La frode informatica cd. Sim Swap Fraud si realizza allorquando il trasgressore - dopo essersi impossessato delle credenziali di accesso alla home banking della vittima (User e Password) ed aver duplicato la sua carta sim - riesce a deviare, nell'imminenza di un'operazione bancaria, sia i messaggi di alert che i codici OTP/OTS inviati dall'istituto di credito. Ciò gli consente di bypassare la protezione forte (autenticazione a due fattori) e a compiere delle operazioni di Internet banking in danno del correntista, senza che quest'ultimo se ne accorga.

Secondo la giurisprudenza maggioritaria, in caso di Sim Swap Fraud, sussisterebbe una responsabilità solidale dell'istituto bancario con l'operatore telefonico, salvo il diritto di rivalsa del primo nei confronti del secondo.

In base a quanto previsto dall'art. 10 D.Lgs. 11/2010, infatti, qualora il correntista dovesse disconoscere un'operazione di addebito sul proprio conto, sarà onere della banca dimostrare non solo di avere applicato l'autenticazione a due fattori, ma, altresì, il dolo o la colpa grave dell'utente.

Stante la natura altamente complessa di detta operazione fraudolenta - per avere il correntista subito il furto della propria identità telefonica - non è possibile ravvisare in capo a quest'ultimo un comportamento colposo, con la conseguenza che la responsabilità dovrà ricadere direttamente sull'intermediario; ciò, in conseguenza del fatto che la sostituzione della sim card viene equiparata alla mancanza di autenticazione forte dell'operazione di pagamento, richiesta dal cliente.

Pertanto, anche in assenza di una responsabilità materiale da parte dell'istituto bancario, l'impianto normativo sembra attribuire a quest'ultimo il rischio derivante dal verificarsi del suddetto illecito, ogni qualvolta non possa configurarsi una colpa grave da parte del correntista (come, ad esempio, l'adozione di misure non riservate nella custodia delle proprie credenziali o la mancata segnalazione al proprio istituto di credito di operazioni bancarie non autorizzate, appena ne sia venuto a conoscenza).

Tale orientamento giurisprudenziale trova un'opinione contrastante nella recente sentenza del Tribunale di Napoli Nord (n. 5062 del 30 dicembre 2024), secondo cui la responsabilità di detta truffa informatica sarebbe da attribuire all'operatore telefonico, il quale, prima di procedere alla sostituzione della carta sim per avvenuto smarrimento, avrebbe dovuto verificare sia l'identità del soggetto richiedente sia l'autenticità e credibilità della denuncia di smarrimento. Tali controlli preliminari non vennero effettuati, con ciò consentendo ai malfattori di poter reindirizzare sulla nuova utenza telefonica, a loro intestata, i codici dinamici OTP/OTS.

Pertanto, in considerazione del fatto che la truffa non si sarebbe perfezionata senza il suddetto comportamento negligente da parte dell'operatore telefonico, la responsabilità della banca per il danno patrimoniale subito dal correntista verrebbe meno. Secondo detta pronuncia, infatti, il comportamento negligente dell'operatore telefonico - in quanto circostanza del tutto indipendente dal controllo della banca stessa - sarebbe tale da escludere, ai sensi dell'art. 1218 c.c., la configurabilità di un inadempimento contrattuale della banca rispetto ai suoi doveri di protezione del correntista all'atto dell'utilizzo dei servizi di Internet banking.

Avv. Michele Accettella

© RIPRODUZIONE RISERVATA 2025