Diritto Bancario

Frodi Informatiche Bancarie: Cosa Sapere, Come Difendersi

  2. Home
  3. Blog
  4. Diritto Bancario
  5. Frodi Informatiche Bancarie: Cosa Sapere, Come Difendersi

Frode informatica bancaria ai danni del correntista tramite scambio di sim telefonica o sim swap : spetta alla banca risarcire il correntista, o dimostrare l'efficacia delle misure di sicurezza.

L’Arbitro Bancario Finanziario è intervenuto in materia di frodi informatiche bancarie (Collegio di Roma n. 19082 del 29 ottobre 2020), condannando una nota banca online alla restituzione al proprio correntista, assistito dallo Studio legale Vitelli, della somma di 60.000,00 euro, illecitamente sottratti grazie ad una articolata operazione di frode informatica bancaria.

L’Abi Lab, in uno studio pubblicato nel 2019, ha evidenziato che il 90% degli istituti di credito hanno segnalato tentativi di frode informatica del tipo Sim Swap (scambio di sim telefonica), che, nel 40% dei casi, hanno portato a perdite effettive.

La normativa sulle frodi informatiche bancarie

Va osservato che il tema della sicurezza informatica delle transazioni bancarie non può essere affrontato con riferimento alle sole soluzioni tecnologiche, ma richiede un approccio ben più articolato che, per il sistema bancario, deve fondarsi sulla seguente normativa :

  1. la direttiva EU 2015/2366 sui servizi di pagamento e il mercato interno, nota come PSD2, entrata in vigore il 14 settembre 2019;
  2. il Dlgs n° 11 del 27 Gennaio 2010, come modificato dalla citata Direttiva PSD2.
  3. il GPDR, il Regolamento UE 2016/679 sulla protezione dei dati personali.

Il fatto: la sim swap fraud

Un noto professionista apriva un conto corrente presso la banca online, senza mai riscontrare alcun problema.

Un giorno si vede costretto a recarsi presso il negozio del proprio operatore telefonico in quanto il proprio smartphone non riceve né effettua più chiamate e non si connette alla rete internet.

L’assistenza provvede a sostituire la sim riportando lo smartphone al regolare funzionamento. Questa circostanza si ripete più di una volta nell’arco della settimana.

In quel periodo il professionista vittima della truffa informatica bancaria riceve anche un sms da parte della banca per la conferma di un bonifico di 32.000,00 €, operazione che viene negata immediatamente.

Successivamente, la vittima si avvede che in quei giorni sono state autorizzate ed eseguite a sua insaputa svariate operazioni bancarie e che gli sono stati sottratti ben 60.000,00 €.

Il professionista è stato vittima della tipica frode informatica bancaria nota come Sim Swap Fraud, ossia una frode informatica che presuppone uno scambio di schede sim.

Come funziona la sim swap fraud

Questa frode informatica è complessa e coinvolge più persone, più istituti di credito e richiede una profonda conoscenza delle dinamiche di sicurezza bancarie.

Il truffatore riesce a carpire le credenziali di accesso al conto corrente online e, attraverso i dati personali, ivi compreso il numero di telefono, eventualmente anche appresi nella pagina di home banking della banca online (come è avvenuto nel caso in esame), è in grado di creare un documento di identità falso.

Con la nuova carta di identità e con il numero di telefono della vittima riesce (sostenendo di aver subito un furto, una perdita o un danneggiamento) a farsi consegnare una nuova sim collegata all’utenza telefonica della vittima medesima.

A questo punto per il truffatore è sufficiente accedere all’home banking del correntista, eseguire le operazioni bancarie sottraendo i fondi, confermando i messaggi inviati all’utenza telefonica collegata al conto che tuttavia non giungono al telefono del correntista (che come detto non funziona), ma al telefono con la nuova sim in possesso del truffatore e, infine, sparire con il denaro.

Le norme a tutela del correntista vittima di frode informatica bancaria

Il rimedio di base in tema di addebiti fraudolenti su carta di credito (o comunque di moneta elettronica) è nell’articolo 11 del Decreto Legislativo n° 11/2010 (come modificato dall’art. 73 della Direttiva PSD2 citata in precedenza) che prevede l’immediato ripristino da parte dell’istituto bancario del conto corrente dell’utente vittima della truffa, al momento del disconoscimento dell’operazione di pagamento non autorizzata.

La norma stabilisce che grava in capo alla banca l’onere di provare la negligenza, la colpa grave o il dolo del correntista che ha subito la frode.

A tale previsione si somma anche quella di cui all’articolo 10 bis della Direttiva PSD2 che impone agli intermediari finanziari di porre in essere tutte le misure necessarie a garantire la sicurezza degli utenti, in particolare adottando tecniche di autenticazione forte (cioè capaci di garantire l’assoluta certezza del soggetto che esegue l’operazione) connessi a sistemi (efficaci) di comunicazione multicanale verso i correntisti (cioè tra loro indipendenti e non tutti quindi contemporaneamente violabili).

A tal proposito, può essere richiamata una nota sentenza del Tribunale di Parma (n. 1268/2018) che ha condannato una banca alle dovute restituzioni per operazioni bancarie non autorizzate, proprio confermando che:

“spetta alla banca fornire la prova del corretto funzionamento del proprio sistema e, quindi, della riconducibilità dell’operazione al correntista che l’abbia disconosciuta.”

Sentenza Tribunale di Parma n° 1268/2018

Tale pronuncia è allineata con l’indirizzo maggioritario della giurisprudenza di legittimità e con un’altra sentenza, anch’essa ormai di scuola, emessa dal Tribunale di Roma (sentenza n. 16221 del 31/08/2016)

Allo stesso modo, anche il GDPR trova rilevante applicazione imponendo, ai sensi dell’articolo 32, l’adozione di adeguate misure di sicurezza tecniche ed organizzative.

Tali misure, essendo inserite nel contesto normativo dominato dal principio di accountability, impongono al titolare del trattamento (quindi la banca) l’onere di provare che l’evento dannoso subito dal correntista non gli sia in alcun modo imputabile, dovendo essere in grado di documentare le proprie scelte in relazione alla tutela della riservatezza, della disponibilità e dell’integrità del dato personale (di cui al conto corrente) e conseguentemente che l’operazione di pagamento sia stata autorizzata correttamente.

Cosa deve fare il correntista vittima di frode informatica bancaria

Se questo è il quadro normativo di riferimento, è comunque necessario che il correntista agisca subito con tutti gli strumenti a propria disposizione, sia giuridici che informatici.

Il correntista deve immediatamente:

  1. Disconoscere le operazioni bancarie non autorizzate;
  2. Depositare idonea e articolata denuncia querela;
  3. Acquisire tutte le informazioni necessarie per la difesa.

Nel caso dei fatti oggetto della decisione dell’Arbitro Bancario Finanziario, è stato fondamentale procedere attraverso una organizzata e complessa attività, ed in particolare con:

  1. Richiesta accesso dati bancari ex art. 119 T.U.B.;
  2. Richiesta accesso dati personali ex art. 15 Reg. UE 679/2016;
  3. Indagini difensive penali (con collaborazione del Pubblico Ministero, titolare del procedimento) affinché si raccogliesse tutta la ulteriore documentazione anche tecnica

Dal punto di vista procedurale, alla vittima di truffa informatica bancaria si pongono due strade:

  1. Nel caso la truffa sia inferiore a € 100.000,00 è possibile adire l’Arbitro Bancario Finanziario: si tratta di una soluzione conveniente, dal momento che la procedura è fondata esclusivamente su prove documentali, è veloce, poco costosa e punta alla sola restituzione degli importi sottratti);
  2. Il giudizio ordinario, che ha i costi ed i tempi di un processo civile, che permette non solo di richiedere gli eventuali risarcimenti danni, ma anche di avere molto più spazio sotto il profilo della prova.

Conclusioni

Purtroppo le frodi informatiche ed i furti di identità sono sempre più frequenti ed è necessario che tanto le istituzioni (pubbliche e private) quanto gli utenti facciano sempre molta attenzione.

Le banche ed i conti correnti sono certamente tra gli obiettivi di frodi informatiche, ma quando lo scopo diviene la sottrazione di informazioni e dati personali, anche le aziende diventano target di attacco.

Ancora una volta, quindi, si deve sottolineare che se certamente abbiamo gli strumenti per difenderci dai truffe informatiche così complesse e sofisticate, la soluzione migliore è quella di predisporre a monte (in primo luogo gli istituti bancari) tutte le difese tecniche ed organizzative idonee a minimizzare il più possibile il rischio di subire violazioni di dati e sottrazioni di denaro, talvolta anche di notevoli entità.

Avvocato Emiliano Vitelli

Emiliano Vitelli

Avvocato a Latina, mi occupo di Diritto del digitale e delle nuove tecnologie, frodi informatiche e reati informatici.

Linkedin

Creative Commons License
il logo di avvocloud

Promuoviamo le competenze legali degli avvocati online e aiutiamo gli utenti ad orientarsi tra i meandri del Diritto.