PHISHING: ecco come svuotano i conti correnti. Consigli utili per proteggersi

Il phishing è un tipo di truffa effettuata su Internet attraverso la quale un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile in una comunicazione digitale. Sono numerosissimi i clienti di istituti di credito con operatività in home banking vittime di transazioni fraudolente, movimentate attraverso sofisticate tecniche. Mediamente l’utente riceve un messaggio SMS, apparentemente inviato dalla propria Banca, contenente avvisi di movimentazioni sospette e viene invitato a cliccare su un link che rinvia, in realtà, ad un sito clone dell’istituto bancario, tramite il quale viene indotto a inserire le proprie credenziali. Successivamente i criminali contattano telefonicamente o via SMS le vittime, utilizzando un numero di telefono che viene rilevato come quello della banca, inducendo così gli utenti a ritenere di essere in contatto con veri funzionari degli istituti di credito. Viene quindi disposto alla vittima di rimuovere l’applicazione di accesso all’home banking, che viene subito dopo re-installata dai truffatori prendendo così il completo controllo dei conti correnti.

Colpiti moltissimi Istituti Bancari tra cui: Unicredit, Banco BPN, BNL, e Gruppo Intesa San Paolo. I truffatori  effettuano, solitamente, i prelievi in frode con la modalità Cardless, servizio che permette di fare prelievi di contante da casse veloci automatiche del Gruppo Intesa Sanpaolo, senza usare la carta bancomat, ma solo con lo smartphone, operazione che diventa molto semplice una volta re-installata l’app e con le credenziali in possesso. Il Cardless non è il solo sistema autorizzato, spesso vengono effettuati anche semplici bonifici o ricariche, alleghiamo una testimonianza, inviataci, raccolta su internet e indirizzata all’Ufficio Stampa ADICO, associazione senza scopo di lucro a difesa dei consumatori:

“Buonasera, in data 23 febbraio 2021 mi sono stati sottratti 10 mila euro dal mio conto Intesa san paolo a seguito di un sms proveniente dal numero ufficiale dell’ istituto di credito che si è accodato a tutti gli altri messaggi provenienti dalla banca e che avevo conservato. La sms conteneva la seguente dicitura: ”IN SEGUITO A TENTATIVI DI ACCESSO ANOMALI AL TUO CONTO INTESA CLICCA SUL SEGUENTE LINK PER CONFERMARE I TUOI DATI” .In un momento di estrema stanchezza, a fine giornata lavorativa, cliccavo e venivo indirizzata verso una pagina web identica all’internet banking di Intesa San Paolo dove mi si richiedeva di inserire i miei dati, quali codice titolare e pin. Ricevo immediatamente una telefonata da un uomo che si presenta come operatore del servizio Antifrode Intesa San Paolo, il quale mi chiedeva informazioni in merito ad alcuni acquisti a Lugano (Svizzera), rispondendo negativamente in merito a questi acquisti costui mi diceva che erano stati rilevati accessi anomali al mio conto e quindi era necessario seguire le sue istruzioni per modificare i miei dati di accesso. A quel punto mi avvisava che avrebbe avuto accesso in remoto al mio telefono cellulare attraverso la app Intesa San Paolo, dalla quale sarebbe riuscito a rimettere in sicurezza il mio conto attraverso uno storno che avrebbe richiesto alcuni passaggi. Ad ogni passaggio, mi chiedeva di dettargli un codice inviatomi per sms, sempre dal numero ufficiale, GRUPPO ISP. Nel fornire tale codice di sei cifre mi disse di essere estremamente veloce e di non aprire l’SMS bensì di leggere direttamente queste cifre riportate al fondo del messaggio mostrate dall’anteprima del mio smartphone. Solo dopo aver chiuso la telefonata, mi resi conto che i messaggi contenevano l’autorizzazione alle ricariche a favore di diversi prestanome. Non ho potuto soffermarmi prima sul testo dell’SMS con accuratezza non per mia mancanza, ma poiché allarmata dal tentativo di truffa e dalla pressione alla tempestività dell’operatore telefonico. Ho perso 10 mila euro, sono affranta. Ho provveduto a denunciare ai carabinieri e farò il disconoscimento delle operazioni presso la banca ma ho tanta paura di aver perso tutto.” (Laura)

Questa testimonianza trasmette appieno la drammaticità di una situazione davvero pesante e che sta colpendo indistintamente senza un Target preciso, dai giovani agli anziani. Ecco una serie di consigli per combattere questo crescente fenomeno, che sta dilagando in tutta Italia da Nord a Sud:

  1. Non comunicare mai a nessuno i codici personali di accesso o quelli ricevuti via sms per confermare le operazioni.
  2. Controllare che l’indirizzo del mittente delle e-mail sia corretto. Non cliccare su link nel testo e non aprire gli allegati.
  3. Se si ricevono sms a nome della banca con link a siti web si tratta di una frode: non cliccare!
  4. Digitare direttamente l’indirizzo del sito web che si vuole visitare, senza cliccare sui link.
  5. Cancellare tutte le comunicazioni che sembrano sospette. Nel caso si voglia contattare la banca, utilizzare i suoi canali ufficiali.
  6. Nel dubbio, le banche raccomandano di contattare subito e direttamente il servizio clienti della banca o la propria filiale di riferimento.

Il Gruppo Banca Intesa si è pronunciato a riguardo, attraverso alcune testate locali e nazionali, ecco parte della dichiarazione:

“Siamo dispiaciuti di quanto accaduto ai nostri clienti, di cui Intesa Sanpaolo non è in alcun modo responsabile, non essendo stati violati i sistemi di sicurezza della banca. Le operazioni oggetto delle truffe sono state disposte previa immissio­ne delle corrette credenziali affidate alla custodia esclusiva dei clienti, pre­sumibilmente carpite secondo le mo­dalità del fenomeno fraudolento genericamente denominato phishing. Attraverso campagne informative alla clientela, Intesa Sanpaolo invita a non fornire in alcuna circostanza in­formazioni o dati personali che po­trebbero essere utilizzati in modo fraudolento. La banca ricorda inoltre periodicamente ai clienti che non chiede mai dati già in suo possesso e che richieste di questo tipo so no sem­pre riconducibili ad azioni fraudolen­te. Il gruppo Intesa Sanpaolo è forte­mente impegnato a garantire la sicu­rezza dei propri clienti e a tale scopo, oltre alle diverse campagne di sensi­bilizzazione lanciate anche attraverso i canali social,  Al link https://www.intesasanpaolo.com/it/common/lan- dmg/antiphishing.html sono di­sponibili le descrizioni delle diverse tipologie di frode (phishing, smishing, vishing, swap sim, etc,) e vengono forniti alla clientela impor­tanti consigli su come riconoscere e, possibilmente, evitarle.” (Fonte “Il Sole  24 Ore”)

Dopo aver creato una quadro completo della situazione per il par condicio, andiamo a vedere, invece, cosa dice la giurisprudenza a riguardo. Tra le tantissime sentenze citiamo quella del Tribunale di Milano sezione VI del 6 Novembre 2020:

Il Tribunale ha evidenziato come il phishing bancario rientri nell’area del “rischio professionale del prestatore dei servizi di pagamento”, alla banca è quindi chiesta la massima diligenza di natura tecnica. L’istituto non dovrà rispondere dei danni ove dimostri che il fatto sia attribuibile al dolo del cliente e nel contempo di aver adottato gli accorgimenti adeguati a prevenire l’illecita captazione di dati. In altre parole la banca deve fornire prova di aver adottato tutte le misure preventive idonee e nel contempo deve dare prova che il danno sia scaturito da una causa esterna, che la esoneri da qualsiasi responsabilità. In caso contrario è dovuta a risarcire i danni.

 

Be the first to comment

Leave a Reply

L'indirizzo email non sarà pubblicato.


*


Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.