Negli ultimi tempi il già diffuso fenomeno del phishing si è arricchito di una variante, partcolarmente pericolosa, che sfrutta gli sms. Per tale ragione, questa nuova modalità di furto delle credenziali bancarie è stata
chiamata “smishing”.
La nuova truffa mira ad acquisire – come nel classico pshishing – i dati necessari ad accedere all’home banking della vittima, per poi effettuare operazioni di trasferimento del denaro.
Tuttavia, l’entrata in vigore, nel 2019, della Payment Services Directive 2 (PSD2) , ha introdotto un meccanismo che ha portato alla creazione di un nuovo meccanismo.
Dal momento, infatti, che la Direttiva ha mandato in pnesione il vecchio token (quel piccolo apparecchietto che generava numeri) e l’ha sostituito con l’uso di codici ricevuti tramite smartphone o autorizzazioni date con lo stesso mezzo, la semplice raccolta fraudolenta dei dati di accesso non è più sufficente.
In altre parole, carpire username e password non è più sufficente.
Ed ecco come, con lo smishing, i truffatori hanno superato il problema.
Innanzitutto la vittima riceve un sms dal contenuto allarmante (l'avviso di un accesso abusivo, un blocco dell’account, una verifica) apparentemente proveniente dalla propria banca e contenente un link che – sempre apparentemente – rimanda al sito web della banca, in realtà un sito contraffatto appositamente realizzato dai truffatori per raccogliere e trasmettere le credenziali.
Una volta inserite le credenziali viene richiesto un contatto telefonico, o ne viene indicato uno, cosicchè si avvia un vero e proprio contatto telefonico fra vittima e truffatore.
In tale fase la vittima viene convinta di essere in contatto con un operatore della banca, il quale, per terminare l’operazione di blocco/sblocco o verifica del conto, chiede di dare lettura del codice ricevuto sul telefono.
La vittima lo comunica, ignara del fatto che ha appena fornito al truffatore il dato necessario a poter autenticare l’operazione bancaria sulla propria pagina dell’home banking, nel frattempo aperta dall'interlocutore telefonico.
In tal modo, il truffatore può tranquillamente disporre un bonifico su altro conto appartenente a prestanomi e/o situato in paesi extraeuropei ove la sua individuazione risulta molto difficile.
COME EVITARLE
Occorre tener presente che le banche NON utilizzano mai tale modalità di contatto con i propri clienti per ottenere accesso alle loro informazioni.
In ogni caso, di fonte ad un contatto di questo tipo è sempre meglio verificare presso la propria filiale chiamando il numero reso disponibile in modo ufficiale.
Inoltre, nel caso di sms contenenti link ad una pagina della banca, osservando l’indirizzo che appare prima di cliccare sul link o dopo avervi cliccato (ma è buona norma non cliccare niente prima di aver controllato) si vedrà che mostra sempre un indirizzo che prima o dopo del nome della banca contiene altre parole senza alcuna correlazione.
Questo perché i siti “civetta” vengono quasi sempre installati su server di aziende o enti compromessi in precedenza, che conservano tale origine nel nome di dominio (quello che appare nella barra degli indirizzi).
La stessa ABI, comunque, ha recentemente pubblicato una guida che fornisce alcuni preziosi consigli e che potrete reperire al seguente link.
COSA FARE SE SI E’ RIMASTI VITTIME DI TRUFFA
- LA DENUNCIA
La prima cosa da fare è rivolgersi alla Polizia Postale, recandosi alla sede con i dispositivi elettronici (smartphone, pc, tablet) attraverso i quali si è stati contattati e truffati. Non bisogna cancellare nulla né, possibilmente, spengere i dispositivi.
Verrà redatta una denuncia, con l’avvio di indagini che talvolta riescono a raggiungere i truffatori meno abili.
- LA RICHIESTA DI RIMBORSO In secondo luogo, occorre denunciare immediatamente l’accaduto alla propria banca, disconoscendo l’operazione e chiedendo il riaccredito della somma.
L'approvazione del D.lgs. 11/2010 (per l’attuazione della direttiva 2007/64/CE), ha introdotto nell'ordinamento una serie di tutele in favore dell'utilizzatore dei mezzi di pagamento.
Inannzitutto, ai sensi dell’art. 9, l'utente, venuto a conoscenza di un'operazione di pagamento non autorizzata o eseguita in modo inesatto, ne può ottenere la rettifica solo se comunica senza indugio tale circostanza alla propria banca, secondo i termini e le modalita' previste nel contratto quadro o nel contratto relativo a singole operazioni di pagamento.
La comunicazione deve essere in ogni caso effettuata entro 13 mesi dalla data di addebito, nel caso del pagatore, o di accredito, nel caso del beneficiario. La comunicazione deve avvenire non appena si ha notizia dell’operazione fraudolenta.
Secondo l’art. 10 della medesima norma, a fronte di tale comunicazione ricade sulla banca l’onere di “provare che l'operazione di pagamento e' stata autenticata, correttamente registrata e contabilizzata e che non ha subito le conseguenze del malfunzionamento delle procedure necessarie per la sua esecuzione o di altri inconvenienti”
Inoltre – cosa molto importante – quando la vittima neghi di aver autorizzato un'operazione di pagamento eseguita, l'utilizzo di uno strumento di pagamento registrato dalla banca non e' di per se' necessariamente sufficiente a dimostrare che l'operazione sia stata autorizzata dal suo utilizzatore, ne' che questi abbia agito in modo fraudolento o non abbia adempiuto con dolo o colpa grave a uno o piu' degli obblighi di cautela fissati dalla stessa legge.
L’art. 11, infine, stabilisce il diritto al rimborso in favore del truffato, purché abbia dato comunicazione per tempo del fatto.
In tal caso, la banca dovrà in primo luogo rimborsare immediatamente al pagatore l'importo dell'operazione medesima. Ove per l'esecuzione dell'operazione sia stato addebitato un conto di pagamento, la banca riporta il conto nello stato in cui si sarebbe trovato se l'operazione di pagamento non avesse avuto luogo.
Solo in un secondo momento la banca potrà eventualmente dimostrare che il pagamento sia stato effettivamente autorizzato e richiedere indietro la somma.
Si consideri, tuttavia, che ai sensi dell’art. 5 della norma “Il consenso del pagatore e' un elemento necessario per la corretta esecuzione di un'operazione di pagamento. In assenza del consenso, un'operazione di pagamento non puo' considerarsi autorizzata”.
E’, pertanto, certamente discutibile che si possa ritenere consapevolmente concesso il “consenso” a fronte della sua captazione nell’ambito di un procedimento truffaldino nel cui ambito è stata rappresentata alla vittima una realtà del tutto artefatta.
- IL RICORSO ALL’ARBITRO BANCARIO E/O AL GIUDICE.
In caso di risposta negativa o di silenzio da parte della banca, la vittima del raggiro potrà presentare reclamo formale (non occorrono avvocati per questo, ma il parere di un tecnico può aiutare) alla Banca, chiedendo che proceda al rimborso.
In caso di risposta negativa o di silenzio da parte della banca, la vittima del raggiro potrà presentare reclamo formale (non occorrono avvocati per questo, ma il parere di un tecnico può aiutare) alla Banca, chiedendo che proceda al rimborso.
L’ABF è un organismo di conciliazione che decide sulla base della documentazione allegata al ricorso e che non richiede, per l’avvio della procedura, l’assistenza di un legale.
Tutte le istruzioni per la presentazione del ricorso sono disponibili al seguente link.
Qualora la decisione non sia comunque soddisfacente, si potrà avviare una vera e propria causa volta a veder riconosciuto – se ve ne sono i presupposti – il proprio diritto al rimborso.
Comments