Responsabilità concorrente degli operatori telefonici nei casi di  Sim Swap Fraud

Il fondamento della responsabilità concorrente degli operatori telefonici nei casi di  Sim Swap Fraud alla luce delle sentenze 11547 e 12832 / 2023 del Tribunale di Roma, Sez. XVI

di Michele Di Salvo

Il Tribunale di Roma, con le decisioni del 19 luglio 2023 e dell’11 settembre 2023, si è nuovamente occupato di frodi informatiche. Nello specifico di questi due recentissimi casi a proposito della tecnica della c.d. Sim swap fraud.

In entrambi i casi il Tribunale accerta la responsabilità dell’operatore telefonico.

In entrambi i casi occorre rilevare come l’operatore telefonico sia stato chiamato in causa dalla banca presso cui gli utenti avevano acceso il rapporto di conto corrente dal quale erano stati effettuati i prelievi illegittimi di denaro.

E ciò sul presupposto – ritenuto fondato dal tribunale – che la truffa non avrebbe potuto perfezionarsi se i terzi non fossero riusciti ad intervenire sull’utenza telefonica certificata.

Nello specifico le decisioni simmetriche del Tribunale di Roma evidenziano una condotta negligente dell’operatore telefonico, estrinsecatasi in “una superficiale verifica dell’identità del richiedente la sostituzione della SIM” ritenuta causalmente connessa con l’esecuzione dei bonifici indebiti.

Le due sentenze sono rilevanti “in positivo” laddove mettono in evidenza una responsabilità troppo spesso ignorate o negate da parte degli operatori, che di fronte alle segnalazioni dei clienti replicano con dei proforma in cui negano ogni responsabilità forti dell’onerosità e farraginosità dei rimedi di cui dispongono i cittadini, “in negativo” perchè è solo attraverso l’intervento “del soggetto forte” (in questo caso le banche) vengono alla fine riconosciute determinate responsabilità.

Le due fattispecie affrontate dal Tribunale di Roma sono simili e possono essere così sintetizzate:

– alcuni utenti, titolari di rapporti di conto corrente, lamentano il proprio incolpevole coinvolgimento nella frode informatica consistente nella sottrazione di denaro ad opera di terzi tramite l’ottenimento fraudolento del duplicato della Sim sul telefono cellulare;

– la banca convenuta contesta le domande attoree e ne chiede il rigetto sostenendo il concorso colposo dei clienti nella causazione dell’evento lesivo;

– la banca formula poi domanda di chiamata in causa, ex art. 106 c.p.c., dell’operatore telefonico dei clienti, contestandogli di aver rilasciato a terzi un duplicato della SIM medesima, omettendo di verificare adeguatamente l’identità del richiedente;

– l’operatore telefonico chiede il rigetto delle domande nei suoi confronti e l’accertamento dell’esclusiva responsabilità della banca per le perdite subite dagli clienti.

[Tribunale di Roma, Sez. XVI, sentenza 19 luglio 2023, n. 11547 e sentenza 11 settembre 2023, n. 12832]

In entrambe le pronunce il Tribunale di Roma ricorda, in primo luogo, che la disciplina da applicarsi si rinviene nel d. lgs. n. 11/2010 attuativo della direttiva 2007/64/CE (c.d. PSD1), da ultimo novellato con il d.lgs. n. 218/2017, emanato per recepire la nuova direttiva relativa ai servizi di pagamento 2015/2366/UE in vigore dal 13 gennaio 2018 (c.d. PSD2).

E in questa sede non possiamo non commentare che trattandosi di normativa non certo recente difficilmente si può comprendere un comportamento di non adeguamento e ottemperanza.

In questo caso – anche in presenza di una diffusa prassi fraudolenta – il calcolo degli operatori è cinicamente di costi-benefici: sin quando il costo di una responsabilità accertata non supera quello di un adeguamento tecnico, tecnologico e di policy, non vi è interesse a tale adeguamento da parte dell’operatore privato.

Una triste realtà cui gli Stati Uniti hanno risposto con un sistema sanzionatorio particolarmente energico mentre i “punitive damages” da noi sono spesso l’eccezione (tanto eccezione che sono sempre oggetto di appello).

Nei casi presi in esame, il giudicante ha posto in evidenza come “il sistema più evoluto di autenticazione per l’accesso e l’utilizzo della piattaforma home banking è quello che prevede l’autenticazione del cliente non soltanto tramite le cosiddette credenziali statiche (UserId e Pin) consegnate allo stesso al momento dell’apertura del rapporto, ma anche attraverso l’utilizzo di un codice dinamico, detto OTP (one time password), ovvero un codice cifrato monouso generato contestualmente all’accesso al servizio/esecuzione dell’operazione e con durata limitata nel tempo.“

In ipotesi di operazioni disconosciute l’art. 10, comma 2, d.lgs. n. 11/2010 stabilisce che: “Quando l’utente di servizi di pagamento neghi di aver autorizzato un’operazione di pagamento eseguita, l’utilizzo di uno strumento di pagamento registrato dal prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, non è di per sé necessariamente sufficiente a dimostrare che l’operazione sia stata autorizzata dall’utente medesimo, né che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa

grave a uno o più degli obblighi di cui all’articolo 7. È onere del prestatore di servizi di pagamento, compreso, se del caso, il prestatore di servizi di disposizione di ordine di pagamento, fornire la prova della frode, del dolo o della colpa grave dell’utente”.

La norma prevede, quindi, che in caso di disconoscimento dell’autorizzazione di un’operazione di pagamento la banca provi, da un lato, di aver correttamente adempiuto la propria prestazione, dall’altro, l’inadempimento doloso o gravemente colposo da parte del cliente agli obblighi previsti nell’art. 7 d.lgs. n. 11/2010, che stabilisce che “L’utente abilitato all’utilizzo di uno strumento di pagamento ha l’obbligo di: a) utilizzare lo strumento di pagamento in conformità con i termini, esplicitati nel contratto quadro, che ne regolano l’emissione e l’uso e che devono essere obiettivi, non discriminatori e proporzionati; b) comunicare senza indugio, secondo le modalità previste nel contratto quadro, al prestatore di servizi di pagamento o al soggetto da questo indicato lo smarrimento, il furto, l’appropriazione indebita o l’uso non autorizzato dello strumento non appena ne viene a conoscenza […] l’utente, non appena riceve uno strumento di pagamento, adotta tutte le ragionevoli misure idonee a proteggere le credenziali di sicurezza personalizzate”.

Sulla base di queste – chiare e ormai per consuetudine note – premesse normative, nei due casi presi in esame dal Tribunale di Roma, lo stesso giunge a conclusioni parzialmente differenti in relazione alla posizione della banca:a

a) nell’una viene esclusa la responsabilità della banca avendo questa fornito prova, non solo, di aver predisposto le misure più idonee a garantire la tutela del cliente, ma anche, dell’inadempimento del cliente medesimo, sorretto da colpa grave, agli oneri, di cui all’art. 7 del d.lgs. 11/2010, di custodia delle credenziali di sicurezza personalizzate e di comunicazione alla banca dell’uso non autorizzato dello strumento di pagamento;

b) nell’altra, invece, pur accertata la regolarità formale del sistema di autenticazione forte utilizzato dalla banca, non risulta provato che questa, ponderando i rischi tipici del proprio ambito, abbia applicato tutte le possibili cautele volte ad accertare la riconducibilità delle operazioni effettuate tramite l’home banking alla volontà dei correntisti, al fine di evitare prelievi non autorizzati.

E ciò perché il Tribunale, correttamente, è entrato nel merito della ricostruzione “in fatto” e non solo “in diritto” delle vicende dedotte in giudizio.

Sostanzialmente identico è invece il giudizio del Tribunale in ordine alla condotta dell’operatore telefonico: considerate infatti le caratteristiche strutturali della Sim Swap Fraud e la specifica circostanza per cui la truffa non avrebbe potuto perfezionarsi se i terzi non fossero riusciti ad intervenire sull’utenza telefonica certificata, rendendola inattiva e dirottando a proprio favore l’invio delle credenziali dinamiche OTP e OTS tramite la sostituzione della SIM, il Tribunale di Roma accerta la responsabilità (in un caso esclusiva, nell’altro concorrente) dell’operatore telefonico, la cui condotta negligente – in concreto una superficiale verifica dell’identità del richiedente la sostituzione – è causalmente connessa con l’esecuzione dei bonifici indebiti.

A fondamento di tale orientamento il giudicante mette in rilievo come l’art. 55, comma 7, d.lgs. n. 259 del 2003 ha previsto in capo agli operatori di telefonia mobile un obbligo di identificazione degli abbonati e degli acquirenti prima dell’attivazione del servizio, stabilendo che ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell’Interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, i quali devono essere identificati prima dell’attivazione del servizio, al momento della consegna o messa a disposizione della occorrente scheda elettronica (SIM). A tal fine, le imprese di telefonia sono tenute ad adottare tutte le necessarie misure atte a garantire: a) l’acquisizione dei dati anagrafici riportati sul documento di identità esibito dal cliente e dei dati relativi al tipo e al numero del documento; b) la corretta acquisizione della riproduzione del documento presentato dall’acquirente e ad assicurare il corretto trattamento dei dati ottenuti.

Su questa base il Tribunale stabilisce la sussistenza per simmetria nell’ordinamento un obbligo di identificazione dei clienti anche per la mera sostituzione della SIM, del tutto similare a quello previsto in caso di attivazione della stessa.

L’art. 1, comma 46, l. n. 124 del 2017, prevede infatti che: “Al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l’integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del Ministero dell’Interno, di concerto con il Ministero dello sviluppo economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per l’identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell’identità digitale previsto dall’art. 64 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e di tutte le operazioni ad essa connesse possano essere svolte per via telematica”.

La ratio di tale intervento normativo (semplificare le modalità di identificazione del cliente nelle operazioni di migrazione, integrazione o sostituzione della SIM) trova un antecedente logico necessario nell’esistenza di un dovere in capo agli operatori telefonici di provvedere all’identificazione del cliente in occasione delle operazioni menzionate.

Proprio la rilevanza del suddetto dovere ha determinato l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) all’emanazione della Delibera n. 86/21/CR dell’8 luglio 2021, che, afferma il Tribunale “seppur ratione temporis non applicabile” alle due fattispecie in discorso, “ha ulteriormente rafforzato l’obbligo di identificazione del richiedente la duplicazione della SIM da parte dei gestori dei servizi di telefonia, con l’espressa intenzione di garantire maggiore protezione ai dati personali dei clienti e di prevenire attività dolose attuabili tramite la sostituzione della SIM dell’utente da parte di soggetti terzi non autorizzati.“

Come messo in evidenza dalle esentenze oggetto di commento, il sistema di autenticazione a due fattori dovrebbe essere idoneo a consentire all’utente di far affidamento sull’adozione di misure che tutelano la riservatezza e l’integrità delle credenziali di sicurezza personalizzate. Tali misure comprendono di norma sistemi di cifratura basati su dispositivi personali del pagatore. A tal fine è stato imposto l’obbligo ai prestatori di servizi di pagamento di applicare, sia in fase di accesso al conto on line, sia in fase di pagamento elettronico, l’autenticazione forte del cliente che comprenda elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e a un altrettanto

specifico beneficiario nel rispetto delle norme tecniche demandate all’ESMA.

La possibilità di sostituire la propria SIM mantenendo il medesimo numero, può derivare da esigenze dell’utente. Ma questa possibilità può esporre il titolare della SIM alla sottrazione non solo del numero di telefono, ma anche di tutta l’operatività del servizio di home banking ad esso collegato. Da ciò, la necessità che gli operatori telefonici adottino misure idonee per verificazione dell’identità dei richiedenti anche la sostituzione della SIM.

In questa direzione, la delibera dell’AGCOM 86/21/CIR, adottata l’8 luglio 2021 e richiamata nelle due sentenze in commento del Tribunbale di Roma, in cui è previsto, tra l’altro, che: “1) la richiesta di cambio della SIM, inclusi i casi di richiesta di Mobile Number Portability (MNP), di furto o smarrimento, o altre fattispecie di modifica virtuale (eSIM), può essere effettuata esclusivamente dal titolare della SIM;  2) in caso di furto, smarrimento o malfunzionamento la richiesta della nuova SIM può essere effettuata solo presso il proprio operatore. In tali circostanze, la richiesta di MNP può essere effettuata solo dopo aver sostituito la SIM e, pertanto, disponendo di una SIM funzionante;  3) l’utilizzo di deleghe al cambio della SIM è consentito solo nel caso delle SIM aziendali;  4) il fornitore di servizi di telefonia mobile è tenuto ad identificare il soggetto che richiede la sostituzione della SIM acquisendo copia fotostatica chiara e leggibile: i) del suo documento d’identità del soggetto e di un documento attestante il Codice Fiscale; ii) della vecchia SIM; iii) nel caso di furto o di smarrimento della SIM, della relativa denuncia.”

In materia vale la pena citare interventi recenti del Tribunale di Milano con le sentenze n. 3295/2022 e n. 8562/2022, del Tribunale di Ivrea con la sentenza n. 543/2018, e del Tribunale di Savona con la sentenza n. 428/2022.