Profili civilistici della “Sim Swap Fraud”: la responsabilità civile della banca e dell’operatore telefonico

Con l’evoluzione digitale dei sistemi di pagamento sono proliferate le forme di truffa che sempre più frequentemente vengono attuate ai danni della clientela delle banche. Tra le varie forme esistenti, è molto attuale la c.d. “Sim Swap Fraud” (o “Sim Swapping Fraud”), cioè una truffa che viene realizzata attraverso un indebito utilizzo della linea telefonica e dell’home banking della vittima.

In particolare, ecco le fasi di realizzazione della truffa:

• Una persona si reca presso un centro di un Operatore telefonico e fornisce false generalità per richiedere un duplicato della SIM con lo stesso numero della vittima;
• Il Centro gli rilascia il duplicato e disabilita la SIM usata dalla vittima, così impedendo a quest’ultima l’utilizzo del cellulare;
• Il malfattore inserisce nel proprio cellulare il duplicato della scheda SIM e ottiene i codici di accesso al home banking;
• Eseguito l’accesso nel Home Banking il malfattore dispone dei pagamenti/bonifici a suo favore, eventualmente modificando le password di accesso per impedire alla vittima di interferire nell’attuazione del reato.

Questa forma di truffa è molto diffusa e frequente in quanto la sua attuazione non richiede particolari competenze tecnologiche ed è perciò alla portata di chiunque.

Peraltro, ciò che rende questa tipologia di attacchi particolarmente preoccupante è che essa non richiede, come accade invece nella quasi totalità delle altre analoghe forme di truffa, la necessità di interagire con la vittima. Non v’è alcuna partecipazione da parte della vittima, la quale, senza aver compiuto alcun atto (nessun click, collegamento ipertestuale o software da scaricare), si vedrà sottratta dal suo conto corrente una cospicua somma di denaro. Si tratta dunque di una forma di truffa che può subire chiunque, a prescindere dalle conoscenze giuridiche e/o digitali possedute dalla vittima.

Si precisa altresì che l’autore del reato, spesso, rimane ignoto, motivo per il quale difficilmente la vittima riuscirà ad ottenere la restituzione dell’importo sottratto dalla persona che ha materialmente realizzato la truffa.

Ciò, tuttavia, non implica che tali somme debbano considerarsi definitivamente perdute dalla vittima in quanto occorrerà assicurarsi che la truffa non sia dipesa da una condotta illecita e/o inadempiente della banca o dell’operatore telefonico. E infatti, qualora la truffa sia stata conseguita dal malfattore “grazie” ad un contributo “colposo” della banca o dell’operatore telefonico, la vittima avrà il diritto di ottenere la restituzione del maltolto.

È dunque a questo punto utile individuare quali siano le condizioni e le azioni funzionali a garantire alla vittima la restituzione del maltolto da parte sia della Banca che dell’operatore telefonico.

La posizione della banca

L’Home Banking della banca è il mezzo attraverso il quale l’autore del reato porta a termine la frode. Di conseguenza, deve verificarsi che la Banca abbia adottato le misure di sicurezza per l’accesso al home banking richieste dalla normativa vigente.

Innanzitutto occorre affermare come la responsabilità della banca non dovrà considerarsi esistente per il sol fatto che dal home banking sia partito un pagamento non autorizzato (c.d. “responsabilità oggettiva”); la banca potrà essere chiamata a “rispondere civilmente” solo in caso di omessa adozione delle misure di sicurezza previste dal contratto o dal regime della responsabilità civile che regola i rapporti banca-cliente.  

Pertanto, da un lato, occorrerà verificare che la banca abbia adottato tutte le misure di sicurezza previste nei documenti contrattuali e nelle condizioni generali di contratto.

Dall’altro lato, anche qualora venisse accertata la conformità della condotta con le pattuizioni contrattuali, ulteriore verifica sulla responsabilità della banca dovrà essere svolta alla luce del generale istituto della responsabilità civile. Sul punto, è intervenuta la Suprema Corte di Cassazione con sentenza 10638/2016:

“Consegue che, in base al rinvio all’art. 2050 cod. civ., operato dall’art. 15 del codice della privacy, l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (nella specie le Poste Italiane s.p.a. quanto alla gestione di conti correnti abilitati a operazioni online) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore”.

L’orientamento della Cassazione è stato confermato poi dalle recenti ordinanze di legittimità n. 9158/2018 e n. 9721/2020, nei cui precedenti si è precisato in aggiunta come la banca sia “ tenuta a fornire la prova della riconducibilità dell’operazione al cliente”.

Ne consegue che, in applicazione del predetto orientamento giurisprudenziale (confermato anche in un caso di Sim Swap Fraud dal Tribunale di Roma con sentenza n. 16221 del 31 agosto 2016), la banca dovrà risarcire l’importo illecitamente sottratto se non riesce a provare il contributo colposo (o doloso) della vittima o, in alternativa, una causa di forza maggiore.

Insomma, si genererebbe una sorta di c.d. “responsabilità semi-oggettiva”, in base alla quale la banca risponderebbe per il sol fatto che il cliente non abbia contribuito colposamente alla realizzazione del reato. Ed è chiaro come tale orientamento sia molto importante per le forme di truffa “SIM Swap Fraud”, le cui modalità di attuazione non prevedono quasi mai il coinvolgimento del cliente e, quindi, la sua condotta colposa.

In ogni caso, bisogna precisare come il D.lgs. 11/2010 abbia previsto l’obbligo della banca di rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, tranne ove vi sia un motivato sospetto di frode (da parte del cliente), e salva naturalmente la possibilità per il prestatore di servizi di pagamento di dimostrare in un momento successivo che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere, in tal caso, la restituzione dell’importo rimborsato. In definitiva, la banca dovrà restituire in questi casi la somma immediatamente dopo la richiesta (qualora avvenuta nei termini e nelle modalità richieste), potendo “riprendersela” qualora dai successivi accertamenti dovesse emergere che l’operazione era stata regolarmente autorizzata dal correntista (nella prassi, la banca, tuttavia, si riprende la somma limitandosi ad escludere una propria responsabilità e non considerando che ciò possa avvenire solo previa dimostrazione dell’attribuibilità dell’operazione al cliente).

La posizione dell’operatore telefonico

Fermo quanto sopra, occorrerà verificare se la sottrazione di denaro sia dipesa, anche in parte, da una condotta colposa e/o inadempiente dell’operatore telefonico. E infatti si rammenta come la SIM Swap Fraud venga protratta attraverso l’ottenimento di un duplicato della SIM rilasciato dall’operatore telefonico della vittima.

Parimenti a quanto esposto con riferimento ai rapporti con la Banca, anche in tal caso occorrerà anzitutto verificare se il rilascio del duplicato della SIM è avvenuto in conformità alle pattuizioni contrattuali.

Terminata questa prima verifica, come nel caso della banca, si dovrà valutare la responsabilità dell’operatore telefonico alla luce del generale istituto della responsabilità civile. In questo caso, tuttavia, a differenza dei plurimi precedenti relativi al rapporto banca-cliente, non sono stati riscontrati precedenti giurisprudenziali che si sono pronunciati sulla responsabilità civile dell’operatore telefonico.

Purtuttavia, non sembra potersi dubitare che l’orientamento espresso dalla Cassazione con riguardo ai rapporti banca-cliente possa essere esteso alla responsabilità degli operatori telefonici. D’altra parte, è innegabile come gli operatori telefonici, al pari delle banche, sono operatori professionali qualificati che trattano dati personali altrui e possono contribuire “colposamente” a rendere possibile la truffa.

Ne risulta che dovrebbe ritenersi ammissibile che anche nei confronti dell’operatore telefonico si configuri una “responsabilità semi-oggettiva” nel caso manchi un contributo colposo (o doloso) della vittima o una causa di forza maggiore.

Fermo quanto sopra, è utile precisare come le vigenti norme nazionali (Codice delle Comunicazioni Elettroniche, art. 55, comma 71) non prevedano l’identificazione del soggetto richiedente in caso di richiesta di duplicazione della SIM, come recentemente chiarito dall’AGCM nella delibera n. 334/20/CIR. La legge, quindi, non obbliga l’operatore telefonico a identificare il soggetto che richiede la sostituzione della SIM.

Conclusioni

Abbiamo constatato come la ”SIM swap fraud” sia una forma di frode molto subdola e difficile da debellare, se non in presenza di un rafforzamento delle misure di sicurezza adottate da tutti i soggetti indirettamente coinvolti.

I diritti di recuperare il maltolto, peraltro, implicano una complessa analisi dei rapporti con la banca e l’operatore telefonico della vittima che cambia a seconda del singolo caso concreto. È dunque necessario verificare con un professionista che vi siano i presupposti legali per avviare un’azione giudiziale contro la banca o l’operatore telefonico (od entrambi).

Fermo restando la necessità di esaminare la vicenda specifica con un professionista, possiamo trarre da quanto esposto tre conclusioni:

• La vittima avrà il diritto di ottenere dalla propria banca la restituzione dell’importo subito dopo aver disconosciuto l’operazione ai sensi dell’art. 11 del D.lgs. 11/2010, fatto salvo il diritto della banca di “riprendersi” la somma rimborsata nel caso dimostri che l’operazione era stata autorizzata;
• La vittima non avrà diritto alla restituzione da parte della banca e/o dell’operatore telefonico qualora l’evento dannoso discenda da suo errore o trascuratezza (Es. smarrimento della propria carta d’identità poi utilizzata dal malvivente, omessa tempestiva contestazione dell’operazione illecita ecc.)
• La banca o l’operatore telefonico avrà l’obbligo di restituire la somma alla vittima qualora non abbiano adottato le misure di sicurezza imposte dal contratto o dalla diligenza richiesta dalla natura del loro incarico ai sensi dell’art. 1176, comma 2, c.c.