L’HOME BANKING è una funzionalità presente su quasi tutti i conti correnti: si tratta di una sorta di banca virtuale, alla quale è possibile accedere inserendo le credenziali di accesso al nostro conto corrente online. La piattaforma di home banking è composta da un menù che permette di gestire tutti i prodotti bancari sottoscritti: non solo il conto corrente, ma anche conti deposito, portafoglio titoli, carte di pagamento e così via.
Per accedere ai servizi online di un conto corrente abilitato al servizio di home banking al correntista sarà richiesto l’inserimento simultaneo di password statiche e dinamiche ovvero il codice titolare, il codice PIN ed il codice O-Key, c.d. OTP, il quale viene generato via software dall’APP dell’intermediario, per i clienti che hanno attivato una una O-Key smart o, attraverso un sms per i clienti che avranno attivato il servizio O-Key SMS.
La SIM SWAP FRAUD consiste, invece in una sofisticata truffa attraverso la quale soggetti terzi trasferiscono l’utenza telefonica del titolare di un conto corrente abilitato all’home banking su di una nuova scheda sim, ricevendo così le password dinamiche OTP inviate a tale numero dal server dell’intermediario.
Nella maggioranza dei casi, la sim swap fraud viene praticata attraverso l’invio al correntista di un “sms spoofing”, ovvero un sms civetta, che consiste nella manipolazione dei dati relativi al mittente di un messaggio per far si che lo stesso appaia proveniente da un soggetto differente e perciò – apparentemente – da numeri o contatti legittimi che sembrerebbero riconducibili ai canali ufficiali dell’intermediario, attraverso il quale vengono carpiti i dati relativi al correntista e viene dato inizio alla truffa vera e propria.
La questione oggi in esame attiene pertanto all’uso non autorizzato di uno strumento di pagamento ed è stata posta in essere sotto il vigore del D.Lgs. 27 gennaio 2010, n. 11, come modificato dal D.Lgs. 15 dicembre 2017, n. 218 di recepimento della direttiva (UE) 2015/2366 relativa ai servizi di pagamento nel mercato interno (c.d. PSD 2).
Sebbene il citato decreto n. 218/2017 risulti entrato in vigore il 13 gennaio 2018, tuttavia, a tenore di quanto previsto dall’art. 5, comma 6, dello stesso decreto “le misure di sicurezza di cui agli articoli 5-bis, commi 1, 2 e 3, 5-ter, 5-quater e 10-bis del decreto legislativo 27 gennaio 2010, n. 11, si applicano decorsi diciotto mesi dalla data di entrata in vigore delle norme tecniche di regolamentazione di cui all’articolo 98 della direttiva (UE) n. 2015/2366”, ed inoltre “fino alla data di applicazione delle norme tecniche di regolamentazione di cui all’articolo 98 della direttiva (UE) n. 2015/2366, con riferimento alle materie disciplinate dalle medesime norme tecniche di regolamentazione continuano a trovare applicazione le disposizioni emanate dalla Banca d’Italia, ai sensi di norme abrogate o sostituite per effetto del presente decreto in quanto compatibili con le disposizioni dello stesso” (art. 5, comma 8).
Tali norme tecniche sono state adottate con il Regolamento Delegato (Ue) 2018/389 della Commissione del 27 novembre 2017, entrato in vigore il 14 settembre 2019.
La disciplina in esame istituisce “un regime di speciale protezione e di altrettanto speciale favor probatorio a beneficio degli utilizzatori, i quali sono, dunque, tenuti al semplice disconoscimento delle operazioni di pagamento contestate, mentre è onere del prestatore dei servizi di pagamento provare che l’operazione disconosciuta è stata autenticata, correttamente registrata e contabilizzata e che la sua patologia non sia dovuta a malfunzionamenti delle procedure esecutive o ad altri inconvenienti del sistema.
Neanche l’apparentemente corretta autenticazione dell’operazione è necessariamente sufficiente a dimostrarne la riconducibilità all’utilizzatore che la abbia disconosciuta, cosicché la responsabilità dell’utilizzatore resta circoscritta ai casi di comportamento fraudolento del medesimo ovvero al suo doloso o gravemente colposo inadempimento degli obblighi previsti dall’art. 7 del decreto sopra menzionato.
La ratio di tale scelta legislativa è allora di allocare sul fornitore dei servizi di pagamento il rischio d’impresa, essendo quest’ultimo in grado di parcellizzare, distribuendolo sulla moltitudine dei clienti, il rischio dell’impiego fraudolento di carte di credito o di strumenti di pagamento.
L’orientamento legislativo ha trovato riscontro nella sentenza della Corte di Cassazione, n. 2950/2017, la quale ha ritenuto che la disciplina speciale, in tema di strumenti di pagamento, espliciti il principio generale, in materia di onere probatorio a carico del debitore professionale, nelle azioni di risoluzione contrattuale, risarcimento del danno o adempimento, “in quanto si è ritenuto che non può essere omessa la verifica dell’adozione da parte dell’istituto bancario delle misure idonee a garantire la sicurezza del servizio […]; infatti la diligenza posta a carico del professionista ha natura tecnica e deve essere valutata tenendo conto dei rischi tipici della sfera professionale di riferimento ed assumendo quindi come parametro la figura dell’accorto banchiere” (cfr. anche Cass., n. 13777/2007 e, da ultimo, Cass., n. 9158/2018).
Tale orientamento giurisprudenziale è stato recentemente esteso anche ai casi di SIM SWAP poiché pur risultando incontrovertibile che la fraudolenta sostituzione di una sim card è circostanza riferibile, innanzi tutto, all’operatore telefonico, non di meno, la circostanza che l’intermediario abbia deciso di avvalersi di una modalità di autenticazione, che affida, quanto meno in parte, a terzi soggetti la procedura che conduce all’esecuzione delle operazioni di pagamento, appare sintomatica di una vulnerabilità organizzativa dell’intermediario, riconducibile al rischio tipico dell’attività d’impresa e quindi da fare ricadere sull’intermediario medesimo sul quale, anche in siffatte ipotesi, graverà l’onere di dimostrare la corretta autenticazione delle operazioni contestate e l’assenza di anomalie piuttosto che il dolo o la colpa grave dell’utilizzatore (cliente) ai sensi del combinato disposto degli artt. 7, 10, c. 2 e 12 D.Lgs 11/2010 e della Sez. IV n. 2, del Provvedimento della Banca d’Italia del 05.07.2011.
I professionisti di AL Hub Consulting si propongono, a tal fine, come supporto in termini di consulenza per la conservazione e la tutela giudiziaria del proprio patrimonio.
Per info contattare: tel. +39-0966-45666 – WhatsApp al numero 334-2721437 – E-mail: info@alhubconsulting.it
Add on LinkedIn