Il Tribunale di Milano ha condannato la banca Bper e l’operatore telefonico Tim per non aver impedito una serie di bonifici fraudolenti, per un totale di circa 163 mila euro, subiti da due aziende milanesi alla fine del 2020. La frode è avvenuta attraverso un attacco di “sim swap“, dove i truffatori hanno ottenuto il controllo della SIM aziendale per ricevere i codici OTP necessari per autorizzare le operazioni bancarie.
La vicenda è iniziata quando una dipendente delle due società ha notato anomalie nel funzionamento dell’interfaccia di home banking, come il mancato ricevimento dei codici OTP sul cellulare aziendale. Nonostante le segnalazioni immediate al servizio clienti della banca, il problema è stato inizialmente sottovalutato, con suggerimenti superficiali come la reinstallazione dell’app, che non ha risolto il problema. Solo in seguito è emerso che i truffatori, dopo aver ottenuto le credenziali di accesso all’home banking (non è chiaro se tramite phishing o fuga interna di informazioni sensibili), erano riusciti a duplicare la SIM andando in un centro TIM con documenti falsi e ricevendo così i codici di sicurezza destinati al conto aziendale.
In tribunale, Bper ha tentato di difendersi sostenendo che la responsabilità fosse delle aziende, che avrebbero mostrato scarsa diligenza nella protezione delle credenziali. Tuttavia, la giudice ha ribadito che, secondo una giurisprudenza consolidata, la banca ha una responsabilità oggettiva per la sicurezza delle operazioni di home banking, che può essere superata solo dimostrando il dolo o la colpa grave del cliente. La banca, in questo caso, non è riuscita a dimostrare che il comportamento delle aziende fosse talmente negligente da esonerarla dalla responsabilità.
Questo caso evidenzia come la sicurezza delle operazioni di home banking non sia solo una questione tecnica, ma anche una questione di responsabilità legale. E come sia sempre fondamentale, identificare chiaramente sia chi dispone l’operazione ma anche il prenditore finale dei fondi (principi chiave, ad esempio, nella soluzione di pagamento offerta da MyBank).
Fa sorridere il tentativo iniziale di banca e operatore telefonico: la prima aveva proposto “per buona volontà” una transazione al 50%, il secondo un “bonus” di 325 euro.
P.S.
Il principio di Responsabilità Oggettiva
«L’istituto che svolge un’attività di tipo finanziario o in generale creditizio risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore».
Fonte: IlSole24Ore, Norme&Tributi