La truffa bancaria viaggia su smartphone

di Avv. Pasqualina Ianni

Lo smartphone è ormai diventato uno dei principali vettori di truffe bancarie online. Nel quadro delle ormai note tecniche usate per rubare informazioni riservate e personali, si aggiungono ogni giorno sistemi sempre più sofisticati di software dannosi progettati per colpire specificamente smartphone e tablet (i c.d. malware).

Le pratiche illegali di volta in volta utilizzate differiscono l’una dall’altra solo nel modo in cui il truffatore si mette in contatto con gli utenti, ma l’obiettivo è sempre quello di carpire le informazioni riservate delle malcapitate vittime (come dati bancari, numeri di carte di credito, il pin del tuo telefono, la password per accedere alle email e i codici del tuo internet banking…).

Si  parla infatti di phising, smishing o vishing a seconda che l’aggancio avvenga tramite email, SMS, WhatsApp o addirittura telefonate.

E’ importante segnalare che le banche non chiedono ai propri clienti di comunicare le credenziali di accesso all’internet banking che devono rimanere nella esclusiva disponibilità dell’utente.

Non sempre i sistemi di sicurezza adottati dalle Banche [c.d. sistema di autenticazione “forte” a due fattori con adozione di password statiche (PIN) e dinamiche (OTP generato da un token)] sono sufficienti ad arginare il fenomeno.

Molte truffe informatiche si concretizzano mediante la ricezione di un semplice SMS sulla propria utenza telefonica, ma sempre più spesso i criminali informatici “rispolverano” le vecchie tecniche di attacco come il phising o lo smishing combinandole tra loro ovvero aggiornandole e affiancandole con nuovi e più insidiosi sistemi. 

Tecnicamente il raggiro avviene attraverso l’SMS spoofing, cioè una tecnica che consente di modificare il mittente del messaggio per indurre l’utente a ritenere che la comunicazione provenga da un contatto fidato, da un operatore di telecomunicazioni o da un fornitore di servizi di qualunque tipo, come ad esempio la propria banca.

L’utente riceve un messaggio con nome, mittente o numero di telefono corretti che contiene la segnalazione, ad esempio, di un imminente blocco del conto o l’effettuazione di un’operazione sospetta sullo stesso e un invito a cliccare su di un link che apparentemente rinvia alla pagina internet di accesso al proprio conto corrente.

Cliccando sul link si viene infatti rimandati su un sito del tutto identico a quello della propria Banca per cui l’utente è portato a digitare le proprie credenziali di accesso al conto online. In questo modo i truffatori si impossessano con l’inganno delle credenziali di accesso al conto corrente ed effettuano operazioni, anche per svariate migliaia di euro, all’insaputa dei titolari del conto corrente, oltre che delle banche coinvolte.

Una volta che l’utente si accorge di essere vittima di una truffa deve rivolgersi alla propria banca per disconoscere le operazioni fraudolente e chiedere la restituzione degli importi illecitamente sottratti. In caso di risposta negativa può poi presentare ricorso all’ABF – Arbitro Bancario e Finanziario.

A causa del moltiplicarsi di queste truffe si sono recentemente succedute diverse decisioni da parte dell’ABF che hanno esaminato questioni legate all’utilizzo di messaggi truffaldini che apparentemente provengono da banche.

L’Arbitro Bancario e Finanziario con alcuni provvedimenti ha riconosciuto che il consumatore / utente è stato tratto in inganno dal cosiddetto SMS spoofing condannando le banche coinvolte al rimborso delle somme illegittimamente sottratte.

Recentemente l’ABF, con pronuncia n. 3691 del 16 febbraio 2021, ha dichiarato una Banca tenuta a restituire la somma sottratta dai truffatori poiché, nel caso esaminato, non sono stati ritenuti sussistenti dei profili di colpa grave del cliente.

Infatti, il messaggio truffaldino era stato ricevuto sul cellulare dell’utente come se lo stesso provenisse dal medesimo account abitualmente utilizzato dall’intermediario “generando così nell’utente un legittimo affidamento circa la genuinità del messaggio”.

L’Arbitro Bancario e Finanziario ha quindi affermato che: “nella  casistica dei ricorsi esaminati dall’Arbitro, si rinvengono svariate ipotesi di intrusioni sofisticate, come, ad esempio, modifiche della linea telefonica associata agli strumenti di pagamento o installazione di App dell’intermediario su un device diverso da quello del ricorrente, escludendo in tal modo il cliente dalla fase conclusiva di autorizzazione dell’operazione fraudolenta (ad es., cfr. le decisioni Coll. Bari nn. 7225/19, 14530/18, 14190/17, Coll. Roma n. 10125/18, Coll. Bologna n. 4564/18).

Tale orientamento ha trovato accoglimento anche in una recentissima decisione ottenuta da CMI & Associati Studio Legale (ABF Collegio di Bologna n. 8420 del 4 agosto 2023).

BOLOGNA
Galleria GUGLIELMO Marconi n. 2 - 40122 Bologna
Tel. +39 051 273745
amministrazione@cmistudiolegale.it

Da Lunedì a Venerdì 
dalle 09:00 alle 13:00 e 
dalle 15:00 alle 19:00

C.F. e P.IVA 01962671200