TRADITI DALLA FOLLE CORSA ALLA TECNOLOGIA: LA FRODE SIM SWAP SVUOTA I CONTI E L’AMMINISTRATORE PERDE I CONDOMINI

Viviamo in un’era in cui la folle corsa alla digitalizzazione estrema e alla super tecnologia, lungi dal semplificare esclusivamente la vita professionale, ha innescato una altrettanto folle corsa verso nuovi, insidiosi problemi da affrontare. Se da un lato l’home banking permette di gestire decine di stabili con un clic, dall’altro apre il fianco a vulnerabilità informatiche che possono distruggere in pochi minuti una reputazione costruita in decenni. La recente sentenza n. R.G. 10113/2025 del Tribunale Ordinario di Milano, Sezione VI Civile, interviene proprio su questo delicato crinale, offrendo chiarimenti fondamentali sulla responsabilità degli istituti di credito e sui confini del nesso di causalità quando il “progresso” si trasforma in un incubo per l’amministratore.

Il contesto normativo in cui ci muoviamo è quello definito dal D.Lgs. n. 11/2010, che disciplina i servizi di pagamento e le responsabilità dei prestatori di tali servizi in caso di operazioni non autorizzate. Tuttavia, la tecnologia evolve più velocemente delle norme: oggi il terreno di scontro è la “SIM swap fraud”. Si tratta di una tecnica criminale dove i truffatori, attraverso manipolazioni informatiche o sociali, riescono a ottenere la duplicazione della SIM telefonica della vittima. Poiché molti sistemi bancari utilizzano ancora l’invio di codici OTP via SMS per autorizzare i bonifici, chi controlla la SIM controlla il portafoglio.

Il principio di diritto al centro dell’analisi condotta dal Tribunale di Milano riguarda la risarcibilità del danno ai sensi degli articoli 1223 e 2056 del Codice Civile. Secondo la fonte specifica citata, affinché un danno sia imputabile a un soggetto (in questo caso la banca), deve essere conseguenza immediata e diretta del suo inadempimento. Il problema sorge quando l’inadempimento della banca — ovvero la falla nella sicurezza informatica — innesca una serie di eventi a catena che portano a danni “riflessi” per il professionista, come la revoca dei mandati da parte delle assemblee condominiali.

Il caso pratico
Lo scenario descritto dalla sentenza milanese è paradigmatico della fragilità del sistema attuale. Un amministratore gestiva i conti di 23 condomini tramite un portale di home banking. In un giorno apparentemente qualunque, riceve un SMS dal gestore telefonico che annuncia un imminente blocco della linea. È l’inizio della fine: i truffatori hanno clonato la sua SIM e, in poche ore, dispongono 42 bonifici fraudolenti attingendo dai conti condominiali per una cifra astronomica, superiore ai 600.000 euro.
Una volta emerso il furto, scatta la reazione emotiva e giuridica dei condòmini. Nonostante l’amministratore sia anch’egli vittima del raggiro, 12 condomini su 23 decidono di revocare immediatamente l’incarico professionale, ritenendo compromesso il rapporto di fiducia. L’amministratore, vedendo crollare il proprio pacchetto clienti e la propria immagine, cita in giudizio la banca chiedendo il risarcimento per i mancati compensi futuri, le spese legali sostenute e il danno reputazionale subito nel settore.
Il Tribunale di Milano, con la sentenza 4726/2026, ha rigettato le richieste risarcitorie dell’amministratore, tracciando una linea di confine invalicabile. Il principio affermato è che tra l’eventuale colpa della banca (nel non aver monitorato le operazioni sospette o non aver garantito un’autenticazione “forte”) e la perdita dei mandati professionali non sussiste un nesso di causalità diretta.
Secondo il giudice, il danno “immediato e diretto” della truffa è la perdita delle somme sui conti dei condomini. La revoca del mandato all’amministratore, invece, è un evento mediato e indiretto, poiché dipende da una scelta autonoma e discrezionale dell’assemblea. Il tribunale sottolinea come la revoca sia un atto di volontà degli enti gestiti, connotato da ampia discrezionalità: il fatto che solo 12 condomini su 23 abbiano deciso di cambiare amministratore dimostra che non vi è un legame automatico tra il furto subito e la fine dell’incarico. Pertanto, la banca può essere chiamata a restituire i soldi al Condominio (se non prova la colpa grave dell’utente), ma non può essere ritenuta responsabile delle scelte politiche e fiduciarie compiute dalle assemblee che decidono di “licenziare” il professionista.

Consigli Pratici
Questa pronuncia impone agli amministratori una profonda riflessione sulle contromisure da adottare per proteggere non solo i condomini, ma la propria stessa carriera, comprendendo innanzitutto cosa accade quando si cade vittima di questo specifico reato. La frode SIM swap è un tipo di attacco di account takeover in cui i criminali prendono il controllo del numero di telefono intercettando chiamate e SMS; il vero premio per i malintenzionati è la possibilità di ricevere le SMS one-time password (OTP) utilizzate per l’autenticazione a due fattori (2FA), invalidando di fatto il livello di sicurezza dei codici e consentendo di accedere a conti bancari, resettare password, effettuare transazioni o richiedere prestiti. Le tecniche di phishing e ingegneria sociale per carpire i dati necessari ai gestori telefonici rendono questo attacco globale, con perdite che nel mondo ammontano ormai a decine di milioni di dollari e che colpiscono sempre più spesso anche chi utilizza le eSIM, spesso aggirando i controlli umani.
Sul fronte professionale, l’amministratore deve farsi promotore di contromisure tecnologiche avanzate, spingendo affinché i sistemi di pagamento superino la sicurezza dipendente dall’uomo e dai codici basati sulla conoscenza, orientandosi verso l’autenticazione basata sulla SIM o su token biometrici crittografati che verificano l’identità univoca della carta (IMSI) eliminando i rischi di phishing.
Per proteggersi davvero, bisogna eliminare il punto debole: l’SMS.

L’unico modo per essere sicuri è spostare l’autorizzazione delle operazioni su sistemi che non dipendono dal numero di telefono:

  1. App di Autenticazione (Token Software): Usare sistemi dove l’autorizzazione arriva tramite notifica push nell’App della banca, protetta da impronta digitale o riconoscimento facciale. Questo segnale viaggia su internet, non sulla rete cellulare, ed è legato al tuo specifico smartphone, non alla SIM.
  2. Chiavi Fisiche (Hard Token): Quelli che non hanno una SIM all’interno ma generano codici basati su algoritmi matematici o richiedono l’inserimento fisico in una porta USB (es. Yubikey).
  3. Autenticazione basata su SIM (IMSI): Come suggerito dalla fonte che hai fornito, è una tecnologia che le banche dovrebbero adottare per verificare se l’identità univoca della carta SIM (IMSI) è cambiata. Se la SIM viene “swappata”, il sistema lo rileva e blocca l’accesso.

Fonte: Anaci BAT

Condividi:

Articoli Correlati

CITOFONO CONDOMINIALE: MILLESIMI O PARTI UGUALI? LA GUIDA OPERATIVA

L’impianto citofonico rappresenta una componente fondamentale della vita condominiale, agendo come infrastruttura tecnologica che unisce la proprietà esclusiva del singolo condomino alla dimensione collettiva dell’edificio. In termini giuridici, questo impianto è considerato una parte comune ai sensi dell’art. 1117 c.c., in quanto funzionale all’uso e al godimento dell’edificio da parte di tutti i partecipanti, garantendo […]