Bonifici truffa con sim falsa: responsabili la banca e Tim

Il Sole 24 Ore 13 Agosto 2024 di Alessandro Galimberti

MILANO

La responsabilità per la sicurezza dell’home banking è di tipo oggettivo; la banca può liberarsene solo provando che le operazioni contestate dal cliente sono dovute al suo specifico dolo o colpa grave.

Il Tribunale di Milano (VI civile, est. Anna Giorgia Carbone) condanna in solido la banca (Bper) e l’operatore telefonico (Tim) per non aver bloccato una serie di bonifici truffa, per circa 163 mila euro, subìti da due aziende milanesi durante le vacanze di fine anno del 2020.

Ad accorgersi di anomalìe nel funzionamento dell’interfaccia digitale, era stata una dipendente delle due società durante il check di fine anno: non riceveva più sul cellulare aziendale gli Otp (one time pin) con cui vengono autorizzate le operazioni comandate, una volta eseguito l’accesso sulla piattaforma. A seguito delle tempestive segnalazioni al servizio clienti della banca, il call centre dedicato aveva solo suggerito di reinstallare la app, operazione che non aveva risolto nulla. Solo nei giorni successivi era emersa la dinamica della truffa cosiddetta sim swap: i truffatori dopo aver carpito username e password dell’home banking aziendale (non è stato chiarito se mediante phishing o fuga interna di info sensibili), si erano presentati a un punto di assistenza Tim, ottenendo con incredibile facilità la duplicazione della tessera sim (sostituzione di persona con documenti falsi, mancata richiesta di restituzione della vecchia scheda o denuncia di smarrimento). In tal modo i codici di sicurezza Otp da quel momento erano stati inviati solo alla nuova scheda clonata, saldamente controllata dai truffatori digitali.

Bper – subentrata nel contratto originario a Banca Intesa – al processo ha obiettato la scarsa diligenza delle clienti – la password era nella disponibilità di vari dipendenti – ma la giudice, sulla scorta di una consolidata giurisprudenza di legittimità, ha sottolineato che «la possibilità di una abusiva utilizzazione delle credenziali di accesso da parte di terzi rientra nel rischio d’impresa della banca intermediaria, sulla quale grava pertanto una responsabilità di tipo oggettivo», superabile solo dal dolo o colpa grave del cliente. Si tratta, peraltro, di responsabilità per trattamento dei dati personali (Cassazione 10638/2016), la cui prova liberatoria consiste solo nell’aver adottato «tutte le misure idonee ad evitare il danno secondo le conoscenze acquisite in base al progresso tecnico, alla natura dei dati, alle caratteristiche specifiche del trattamento».

Aggiunge il Tribunale che «la banca era stata avvertita della sussistenza di anomalie sia il giorno stesso del fatto, sia il giorno immediatamente successivo, con molteplici telefonate al numero dedicato e alla consulente di fiducia della società. Tale comportamento è, quindi, di per sé sufficiente a destituire di ogni fondamento le difese» considerato poi che «l’istituto di credito non ha «adeguatamente provato l’allegata colpa grave del cliente, rinvenibile, in tesi, nell’avere omesso le necessarie cautele per la conservazione delle credenziali personali».

Alle società – assistite da Andrea Monti e Lorenzo Vigasio – spetta ora l’integrale risarcimento del danno attualizzato, a carico solidalmente della banca e dell’operatore telefonico. La prima aveva proposto «per buona volontà» una transazione al 50%, il secondo un “bonus” di 325 euro.