Truffe home banking e responsabilità della banca
Il Tribunale di Firenze con la Sentenza del 24.05.2022 è tornato a parlare del c.d. smishing, ovverosia una truffa con cui terzi malintenzionati, sfruttando una falla del sistema informatico bancario, riescono ad appropriarsi delle credenziali di accesso del servizio di home banking dei clienti e disporre dei relativi fondi.
Nel caso esaminato, una cliente di un Istituto di credito aveva ricevuto un messaggio WhatsApp recante il logo della Banca, nel quale era stato richiesto di fornire le credenziali di accesso all’home banking per consentire un aggiornamento dell’applicazione mobile. Il contenuto del messaggio era stato inoltre confermato telefonicamente da un presunto dipendente della Banca. La Signora, convinta ingenuamente della provenienza ufficiale della richiesta, aveva così scaricato l’applicazione indicata nel messaggio ricevuto e, tramite l’accesso ad un link dell’applicazione, aveva altresì inserito i dati di accesso al proprio conto corrente. In quel modo i truffatori erano riusciti ed entrare in possesso delle credenziali e, contestualmente, effettuare la sottoscrizione di un nuovo contratto con il quale generare i codici OTP utili alla disposizione delle operazioni. Da quel momento, pertanto, le operazioni sarebbero state confermate virtualmente attraverso l’app mobile in possesso dei truffatori e non più mediante il token generato dalla chiavetta hardware ancora in possesso della cliente.
Ma vi è di più.
Il giorno successivo il cellulare della cliente ha cessato immediatamente di funzionare in conseguenza dell’avvenuta truffa. I malintenzionati, infatti, tramite un’operazione di SIM Swap, erano riusciti ad impossessarsi del numero di telefono della cliente. Tale operazione viene abitualmente richiesta dagli utenti di telefonia mobile quando si intende cambiare la propria SIM mantenendo lo stesso numero: la ragione più frequente consiste in un semplice cambio di formato di scheda in quanto non tutti i telefoni supportano la stessa dimensione delle schede SIM. Tramite le due operazioni combinate di smishing e SIM Swap, pertanto, i truffatori non solo erano riusciti a farsi consegnare dalla signora le credenziali per accedere all’home banking ma avevano altresì la possibilità di generare OTP virtuali nonché di ricevere i codici OTS dalla banca, indirizzati sul numero della cliente che ormai era stato trasferito su una SIM in loro possesso. Non è stato difficile, pertanto, in primo luogo alzare i massimali delle operazioni nonché, in seguito, effettuare molteplici bonifici senza la necessità di altre azioni da parte della danneggiata e soprattutto a sua totale insaputa.
Da tale quadro è emersa astrattamente una falla di sicurezza nel sistema bancario. Invero per il trasferimento del numero cellulare dalla SIM della signora ad un’altra in possesso dei truffatori, era stato sufficiente che un operatore in un centro autorizzato, distratto o connivente, avesse fatto lo swap della SIM in tempo reale, senza ulteriori controlli o interventi diretti dell’utente.
Tuttavia tale operazione non è sufficiente a costituire un presupposto di responsabilità da parte della Banca utile al risarcimento dei danni patiti dalla cliente. A tal proposito occorre analizzare diversi fattori
L’Istituto di credito, per aumentare la sicurezza per l’accesso alla propria piattaforma di home banking, richiedeva ai propri clienti una doppia autenticazione: l’identità dell’utente mediante una combinazione di credenziali, UserID e PIN, nonché un codice OTP inviato tramite messaggio SMS al numero di cellulare indicato in sede di sottoscrizione del contratto. Inoltre la Banca aveva assunto ogni opportuna misura di sicurezza per contrastare il fenomeno delle truffe online e i rischi di phishing/smishing, attraverso una costante e massiccia informativa della clientela, sia all’interno dei contratti sia sul proprio sito internet, ricordando di seguire sempre le indicazioni ufficiali fornite dall’Istituto e di diffidare di richieste sospette. Tutte queste informative, tra l’altro previste e imposte dalla normativa europea, hanno consentito alla Banca di rimanere esente da ogni responsabilità nonostante il perfezionamento della truffa.
A ben vedere, infatti, la truffa si è realizzata in quanto tutte le operazioni sopra descritte erano state autenticate e confermate correttamente grazie al corretto inserimento di tutte le credenziali e dei codici di verifica di tipo Otp e Ots in uso alla cliente: per questo motivo il sistema non era stato in grado di rilevare la fraudolenza dell’operazione e non ha bloccato alcun accesso. Nel caso di specie la condotta illecita è stata ricondotta ad esclusiva colpa della cliente, la quale ha attuato una serie di operazioni prodromiche e necessarie alla realizzazione della truffa. Invero, nonostante la ricezione di molteplici avvisi, ammonimenti e comunicazioni da parte della Banca finalizzati ad evitare che i clienti comunicassero a terzi i propri dati d’accesso, la vittima in questione aveva inserito le proprie credenziali all’interno di un’applicazione estranea alla Banca, consegnandole di fatto agli autori dell’operazione fraudolenta. Infatti, nel caso di specie, il solo furto della SIM non sarebbe stato da solo sufficiente a perfezionare la truffa.
In caso di malfunzionamenti anomali da parte dell’app del proprio Istituto di credito, nelle operazioni telematiche, oppure in caso di richieste telefoniche o tramite messaggi finalizzate a consegnare le proprie credenziali è necessario prendere immediatamente contatto con la propria Banca per le opportune segnalazioni. In seguito è sicuramente raccomandabile presentare una denuncia all’autorità giudiziaria al fine di accertare eventuali responsabilità penali.
Lo Studio Legale Pasi ha assistito molteplici vittime di truffe di questo genere e saprà suggerire la soluzione più rapida e maggiormente calzante per limitare l’insorgere di danni e salvaguardare i propri risparmi.
