Truffa della SIM swap: la Casa del Consumatore fa condannare la Banca che restituisce 20.000 euro

Importante decisione dell’ABF (l’Arbitro Bancario e Finanziario presso la Banca d’Italia) a favore di una piccola azienda agricola il cui titolare è stato truffato mediante la tecnica della SIM swap.

La storia

Nell’ottobre 2019 il titolare di un’azienda agricola si accorgeva che il suo smartphone gli impediva di effettuare chiamate e accedere a internet. A seguito di questo malfunzionamento il malcapitato si recava presso un negozio di telefonia per cercare di risolvere il problema che, in un primo momento, pareva attribuibile a un malfunzionamento della SIM. In quell’occasione gli veniva consigliato di provare a spegnere il telefono e a disinserire la SIM. Persistendo il problema, il giorno successivo si recava presso il centro di telefonia e richiedeva la sostituzione della SIM card. In quell’occasione il truffato apprendeva, dalla compagnia telefonica, che il giorno precedente era già stato richiesto ed effettuato un cambio della SIM card collegata al numero di cui lo stesso era titolare.

Insospettito dall’accaduto, il titolare dell’azienda agricola contattava la filiale della sua banca e in quell’occasione apprendeva che il giorno stesso, in cui si era verificato il malfunzionamento, era stato fraudolentemente disposto, dal suo conto online, un bonifico istantaneo di € 19.963,00 a favore di un soggetto a lui sconosciuto.

In quell’occasione procedeva a sporgere querela contro ignoti per truffa informatica e disconosceva l’operazione presso la banca che però si dichiarava totalmente estranea all’accaduto rifiutando il rimborso.

La truffa

La truffa denominata SIM Swap Fraud è la sostituzione, con un documento d’identità contraffatto della SIM del titolare di un conto corrente bancario.
“La tecnica della SIM swap – esordisce Stefano Santin della Casa del Consumatore, che ha assistito l’azienda – viene utilizzata dagli autori della truffa per aggirare il sistema di autenticazione con OTP, che consiste generalmente in un codice alfanumerico (generato da un algoritmo) trasmesso all’utente su un canale fuori banda (nella specie, messaggistica SMS), per cui è sempre necessaria, ai fini della sua utilizzazione, una tecnologia supplementare (ITC mobile o token ecc.), Dall’esperienza acquisita nei casi seguiti in tutta Italia – continua Santin – si è appurato che gli autori della truffa sono in grado di ottenere le credenziali di accesso ai sistemi di home banking, attraverso attività di phishing o acquistandole sul dark web, per poter poi, una volta ottenuta la nuova SIM card, effettuare l’accesso abusivo sul conto corrente”.

Responsabilità della Banca

“Molti potrebbero pensare: perché c’è una responsabilità della banca per una truffa sulla SIM? – spiega Santin, che è anche consulente in tematiche bancarie della trasmissione Mi Manda Rai Tre – Semplicemente perché la sottrazione dell’identità telefonica è in grado di superare il sistema di autenticazione multifattoriale (due codici), pur in astratto predisposto dalla banca, essendo l’utenza telefonica il naturale sito di ricezione del codice. Si ritiene, quindi, che nei casi di SIM Swap Fraud la sostituzione della SIM card vada equiparata alla mancanza di autenticazione dell’operazione di pagamento e pertanto la banca deve risarcire il malcapitato”.

“In fin dei conti – conclude il presidente della Casa del Consumatore Piemonte – la banca ha scelto il sistema di SMS per inviare sia i codici di accesso al conto corrente sia per autorizzare le operazioni. Se il sistema fa acqua, quindi, chi l’ha scelto sulla testa dei correntisti deve pagare”.