Phishing/smishing: ennesima condanna di Poste Italiane su ricorso dello Studio Grandinetti all’ABF

In data 6.6.24, lo studio legale Grandinetti ha ottenuto l’ennesima importante pronuncia da parte dell’ABF Collegio di bologna con il quale i giudicanti hanno dato ragione a una donna originaria di Firenze, ordinando a POSTE ITALIANE SPA, la restituzione alla stessa di quanto fraudolentemente sottratto dal suo conto corrente, ovverosia la cospicua somma di € 19.000.00.

Nel caso di specie si è trattato del fenomeno dello “smishing”, che inizia con l’invio di un SMS, seguito dalla chiamata di un di finto operatore che chiama al telefono le possibili vittime dell’attacco, mediante un sistema vocale automatizzato (utilizzando ad esempio un sistema VoIP), spacciandolo per il call center della banca o di un istituto di credito). L’ SMS nella maggior parte dei casi segnala al correntista un qualche problema sul conto bancario o sulla carta di credito: nel caso in esame, la vittima riceveva una telefonata da un numero che aveva salvato in rubrica come il servizio clienti del proprio istituto di credito.

Nello specifico la donna assistita dall’Avv.Grandinetti, riceveva sulla propria utenza mobile un sms proveniente dal proprio Istituto di credito – Poste italiane spa – con il quale veniva allarmata circa un tentativo di accesso anomalo al suo conto dalla città di Lugano con invito a cliccare su link indicato per collegarsi al call center della banca: una volta cliccato sul link, la stessa veniva contatta – dal numero dedicato di Poste italiane +390113144 – da un operatore di Poste, il quale la guidava nella procedura per la messa in sicurezza dell’home banking: le richiedeva quindi di accedere al conto dalla sua app e di trasmettergli attraverso un messaggio una foto del QR code presente nei menù dell’applicazione.

Subito dopo aver compiuto questa operazione, la ricorrente veniva quindi tranquillizzata dalla ricezione di un sms con il quale la stessa veniva avvisata che il conto sarebbe stato riattivato nei giorni seguenti: di fatto, dopo tale comunicazione, dalla carta prepagata della vittima venivano effettuati fraudolentemente delle operazioni dal suo conto, a favore di terzi ignoti.

Questi ultimi infatti, dopo aver fatto confluire il rimborso dei buoni fruttiferi, acquistati a suo tempo, sul conto, disponevano n.2 bonifici a favore di un codice iban appartenente ad un soggetto residente in Sicilia (poi risultato irrintracciabile), per l’importo totale di € 19.008.13.

Nella fattispecie, quindi, in difesa della correntista, l’Avv.Grandinetti chiedeva ai Giudicanti dell’ABF, che venisse dichiarata la responsabilità oggettiva della banca per l’accaduto, non avendo la stessa evitato l’agire fraudolento di terzi a danno della propria correntista. La pronuncia del Collegio di Bologna del 06.06.24 quindi, in accoglimento della domanda, statuiva che, in assenza di “un’autenticazione forte“, la protezione dei dati sensibili viene meno, ricorrendo quindi, in caso di prelievi fraudolenti, la responsabilità dell’Istituto bancario.

Il Collegio evidenziava infatti come l’intermediario non avesse chiarito (non provando con alcuna allegazione) se fosse stata utilizzata l’app installata sul device della correntista o quella eventualmente installata sul device del terzo truffatore, non provando, così, il secondo fattore di autenticazione (elemento di possesso): “la prova dell’autenticazione forte, richiesta per tutte le operazioni on line a far data dal 14 settembre 2019, deve essere fornita sia con riferimento alla fase di autorizzazione dell’operazione stessa sia con riguardo ad eventuali passaggi precedenti e funzionali alla sua esecuzione ritenuti rilevanti ai fini della sicurezza (es. accesso all’home banking, enrollment dell’app)….In fattispecie analoghe alla presente, dinanzi ad una ricostruzione del caso dal quale non v’è alcuna certezza su quale app sia stata utilizzata per l’esecuzione dell’operazione contestata, questo Collegio ha ritenuto che difettasse la prova circa la regolarità formale della procedura posta in essere”.

Sotto il profilo probatorio, la vittima ha dovuto dimostrare unicamente la fonte del proprio diritto – il contratto di conto corrente – e che le sue credenziali sono state utilizzate fraudolentemente.

QUI LA PRONUNCIA ABF COLL. BOLOGNA DEL 06.06.24