Una recentissima pronuncia dell’Arbitro Bancario Finanziario (Collegio di Roma n. 19082 del 29 ottobre 2020) ha condannato una nota banca online alla restituzione al proprio correntista (assistito dallo Studio legale Vitelli) della somma di 60mila euro illecitamente sottratti grazie ad una articolata operazione di frode informatica bancaria. Questa pronuncia conferma due importanti circostanze:
- le truffe informatiche bancarie continuano ad essere sempre più frequenti e di importi anche considerevoli;
- per il correntista, utente o azienda che sia, esistono gli strumenti normativi e tecnici per difendersi.
L’Abi Lab, nello studio pubblicato nel 2019, evidenzia che il 90% degli istituti di credito hanno segnalato tentativi di frode di Sim Swap e il 40% di questi ha subito perdite effettive. D’altra parte, va anche ricordato che il problema della sicurezza informatica nelle transazioni bancarie non può limitarsi alle sole misure tecnologiche, ma deve necessariamente fondarsi su un approccio ben più articolato che, per il sistema bancario, deve avere come elemento fondante la direttiva c.d. PSD2 entrata in vigore il 14 settembre 2019, il D.lgs 11/10 come modificato proprio dalla direttiva, nonché il Regolamento 679/216.
=> Open Banking: nuovi scenari con la PSD2
La truffa
Il professionista coinvolto nel caso era stato vittima della tipica frode bancaria denominata Sim Swap Fraud (cioè la frode per mezzo dello scambio delle sim telefoniche). Il truffatore riesce a carpire le credenziali di accesso al conto corrente online e, per mezzo dei dati personali, ivi compreso il numero di telefono, eventualmente anche appresi nella pagina di home banking (come nel caso oggetto della pronuncia) è in grado di creare un documento di identità falso.
Con la nuova carta di identità e con il numero di telefono della vittima (sostenendo di aver subito un furto, una perdita o un danneggiamento) riesce a farsi consegnare una nuova sim collegata all’utenza telefonica della vittima medesima. A questo punto è sufficiente accedere nell’home banking del correntista, eseguire le operazioni confermando le istruzioni pervenute sulla nuova sim in possesso dei truffatori. E sparire con il denaro.
Le norme a tutela del correntista
Il rimedio di base è nell’art. 11 d.lgs. 11/2010 (riformato dall’art. 73 della PSD2) che prevede l’immediato ripristino da parte dell’istituto bancario del conto dell’utente, al momento del disconoscimento dell’operazione di pagamento non autorizzata. La norma stabilisce, infatti, che grava in capo alla banca l’onere di provare la negligenza, la colpa grave o il dolo del correntista.
A tale previsione si somma anche quella di cui all’art. 10 bis della direttiva PSD2 che impone agli intermediari finanziari di porre in essere tutte le misure volte a garantire la sicurezza degli utenti, in particolare adottando tecniche di autenticazione forte (cioè capaci di garantire l’assoluta certezza del soggetto che esegue l’operazione) connessi a sistemi (efficaci) di comunicazione multicanale vero i correntisti (cioè tra loro indipendenti e non tutti quindi contemporaneamente violabili).
Sul punto può essere richiamata una, ormai nota, sentenza del Tribunale di Parma (n. 1268/2018) che ha condannato una banca alle dovute restituzioni per operazioni bancarie non autorizzate, proprio confermando che “spetta alla banca fornire la prova del corretto funzionamento del proprio sistema e, quindi, della riconducibilità dell’operazione al correntista che l’abbia disconosciuta.” Pronuncia che si allinea con l’indirizzo maggioritario della giurisprudenza di legittimità e con un’altra sentenza, anch’essa ormai di scuola, emessa dal Tribunale di Roma (sentenza n. 16221 del 31/08/2016).
Allo stesso modo, anche il GDPR trova rilevante applicazione imponendo, ai sensi dell’art. 32 l’adozione di adeguate misure di sicurezza tecniche ed organizzative. Misure che essendo inserite nel contesto normativo dominato dal principio di accountability impongono al titolare del trattamento (quindi la banca) l’onere di dimostrare che l’evento dannoso subito dal correntista non gli sia in alcun modo imputabile dovendo essere in grado di documentare le proprie scelte in relazione alla tutela della riservatezza della disponibilità e dell’integrità del dato personale (di cui al conto corrente) e conseguentemente che l’operazione di pagamento posta in essere da parte dell’utente tramite sia stata autorizzata correttamente.
Cosa deve fare il correntista
Se questa è la norma di riferimento, è comunque necessario che il correntista agisca subito con tutti gli strumenti a propria disposizione. Strumenti che sono sia giuridici che informatici. In primo luogo occorre immediatamente:
- disconoscere le operazioni bancarie non autorizzate;
- depositare idonea e articolata denuncia querela;
- acquisire tutte le informazioni necessarie per la difesa.
Nel caso dei fatti di cui alla decisione dell’ABF, è stato strategico procedere con:
- richiesta accesso dati bancari ex art. 119 T.U.B.;
- richiesta accesso dati personali ex art. 15 Reg. UE 679/2016;
- indagini difensive penali (in collaborazione con Pubblico Ministero, titolare del procedimento) per raccogliere ulteriore documentazione. anche tecnica.
Dal punto di vista procedurale, alla vittima si pongono due strade:
- nel caso di frode inferiore a 100mila euro è possibile adire l’Arbitro Bancario Finanziario (procedura fondata esclusivamente su prove documentali, veloce e poco costosa, che punta alla sola restituzione degli importi sottratti);
- ricorrere il giudizio ordinario, con costi e tempi di un processo civile, per ambire anche ad eventuale risarcimento danni ed avere più spazio sotto il profilo della prova.
Conclusioni
Banche e conti correnti sono ormai obiettivi frequenti di frodi telematiche e furti di identità, ma quando lo scopo diviene la sottrazioni di informazioni e dati personali anche le aziende diventano target di attacco. Se dunque è vero che esistono gli strumenti per difendersi da frodi informatiche anche complesse, la soluzione migliore è sempre quella di predisporre a monte (istituti bancari in primis) tutte le difese tecniche e organizzative affinché si possa minimizzare il rischio di violazioni di dati e sottrazioni di denaro, talvolta anche di notevoli entità.