanche a livello comunitario dall’art. 23 e dal considerando n. 55 della direttiva comunitaria n. 95/46/CE, relativamente alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
In tal guisa l’attore è onerato soltanto della prova del danno siccome riferibile al trattamento del suo dato personale, mentre è il convenuto onerato della prova liberatoria consistente nell’aver adottato tutte le misure idonee a evitare il danno (cfr. Sez. 6°-3 n. 18812-14).
Quindi il mero disconoscimento delle operazioni bancarie determina un’inversione dell’onere della prova, ponendo a carico della Banca il compito di provare l’adeguatezza del suo sistema informatico”.
Dall’altro lato preme evidenziare che, per quanto concerne la specifica Sim Swap Fraud, dalle decisioni delle controversie sottoposte invece al vaglio dell’ABF nei vari collegi territoriali si registra la sussistenza di un orientamento ondivago, questo sia tra le diverse sedi territoriali di cui si compone l’organismo sia in seno ai singoli Collegi.
Più nel merito, prendendo in considerazione le sole decisioni relative a fattispecie di Sim Swap si osservano ad esempio, nel corso del 2019, presso il Collegio ABF di Roma, alcune decisioni tra loro contrastanti.
Infatti, con il provvedimento n. 3002 del 31.1.2019 si è affermata la responsabilità dell’intermediario incapace di dimostrare – a fronte della frode subita dal correntista ed in mancanza di condotte colpose da parte di quest’ultimo – di aver tenuto una condotta confacente ai doveri e alle responsabilità professionali su di esso incombenti all’art. 1176 c.c., con le successive decisioni n. 3240 del 1.2.2019 e n. 3769 del 7.2.2019 si è negato ai correntisti la restituzione delle somme loro sottratte.
Venendo alle motivazioni delle decisioni ABF di rigetto della domanda di rimborso del correntista, si denota che l’Arbitro ha assecondato la linea difensiva della banca secondo cui le operazioni disconosciute erano in realtà legittime e regolari, perché disposte a seguito di immediata e diretta conferma da parte del legittimo titolare ed autorizzate con sistema di autenticazione dinamica (OTP). In particolare, si è ritenuto che la banca, con tale allegazione, avesse provato di aver adottato un sistema di autenticazione a due fattori, da ritenersi sicuro secondo i massimi standard tecnici disponibili, e che, pertanto, anche in assenza di prove da parte dell’intermediario, doveva presumersi la responsabilità del correntista per negligente custodia delle credenziali di accesso al sistema di home banking.
Anche per la decisione 3769 del 2019 il ricorso è stato respinto, valorizzando, da un lato, il fatto che il sistema informatico della banca non solo non risultava violato ma era, anzi, regolarmente funzionante, come dimostrato dal regolare accesso all’home banking effettuato, attraverso il consueto IP utilizzato dal cliente anche in occasione di altri accessi – effettuati anche nella stessa giornata, prima e dopo l’operazione di cui si discute – e che, inoltre, la stessa operazione disconosciuta risultava confermata con l’inserimento del codice generato dall’OTP. Dall’altro, il Collegio decidente ha poi ritenuto rilevante la mancata allegazione di prove, da parte del ricorrente sulla ricostruzione di quanto accaduto e sulle circostanze di fatto idonee ad evidenziare un’aggressione informatica operata in suo danno attraverso un malware particolarmente sofisticato e tale da escludere ogni sua colpa.
Pertanto il Consesso capitolino, alla luce del quadro istruttorio e delle evidenze raccolte, ha ritenuto che, dimostrando di aver provveduto all’adozione di un sistema di autenticazione forte “a due fattori” la banca avesse fornito la prova liberatoria su di essa incombente e che, invece, il ricorrente non era stato in grado di provare le circostanze di intrusione generalizzata nel sistema di sicurezza della banca tali da smentire l’efficacia delle misure di sicurezza adottate e, pertanto, ha respinto le richieste di indennizzo del correntista. Più in generale, questo Collegio a parte qualche timida apertura che riconosce, tuttavia, una concorrente responsabilità del correntista, sembra orientarsi in tali casi a favore del corretto operato dell’intermediario rifiutando pertanto il rimborso delle somme sottratte al correntista.
Maggiore apertura a favore del correntista si registra, invece, in ordine agli orientamenti del Collegio ABF di Milano nel corso del 2019.
In tale contesto, persistono comunque diverse decisioni di segno negativo, come per esempio la n. 16026 del 28 giugno 2019 nella quale il Consesso meneghino ha respinto le istanze del ricorrente, sostenendo che la prova, da parte dell’intermediario, dell’implementazione di un sistema di sicurezza bancario con accesso “a due fattori”, consentiva di presumere che la frode fosse avvenuta per colpa e/o negligenza grave del correntista, nelle decisioni di seguito analizzate si rinviene un orientamento sostanzialmente più favorevole al correntista.
Tuttavia, vi è da rilevare che nel corso del 2019 vi sono anche un numero sostanziale di provvedimenti a favore del correntista, per esempio con il provvedimento n. 16552 del 4.7.2019 il Collegio di Milano ha interpretato correttamente il dettato normativo, stabilendo la responsabilità della banca che, pur avendo dimostrato l’implementazione di un sistema di sicurezza con accesso a “due fattori”, non era stato in grado di comprovare, nel caso di specie, la condotta negligente asseritamente tenuta dal correntista.
Ciò nonostante, in termini più generali e come sopra accennato, per le altre sedi territoriali dell’ABF si registra la pronuncia di decisioni che, partono da un presupposto non coerente con l’interpretazione letterale del dettato normativo. L’intermediario, nel caso di disconoscimento delle operazioni da parte del correntista, integra l’onere della prova gravante a suo carico dimostrando di aver provveduto all’implementazione di un sistema di autenticazione a due fattori per le disposizioni in home banking – finendo con il postulare una presunzione di colpa grave a carico del correntista. In tal modo il correntista stesso si trova, pertanto, negato il diritto alla restituzione delle somme illecitamente sottrattegli da terzi (in tal senso, ABF Palermo n. 19051/14.8.2019 e ABF Bologna n. 19720 del 20.8.2019).
E se è vero, da un lato, che il correntista potrà evitare l’alea ad oggi riscontrabile nelle pronunce dell’ABF ricorrendo all’autorità giudiziaria, è altrettanto vero che l’imposizione del rimedio giurisdizionale rischia di frustrare, se non addirittura di privare di contenuto, la stessa funzione di ADR dell’arbitrato.
A tal riguardo, preme infatti rilevare che questo tipo di frode lascia il correntista inerme trattandosi di una frode tanto insidiosa (lato correntista) quanto prevedibile (lato intermediario).
Si ritiene, infatti, che un’interpretazione coerente e letterale delle disposizioni normative sopra richiamate dovrebbe necessariamente portare a concludere che soltanto la dimostrazione della negligenza del correntista, come per esempio nei casi comprovati di phishing (sottrazione di credenziali tramite email), o smishing (sottrazione di credenziali tramite SMS), anche nella forma meno comune del vishing (sottrazione di credenziali tramite canali Voip), potrebbe essere considerata come dimostrazione di colpa grave del correntista. Negli altri casi, invece, si dovrebbe propendere per un’interpretazione letterale della normativa sui servizi di pagamento così come quella sulla protezione dei dati personali, pervenendo pertanto ad affermare la responsabilità dell’intermediario per i casi di Sim Swap Fraud.
In conclusione, allo stato attuale il correntista, al fine di massimizzare la tutela delle proprie ragioni dovrà preferibilmente – se non, in molti casi, necessariamente – promuovere le proprie istanze in sede giudiziaria, confidando nella conferma dell’orientamento giurisprudenziale finora prevalente.
Articolo a cura di Fabio Di Resta e Silvano Sacchi