I truffatori diventano sempre più bravi. Specialmente quando si tratta di truffe online, in cui avvengono furti di dati e vengono raggirati anche i più sicuri sistemi informatici. Come nella storia di Anna D. e Maria Rosaria S., due donne che, a Napoli, hanno visto sottrarsi la bellezza di 29 mila euro. Una vicenda che racconta non solo di imbrogli, ma anche di colpe: delle due donne, di una banca e di Telecom Italia.
Anna e Maria Rosaria erano titolari di un conto corrente presso la banca Intesa Sanpaolo. Il 24 maggio 2020, dal suddetto conto, sono partiti due bonifici sospetti: il primo da 15 mila euro, diretto in Spagna. Il secondo da 14 mila euro, indirizzato invece verso l’Italia. Nessuna delle due operazioni è stata effettuata dalle due intestatarie del conto ma da un truffatore in possesso delle credenziali per accedere al conto.
L’autore del crimine però non beneficia soltanto di login e password per commettere il fatto: la storia è molto più articolata. Stando alle risultanze della Ctu espletata nel corso del giudizio, il primo accesso all’account delle due donne causa l’invio di una segnalazione, tramite la relativa app, ai due cellulari collegati a quel conto; immediatamente dopo una delle parti accede brevemente al conto, ma l’aggressore, sfruttando la possibilità di aggirare l’accesso con approvazione via app, fa inviare un sms a un numero di cellulare, a quella data in possesso di una delle due donne truffate. Misteriosamente, pochi minuti dopo digita il codice a sei cifre ivi contenuto, entrando nel conto. Ciò provoca l’invio di notifiche su entrambi i cellulari collegati al conto.
La mossa successiva da parte del truffatore è il furto dei dati anagrafici di una delle intestatarie del conto, ottenuti facilmente dall’apposita sezione nell’app della banca. Dopodichè, il truffatore imposta le tre cosiddette “domande segrete”, ulteriore misura di sicurezza, che non erano stata impostate dalle correntiste. Anche in questo caso, ad entrambi i cellulari collegati al conto viene inviato un messaggio di avviso tramite l’app. Passano i tre giorni necessari per attivare le nuove “domande segrete” e qualcuno, utilizzando una denuncia di smarrimento della Sim e un documento contraffatto, si fa consegnare da un rivenditore Tim una sim sostitutiva del numero di cellulare, perfezionando così una truffa del tipo “Sim swap” (consiste nell’impossessarsi del numero di cellulare dell’ignaro possessore allo scopo di accedere ad una serie di servizi ed informazioni collegati alla sim).
Poco dopo, utilizzando gli sms pervenuti a tale numero “clonato” e le domande segrete appositamente impostate, l’aggressore entra nel conto ed effettua quattro bonifici: i primi due bloccati dal sistema antifrode della banca, poi altri due rispettivamente da 15.000 e 14.000 che vanno a segno. Anche, durante tali operazioni, ai due cellulari collegati al conto sono stati inviati messaggi push tramite l’app della banca, che segnalavano un accesso al conto e sollecitavano l’utente a contattare la filiale.
Secondo il Ctu un cellulare - quello oggetto di Sim swap - potrebbe aver ricevuto tali messaggi solo se sotto copertura wifi, l’altro non è stato oggetto di attacco e deve averli necessariamente ricevuti. Per quanto riguarda la diligente custodia delle credenziali da parte delle attrici, da quanto in atti non è possibile sapere né come l’aggressore fosse in possesso della corretta coppia di login e password, né di come sia venuto in possesso, per ben quattro volte e in tempi rapidi, dei codici otp trasmessi via Sms sul cellulare di parte attrice il 24 maggio 2020. Resta il fatto che, in nessun caso, i messaggi ricevuti dalle parti attrici hanno causato una telefonata in filiale. In ciò potrebbe avere avuto però un ruolo proprio il fatto che al conto potevano accedere due persone invece di una, e di conseguenza ciascuna delle due poteva pensare che fosse l’altra, e non un truffatore, ad effettuare l’accesso.
Sul punto il consulente tecnico ingaggiato dalla parte lesa difesa dagli avvocati Alessandro Manganiello e Rosario Dursio dello studio legale Dms ha però precisato che i telefoni in uso sarebbe stato solo uno e non due, perché in realtà, come emerso anche dalla tracciatura, vi sarebbe stata una semplice sostituzione dell’unico telefono utilizzato poi oggetto di blocco per Sim swap (motivo per il quale sono stati rilevati due dispositivi nella tracciatura informatica). Il sistema di accesso scelto dalla banca, infatti, prevede che, in caso di problemi con l’app, sia possibile chiedere un accesso temporaneo tramite l’invio di un codice via sms e chi ha realizzato il sistema informatico avrebbe dovuto tenere conto della vulnerabilità di tale metodo di autenticazione.
Le analisi del log della tracciatura applicativa hanno inoltre evidenziato come, durante il primissimo accesso, il truffatore abbia potuto leggere a video i dettagli del documento di identità della correntista, dati la cui pubblicazione nell’area riservata dell’utente non è certo necessaria, visto che possono risultare utilissimi proprio per il compimento di una truffa di questo tipo.
Si è inoltre potuto verificare che il sistema antifrode della banca sia riuscito ad identificare come fortemente sospetta la seconda e la terza delle operazioni effettuate, ma a seguito di ciò si sia limitato ad impedire l’operazione in questione senza prendere iniziative più incisive, come il blocco dell’operatività dell’account.
Stando alla sentenza finale, Intesa Sanpaolo deve ritenersi responsabile della truffa subita dalle sue clienti, perché «non basta possedere un sistema di sicurezza certificato secondo la normativa vigente, in quanto il sistema può sempre subire incidenti», e la banca avrebbe potuto adottare, ma non lo ha fatto, un sistema immune dal tipo di truffa di cui furono vittime Anna e MariaRosaria. In sostanza la banca avrebbe dovuto negare, in caso di mancanza di connettività, la possibilità di accedere temporaneamente al conto inviando un codice via sms e quella di reimpostare le credenziali d’accesso senza passare per la filiale. Ciò ha reso possibile l’accesso a malintenzionati al conto delle clienti tramite un cellulare che non fosse quello in possesso del titolare del conto stesso non solo, ma per il truffatore fu possibile leggere a video i dati del documento d’identità della correntista, il che non sarebbe dovuto accadere, perché consentì al truffatore di chiedere una nuova carta sim per quel numero di telefono. Infine, il sistema antifrode della banca, in occasione delle operazioni fraudolente, pur attivandosi, non adottò misure radicali ma necessarie ed opportune, come bloccare l’account, il che avrebbe evitato le operazioni truffaldine.
Assieme alla banca, però, ha le sue colpe anche Telecom Italia, dato che «ha fornito al truffatore la sim intestata ad Anna D., grazie alla quale tutto ciò di cui si discute è stato possibile; lo ha fatto in seguito ad una richiesta di sostituzione della scheda, dato che ovviamente la prima era stata consegnata alla cliente. Il truffatore, dopo avere carpito le credenziali di home banking delle correntiste, ha infatti ottenuto una nuova sim card a nome di Anna D. da Telecom Italia ottenendo poi dalla banca la possibilità di poter operare sul conto online della cliente. Non è dimostrato che Telecom Italia abbia adeguatamente identificato chi aveva richiesto la sim in sostituzione; parte chiamata ha prodotto, per dimostrare di essere stata diligente, una falsa denuncia di smarrimento del telefono cellulare indirizzata da Anna D. ai carabinieri di Casoria ed una falsa carta d’identità di Anna D. ma non risulta che chi presentò questi documenti fosse identificabile nella persona descritta e raffigurata nella falsa carta d’identità con evidenti prove della sua inesattezza».
In definitiva Intesa Sanpaolo e Telecom Italia sono state condannate in solido a risarcire il 50% dei 29 mila euro di cui è costituita la truffa, oltre interessi e spese legali, considerato il concorso di colpa dell’attrice stessa. «Questo è solo il primo grado - affermano gli avvocati Alessandro Manganiello e Rosario Dursio, difensori delle correntiste truffate - Appelleremo la sentenza poiché riteniamo che dall’istruttoria del giudizio di primo grado sia emersa con certezza la responsabilità della banca e della compagnia telefonica mentre così non è stato rispetto alla condotta delle attrici».