Libero
SICUREZZA INFORMATICA

Truffe online: come ottenere il risarcimento

Da Palermo arriva una notizia molto importante per le banche e per i loro clienti: non basta mandare un codice OTP, è anche necessario spiegare a cosa serve

Le truffe online, via telefono e via SMS sono sempre più diffuse perché sono sempre più economiche da mettere in atto. I truffatori puntano sui grandi numeri: inviano migliaia di email, di messaggi WhatsApp o di SMS sapendo che, prima o poi, qualcuno ci casca e fa click o tap sul link che fa iniziare la truffa. E’ successo anche ad una donna di Palermo di 27 anni, che ha subito un raggiro da alcuni truffatori che si spacciavano per Poste Italiane e le hanno svuotato il conto Banco Posta.

Questa volta, però, la donna è riuscita ad avere indietro il suo denaro dimostrando che la banca, in questo caso Poste Italiane, non aveva fatto abbastanza per prevenire il raggiro. Il comportamento di Poste Italiane, in questa vicenda, è in realtà identico a quello di qualsiasi altra banca e, per questo, è molto interessante capire cosa è successo alla signora palermitana e perché l’Arbitro Bancario Finanziario ha dato ragione al suo avvocato.

La truffa: 2.500 euro sottratti

La storia di questa truffa è identica a quella di mille altre ed è da manuale dello "smishing". Con questo termine si intende il phishing via SMS, cioè un amo gettato nel mare, in questo caso tramite SMS, in attesa che qualcuno abbocchi.

Come riporta il Giornale di Sicilia la donna, nel marzo 2021, ha ricevuto un SMS truffa da un mittente che si spacciava (tramite la tecnica dello "spoofing") per Poste Italiane. Nel messaggio si diceva che c’erano anomalie da correggere nel conto corrente e si invitava la vittima a fare tap su un link. Questo schema è più che classico: ormai è storico, il 99% delle truffe funziona così.

La giovane cliente ha fatto tap su quel link ed è atterrata su un sito fake con una schermata identica a quella del sito ufficiale di Poste Italiane, in particolare alla pagina di login all’area privata dalla quale si fanno le operazioni sui conti Banco Posta. In questa pagina, ovviamente, c’erano i due campi per inserire nome utente e password.

Questi dati, però, non venivano inviati a Poste Italiane ma ai truffatori, visto che il sito era falso. Tanto è vero che pochi istanti dopo aver fatto il login sul finto sito di Poste Italiane la donna ha ricevuto una chiamata da un numero di telefono fisso. Dall’altra parte c’era un sedicente impiegato di Poste, che in realtà era il truffatore.

Tale finto operatore ha detto alla correntista che avrebbe provveduto a cambiare le credenziali di accesso al suo conto al fine di proteggerlo, ma in realtà stava compiendo operazioni sul conto, prelevando tutto il denaro presente e inviandolo verso un proprio conto.

A partire dal 1° gennaio 2021, però, è obbligatoria per ogni banca la "SCA", cioè l’autorizzazione forte a due fattori (Strong Customer Authorization) che, correttamente Poste Italiane ha implementato tramite codici OTP (One Time Password, cioè password usa e getta che vallgono per una sola operazione).

Per fare i bonifici verso il suo conto, quindi, il truffatore aveva bisogno anche di quei codici che venivano mandati via SMS al cellulare della vittima. Per tale motivo la vittima è stata ulteriormente imbrogliata e convinta a comunicare via telefono quei codici al truffatore che, a questo punto, ha avuto la strada spianata.

Risultato: conto corrente completamente ripulito, per un valore complessivo di quasi 2.500 euro. La vittima, quando si è accorta dell’ammanco, ha chiesto il risarcimento a Poste Italiane che, però, si è rifiutata di concederglielo perché aveva messo in atto tutte le procedure e misure di sicurezza previste dalla legge e, in buona sostanza, la colpa di quanto avvenuto era tutta della donna.

Truffa online: cosa ha deciso l’ABF

L’avvocato della vittima, a questo punto, ha deciso di rivolgersi all’Arbitro Bancario Finanziario (ABF), che è un sistema di risoluzione extragiudiziale delle controversie, una sorta di conciliazione per i casi che hanno a che fare con banche e società finanziarie.

L’Arbitro Bancario Finanziario ha dato torto alla banca, cioè a Poste, affermando che se la cliente è stata truffata è anche perché nell’SMS con il codice OTP inviato da Poste non c’era una descrizione accurata di quale operazione si stava autorizzando.

Se la signora avesse saputo a cosa serviva quel codice, in pratica, non lo avrebbe comunicato ai truffatori e, di fatto, la truffa sarebbe stata impossibile.

Poiché tutte le operazioni potenzialmente pericolose su un conto corrente ormai devono passare dalla SCA, quindi, la decisione dell’Arbitro Bancario Finanziario di Palermo segna un precedente molto importante: non basta mandare un codice OTP al cliente, è anche necessario spiegargli a cosa servirà.

© Italiaonline S.p.A. 2023Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963