Nell’ambito delle operazioni di pagamento a distanza, come i bonifici effettuati tramite servizi di home banking, il tema della responsabilità delle istituzioni finanziarie e degli operatori di telecomunicazioni è sempre più centrale. Questo articolo esamina un caso riguardante BPER Banca SpA e TIM SpA, con particolare attenzione alle problematiche legate alla sicurezza delle transazioni online e alla tutela dei consumatori in caso di frodi digitali.
La mancata adozione, da parte della banca o del gestore di telefonia, di misure sufficienti a prevenire la truffa, genera una responsabilità in capo agli stessi e permette ai correntisti di recuperare i soldi truffati mediante bonifici non autorizzati.
Table of Contents
Truffa bancaria: responsabilità della banca
Le operazioni di pagamento non autorizzate sono regolate in Italia dal d.lgs. 27 gennaio 2010, n. 11, modificato dal d.lgs. n. 218/2017, che ha recepito la direttiva europea 2015/2366/EU (PSD2). Queste norme impongono agli istituti di credito e ai fornitori di servizi di pagamento di adottare misure di sicurezza idonee per proteggere i dispositivi di autenticazione e le credenziali personalizzate degli utenti. In difetto, i soldi “truffati con bonifico” non autorizzato da parte dell‘effettivo titolare del conto corrente, possono essere richiesti alla Banca.
Anche la Cassazione, in diverse pronunce (es. Cass. n. 10638/2016, Cass. n. 2950/2017, Cass. n. 16417/2022), ha stabilito che le banche sono responsabili per eventuali accessi abusivi ai conti correnti online, a meno che non dimostrino di aver adottato tutte le misure di sicurezza tecnologiche idonee a prevenire tali accessi non autorizzati.
Il caso specifico: la frode del “SIM swap”
In questo scenario, la vicenda in esame coinvolge una truffa di tipo SIM swap, in cui i truffatori, attraverso tecniche di phishing, ottengono le credenziali d’accesso ai conti bancari della vittima e successivamente richiedono alla compagnia telefonica un duplicato della SIM card. Questo consente loro di ricevere i codici OTP necessari per completare operazioni fraudolente, come bonifici online, a nome del cliente legittimo.
La normativa vigente impone che il prestatore di servizi di pagamento adotti sistemi di autenticazione “forte” per garantire la sicurezza delle operazioni. Tuttavia, come sottolineato dalla giurisprudenza (Cass. n. 26916/2020), l’utilizzo di tali strumenti di sicurezza non esclude automaticamente la responsabilità dell’istituto di credito nel caso di operazioni fraudolente. La banca deve, infatti, provare che l’utilizzo fraudolento delle credenziali non sia attribuibile a proprie negligenze e che l’evento dannoso derivi da dolo o colpa grave del cliente.
Nel caso esaminato, BPER Banca SpA ha implementato un sistema di autenticazione forte, ma ciò è stato considerato come il minimo livello di sicurezza richiesto dalla legge. Nonostante la presenza di tale sistema, la banca non ha dimostrato che l’operazione contestata fosse frutto di dolo o colpa grave del cliente. In particolare, la truffa è avvenuta senza che la vittima ne fosse a conoscenza, poiché, a seguito della disattivazione della SIM, non ha ricevuto gli avvisi di sicurezza né i codici OTP necessari per autorizzare i bonifici.
La responsabilità dell’operatore telefonico
Il gestore telefonico dal canto suo, ha una responsabilità diretta nell’ambito della gestione delle SIM card e, in particolare, nella corretta identificazione dei soggetti che richiedono la sostituzione o duplicazione delle SIM. Nel caso di frodi di tipo SIM swap, la giurisprudenza attribuisce all’operatore telefonico una specifica responsabilità in base al d.lgs. 196/2003 (Codice della Privacy), che impone al titolare del trattamento dei dati di adottare misure adeguate per garantire la sicurezza e la corretta identificazione degli utenti.
Nel caso in esame, TIM SpA non ha fornito una difesa convincente sulla legittimità delle procedure di rilascio del duplicato della SIM, lasciando presumere che non siano stati effettuati controlli adeguati sull’identità del richiedente. Questo comportamento rappresenta una violazione delle normative sulla protezione dei dati personali e delle regole sulla sicurezza delle comunicazioni elettroniche.
Cosa fare in caso di truffa bancaria
La vicenda in esame evidenzia come, in caso di frodi digitali, la responsabilità ricada principalmente sugli istituti di credito e sulle compagnie telefoniche. Le banche devono dimostrare di aver adottato le migliori tecnologie disponibili per prevenire le truffe, ma ciò non le esonera dalla responsabilità se le credenziali del cliente vengono abusivamente utilizzate da terzi. Allo stesso modo il gestore telefonico ha l’obbligo di adottare misure di controllo rigorose per prevenire abusi nella gestione delle SIM, pena il coinvolgimento nella responsabilità per i danni subiti dai clienti.
In conclusione, la responsabilità della banca e della compagnia telefonica nell’ipotesi di soldi “truffati con bonifico” non effettivamente autorizzato, è pressoché certa se le misure adottate si sono rivelate insufficienti per prevenire la truffa. Questo tipo di frode richiede una risposta più proattiva da parte degli operatori, che devono migliorare costantemente i propri sistemi di sicurezza per proteggere i consumatori in un contesto di minacce digitali sempre più sofisticate.
Contattami sei hai ricevuto addebiti bancari non autorizzati e vuoi agire per la tutela dei tuoi diritti