Il collegio arbitrale di Milano (ABF) ha avuto recentemente modo di esaminare un altro caso di truffa che passa sotto il nome di caller ID spoofing con la decisione 6765/2024. E’ un raggiro che quasi sempre riguarda una truffa bancaria.
I soggetti interessati sono: la vittima (titolare del conto corrente) e il finto operatore della Banca.
Corre l’obbligo di precisare che dal punto di vista tecnico affinché si possa qualificare come tale è necessario che dal registro delle chiamate ricevute dalla vittima si possa rilevare che le chiamate risultano effettivamente provenienti da un numero che coincide con il numero verde della Banca. Inoltre dagli screenshot degli SMS fraudolenti si deve poter evincere che quest’ultimi sono inseriti almeno in una chat la cui denominazione coincide con quella dell’intermediario convenuto.
Breve ricostruzione dei fatti come riportato nel caso della decisione in commento per avere un idea della dinamica di svolgimento:
Sabato 30/09/2023, alle ore 14:40 circa, parte ricorrente (che cioè si è rivolta all’Arbitro Bancario e Finanziario) riceveva una telefonata dal numero verde dell’intermediario; l’interlocutore, qualificatosi come operatore dell’ufficio antifrode dell’intermediario, lo informava dell’inserimento di un bonifico bancario da € 14.990,00, chiedendo se detta operazione fosse stata effettivamente disposta eo autorizzata dal correntista: al suo diniego, il sedicente operatore lo invitava a provvedere all’immediata revoca del bonifico mediante una procedura guidata, previo accesso all’area personale ed al fine di rassicurarlo gli inviava un SMS, in sequenza ai messaggi genuini dell’intermediario, recante il proprio nome, cognome e codice identificativo.
Parte ricorrente tentava di mettersi in contatto con un operatore del Centro di assistenza dell’intermediario, onde avere definitivo riscontro circa l’autenticità della chiamata, tuttavia, ciò non era possibile in quanto dalle 15:00 del sabato sino alle 09:00 del lunedì, il servizio clienti è inattivo. Incalzato dal sedicente operatore, parte ricorrente effettuava l’accesso all’area riservata e disponeva un bonifico istantaneo di € 14.990,00, inserendo il beneficiario e la causale suggeriti dall’interlocutore. All’esito riceveva un sms con conferma di revoca del bonifico.
Il punto nevralgico da cui partire è che l’operazione contestata oggetto di ricorso ABF è stata disposta, sia pure per effetto di artifici e raggiri, personalmente da parte della ricorrente che è entrata nella propria area personale dell’home banking seguendo le istruzioni del truffatore da cui ha recepito le indicazioni quanto a beneficiario, IBAN e causale del bonifico. Sia pure nell’erronea convinzione di procedere, in tal modo, allo storno di un presunto pagamento fraudolento.
Il tenore dello svolgimento dei fatti consentono pertanto di definire un primo inquadramento dal punto di vista in diritto tale per cui non è applicabile la disciplina delle operazioni non autorizzate di cui al d.lgs n. 11/2010 e che quindi l’intermediario è esonerato dalla prova di autenticazione.
Conseguentemente le operazioni effettuate dal cliente, seppure sulla base di un consenso viziato dal raggiro subito dal terzo ignoto, non possono configurarsi come non autorizzate in quanto ex art. 5 d.lgs. n. 11/2010 tale è quella effettuata in assenza del consenso del pagatore.
Orbene affinché la domanda di ristoro del consumatore / cliente della Banca possa essere accolta occorre il presupposto che nella specifica fattispecie (il caso in concreto) sia ravvisabile una eventuale responsabilità in termini di concorso di colpa dell’intermediario (la Banca) nei cui confronti non è configurabile una responsabilità oggettiva. E che tale concorso colposo sia ben riconoscibile sulla base delle norme di diritto comune diventando essenziale la documentazione versata in atti per identificare l’apporto causale della Banca.
Un apporto che per avere efficacia determinante dovrà potersi sostenere come in mancanza il raggiro non avrebbe dato i risultati intesi come l’esito della truffa.
Presupposto della responsabilità della Banca che qualora fosse dimostrata sarebbe obbligata a rifondere la somma indebitamente sottratta al proprio Cliente, è riuscire ad identificare una condizione indefettibile (in mancanza della quale cioè il raggiro non avrebbe avuto il medesimo effetto persuasivo) tale per cui si possa sostenere che l’accaduto sia stato conseguenza non solo di un’inadeguata protezione dei propri dati riservati, ma anche dell’inefficienza dei sistema di sicurezza e dunque sia imputabile alla mancanza di diligenza dell’intermediario.
E’ una prova di non facile produzione che correttamente spesso viene definita molto difficoltosa.
Come cautelarsi quindi? Senza ombra di dubbio la prima e più efficace linea difensiva è la prudenza. L’essere diffidenti e il domandare sempre chiarimenti a terzi in via preventiva è essenziale. Specialmente in circostanze dubbie o inconsuete. Anche se nel caso in questione una parte della natura insidiosa di questa truffa annida nel carattere dell’urgenza millantata dal sedicente e falso operatore che a suo volta millanta si sia consumato un prelievo non autorizzato e fraudolento di una somma rilevante dal c/c.
In questo caso alcuni Autori nei paesi di common law parlano di false friends perché la natura è quella dell’inganno di chi cioè si professa “dalla tua parte” e “corre in tuo soccorso”, come tale si è portati a pensare che egli agisca per lavoro allo scopo di salvaguardarti da un evento dannoso che altri hanno già realizzato (o stanno provando a realizzare) e di cui tu sei vittima ignara. In realtà il pericolo non esiste o meglio il pericolo è il soccorritore stesso.
Esistono diverse varianti ma l’aspetto principale è quello che si potrebbe definire il prestigio cioè l’attirare o meglio il veicolare l’attenzione della vittima su indizi apparentemente credibili (numero di telefono e nominativi della chat) cercando nel contempo di manipolare con l’effetto frenesia la sua comprensibile indecisione. La collaborazione della vittima è essenziale.
E’ tuttavia necessario quantomeno provare ad identificare il limite oltre il quale gli artifici per quanto persuasivi non siano di facile respingimento.
Per questo motivo sembra utile, come lo è in quasi tutte le truffe informatiche fare appello alla macro famiglia di genere superiore. Gran parte delle tecniche di inganno infatti fanno parte di un vasto arcipelago di possibili scelte. Immaginatevele come delle frecce nella faretra e la scelta di o delle quali utilizzare appartiene al truffatore.
Partire quindi da un indagine conoscitiva della tecnica utilizzata è un ottimo modo per predisporre una difesa della vittima anche nel temerario e per nulla semplice caso di dover chiedere la restituzione degli averi alla Banca.
Il concetto è che una prima strategia difensiva, da sottoporre al Giudice potrebbe essere quella di rendergli noto se in effetti la Banca vada esente da qualunque tentativo di truffa del genere perché è protetta oppure è carente per la macro famiglia a cui appartiene.
Il caller ID spoofing viene ricondotto al più vasto fenomeno del c.d. smishing che a sua volta identifica la circostanza di chi abbia dato corso alle istruzioni ricevute in un sms da terzo truffatore il quale utilizzando un servizio di sms sender ID spoofing, appariva al malcapitato destinatario con il nome di un terzo.
Nella sua formulazione più completa il destinatario della truffa (in questo caso lo definiamo l’attore) si collega su un sito specchio di quello della convenuta (la Banca), realizzato a regola d’arte dal terzo truffatore. In questo sito l’attore inserisce i propri codici di accesso al conto corrente on line, in questo modo comunicandoli senza volerlo al terzo truffatore. Così facendo quest’ultimo si è anche procurato (e in parte li ha già verificati) tutti i codici che gli servivano per operare sul conto, modificare le credenziali di contatto ed i limiti di bonifico da parte del terzo. Tutto questo infatti è stato inserito sul sito, apparentemente dalla convenuta (Banca), proprio dall’attore che veniva contattato sempre apparentemente dalla convenuta grazie all’utilizzo, da parte del terzo truffatore di un servizio di caller ID spoofing che consente di effettuare le telefonate scegliendo il numero con il quale l’autore della telefonata intende presentarsi, pur chiamando da
altro numero.
Ecco quindi che la tecnica di caller ID spoofing può far parte della truffa o esserne essa stessa l’epicentro. Motivo per cui si può affermare che fa parte di una macro famiglia.
E’ anche possibile produrre una scala di valori che identificano la truffa o il raggiro in base alle tecniche informatiche o tecnologiche utilizzate tale per cui nella sua forma più completa realizza ad esempio un 10 su 10 in una scala da 1 a 10, mentre altri tentativi che la realizzano in tutto o in parte variano, da un minimo magari di 3 a un massimo di 7. Orbene dimostrare al Giudice che la Banca non è protetta per esempio dal 10 su 10 non significa automaticamente che non sia protetta anche da livelli più bassi però apre a un dubbio.
La mancanza di adozione da parte della Banca di cautele idonee ad evitare l’esecuzione di operazioni non autorizzate diventa grave aumentandone cioè il livello di gravità fino a deporre per una sua corresponsabilità laddove si consideri che la disposizione di bonifico risulti essere di valore significativo e del tutto estranea all’ordinaria operatività del Cliente circostanza che avrebbe dovuto portare l’accorto banchiere, in forza del livello di diligenza da lui preteso, non ultimo dall’art. 1176 del codice civile, ad adottare cautele ulteriori e non standardizzate o meramente automatizzate, prima di dare corso a tale anomala operazione.
L’automatizzazione dei controlli bancari pur essendo consentita dal progresso scientifico e tecnologico non può comportare, infatti, una regressione del livello di tutela che deve essere garantito al singolo risparmiatore. Ed è anch’esso un elemento importante da valutare nelle strategie difensive.
Sostenere che il livello di protezione è solo quello standard in realtà significa insinuare il dubbio che manchi di qualunque capacità di adeguamento e la c.d. falla non è improbabile. Tutto ciò che è standard non corrisponde alle esigenze trasformative che sono quelle in realtà richieste per essere sistematicamente al passo con la prevenzione delle truffe che si avvalgono di tecnologia.
Giova opportuno considerare alcuni elementi che sarebbe utile tenere ben presenti nell’analizzare la difesa:
1) Verificare la credibilità delle comunicazioni in forma scritta come ricevute, se cioè ad es. non presentino macroscopici errori grammaticali pur essendo sintetiche ed imperative.
2) Verificare attentamente se la vittima abbia o meno comunicato telefonicamente o con altre modalità gravemente imprudenti al terzo truffatore le proprie credenziali per operare sul conto corrente o lo abbia messo nelle condizioni di farlo ovvero abbia egli stesso compiuto i passaggi necessari a realizzare la truffa.
3) Verificare se la Banca possa o meno dimostrare che la vittima abbia assunto un contegno di straordinaria e inescusabile leggerezza tale per cui ella non abbia rispettato quella minima prudenza esigibile ed osservabile da tutti.
Da un punto di vista difensivo è utile concepire una griglia dove inserire a seconda dell’analisi del caso la spunta sulle singole fattispecie che si sono verificate. L’utilizzo di tabelle riassuntive datasi la necessità analitica di esaminare passo dopo passo ogni singolo evento / accadimento come verificatosi è utile per personalizzare al meglio la strategia difensiva.
Orbene, nel caso oggetto del ricorso in commento e in apertura di questo articolo la decisione dell’ABF di Milano è ben condivisibile e corretta. L’agire della vittima per quanto comprensibilmente indotta in errore dall’inganno predatorio ordito a suo danno è stato determinante e ben oltre i limiti del prevedibile.
Non è possibile addebitare alla Banca una forma di corresponsabilità per quanto dalle more della difesa per come si legge l’Istituto di credito non sembra avere ben chiaro l’epicentro delle esimenti che certamente concorrono a manlevarla da responsabilità essendo che leggendo le difese alcune sembrano sganciate da una reale efficacia tenuto conto del caso.
In conclusione è fondamentale che la vittima di una siffatta deprecabile prassi dopo aver razionalizzato di avere subito una potenziale truffa si rivolga ad un Avvocato esperto di queste procedure e prima di tutto formuli una adeguata denuncia del reato alle forze di pubblica sicurezza dopo essersi assicurata di avere tempestivamente fatto tutto ciò che è in suo potere per bloccare, dove possibile, lo svolgimento della truffa.
Successivamente è necessario affidarsi ad una preanalisi molto seria ed accurata prima di presentare alla propria Banca la contestazione formale con richiesta di ristoro. La preanalisi se adeguatamente definita da parte del Professionista risponde già alla domanda se si abbia o meno diritto a vedersi restituire i propri avere dalla Banca laddove quest’ultima sia quantomeno individuabile come portatrice di una o più criticità ove poter insinuare presunte corresponsabilità.
Marco Solferini, legale, delegato Aduc Bologna