La Corte d’appello di Torino con sentenza n. 892 del 29 aprile 2026 (Pres. Ratti, Rel. Orlando) si è di recente pronunciata in merito all’imputazione della responsabilità in un caso di frode informatica del tipo Sim Swap Fraud.
In particolare, la Sim Swap Fraud consiste in una frode informatica caratterizzata dall’ “utilizzo fraudolento di strumenti elettronici di pagamento associato al furto di identità telefonica, che consente un aggiramento del sistema di autenticazione a doppio fattore; in particolare il codice OTP viene ricevuto da chi ha fraudolentemente carpito l’identità telefonica, ottenendo una nuova Sim, attiva e funzionante sino a quando l’effettivo titolare non se ne accorge e non procede al blocco della stessa”.
Nel caso di specie, l’intermediario non aveva adempiuto ad una pronuncia dell’Arbitro Bancario e Finanziario che ne riconosceva la responsabilità per una frode informatica realizzata mediante il sistema della cd. “sim swap fraud“, e, pertanto, il ricorrente si era rivolto al Giudice ordinario, che aveva accolto nuovamente il ricorso del cliente. La banca, tuttavia, appellava la decisione di primo grado innanzi la Corte territorialmente competente.
Nella fattispecie, precisa la Corte, trova applicazione il D. Lgs. 11/2010, per cui nelle operazioni non autorizzate che seguono a fenomeni di furto, smarrimento o appropriazione indebita dello strumento di pagamento la responsabilità della banca deve escludersi solo:
- nell’ipotesi in cui il cliente abbia abito in maniera fraudolenta
- o non abbia adottato, con dolo o colpa grave, le misure volte a proteggere i codici di sicurezza e non abbia comunicato immediatamente, appena ne ha conoscenza, il furto, lo smarrimento o l’utilizzo indebito dello strumento di pagamento
La Corte, infatti – in richiamo di alcune pronunce della Cassazione tra cui 23683/2024 e 13204/2023 – precisa come l’utilizzo dei codici di accesso da parte dei soggetti terzi, non ricollegabile a dolo o condotte incaute del cliente, sia riconducibile all’area di rischio professionale del prestatore del servizio di pagamento. Spetta, quindi, a quest’ultimo l’onere della prova della riconducibilità dell’operazione al cliente.
Tale onere probatorio non può ritenersi assolto in presenza dell’apparente regolarità delle operazioni in relazione all’autenticazione, registrazione e contabilizzazione ovvero l’assenza di malfunzionamenti del sistema. Tali elementi non sono, infatti, in grado di provare la colpa grave del cliente.
Nel caso di specie, poi, la banca aveva richiesto il coinvolgimento in giudizio dell’operatore telefonico gestore della Sim oggetto di giudizio: ciò, in quanto aveva sostenuto in giudizio la sua collaborazione colpevole nella captazione delle credenziali statiche del conto corrente (codice utente e PIN) e nella sua negligenza della captazione dei codici di autenticazione dinamici (OTP).
La Corte d’appello, in conformità con il Tribunale di primo grado, ha precisato come non si tratti di litisconsorzio necessario e, quindi, la chiamata del terzo ricada nella discrezionale valutazione giudiziale e per questo non sindacabile in appello. Evidenzia la Corte come un’eventuale responsabilità concorrente dell’operatore telefonico ben possa essere accertata in separato giudizio.
Da ultimo, la Corte ha affermato che le spese stragiudiziali sostenute dal cliente per il giudizio davanti all’ABF hanno natura di danno emergente, consistente nel costo sostenuto per l’attività svolta da un legale in detta fase pre-contenziosa (potenzialmente idonea a definire preventivamente la controversia), e pertanto sono soggette ai normali oneri di domanda, allegazione e prova secondo l’ordinaria scansione processuale, e, laddove provate, devono essere liquidate secondo le tariffe forensi.
Nel caso di specie, quindi, la Corte d’Appello ha rigettato il ricorso della banca e confermato la sentenza impugnata.
