Phishing, Codici: “Ing condannata al risarcimento, Bankitalia ne prenda atto”.
Sentenza fondamentale ottenuta dall’associazione Codici nell’attività di tutela dei consumatori vittime di truffe bancarie. Nella giornata di ieri il Tribunale di Genova, infatti, ha pubblicato un provvedimento, a firma del Giudice Chiara Russo, che riguarda la frode subita da un cliente di Ing Bank, protagonista di un caso di SMS spoofing. Una tecnica, spiegano dall’associazione Codici, che prevede l’invio di SMS trappola, facendolo risultare spedito da un mittente certificato, come ad esempio la propria banca. In questo modo il messaggio appare sullo smartphone della vittima nella chat di quel mittente, con cui esiste già uno scambio di messaggistica più o meno rilevante, facendo cadere immediatamente in errore il destinatario.
Il Tribunale di Genova ha disposto il rimborso del cliente, che è riuscito a recuperare circa 12mila euro, aggiungendo un elemento di novità importantissimo nelle truffe bancarie, ovvero stabilendo che le vittime di questo tipo di frodi sono oggetto di attacchi mirati. Una sentenza che l’associazione Codici evidenzia per mettere in guardia i consumatori e richiamare l’attenzione di Bankitalia.
“La vicenda risale al giugno 2021 – spiega l’avvocato Carmine Laurenzano, legale di Codici –, quando il nostro assistito riceve un SMS, proveniente da un numero riferibile allo stesso istituto, in cui viene informato di tentativi di accesso al conto. Questo avviso è accompagnato dall’invito a collegarsi all’App della banca, confermando i propri dati attraverso un link. L’SMS era in coda a tutti quelli ricevuti in precedenza, motivo per cui il cliente si è fidato della comunicazione ed ha cliccato sul collegamento, inserendo i propri dati per sventare la truffa. Tempo pochi minuti ed arriva la chiamata di un sedicente operatore di Ing Direct, che conferma l’accesso fraudolento da un dispositivo sconosciuto. Dopo un nuovo SMS, sul medesimo thread di messaggi da cui riceve comunicazioni da parte della banca, che conferma il blocco delle operazioni indesiderate, una nuova chiamata dal sedicente operatore Ing, sempre dalla stessa utenza telefonica, comunica il buon esito dei blocchi sulle operazioni indesiderate. All’apparenza tutto risolto, ma in realtà è l’ultimo atto della truffa, che si concretizza nel giro di poche ore in un bonifico di 14.900 euro a favore di un conto corrente intestato ad un soggetto sconosciuto. Da qui il disconoscimento dell’operazione, che ha innescato una serie di azioni che hanno permesso di arrivare a recuperare quasi l’intera somma rubata. È bene sottolineare che l’operazione che ha innescato la truffa non è stata autorizzata né tramite invio di codici PIN né Token. Il nostro assistito non ha rilasciato nessun codice di autenticazione cosiddetto ‘forte’. Le presunte operazioni per bloccare gli accessi fraudolenti, invece, sono state fatte sulla App ufficiale di Ing Bank, in seguito a SMS ricevuti sul thread riferibile al numero ufficiale dell’istituto. Dal canto suo la banca non ha notificato né bloccato i movimenti sospetti. Come rilevato dal giudice del Tribunale di Genova, aprendo finalmente un nuovo scenario nella tutela del consumatore, l’istituto non ha adottato tutti i migliori accorgimenti della tecnica per scongiurare il rischio di impiego fraudolento degli strumenti di pagamento e del comportamento fraudolento o gravemente colposo dell’utilizzatore, tale da escludere la sua responsabilità”.
Il nodo centrale della questione, che emerge in maniera netta dalla sentenza del Tribunale di Genova, sono le modalità con cui avvengono le truffe. La vittima non è stata oggetto di una comunicazione massiva, ma di un attacco mirato, in questo caso fatto con SMS e chiamate specifiche e precise. Il truffatore ormai sa perfettamente chi contattare. Questo significa che, come rilevato dal Giudice, i malviventi riescono ad impossessarsi di dati personali e contatti non attraverso il cliente-vittima, ma sfruttando le lacune dei sistemi di sicurezza delle banche. Ed è qui che l’associazione Codici ritiene si debba intervenire. Bankitalia deve prendere atto che si devono garantire i clienti con misure maggiori e gli istituti devono migliorare gli strumenti di difesa. Le campagne informative sono senz’altro preziose, ma purtroppo da sole non bastano a mettere al riparo i clienti dalle truffe, sempre più difficili da riconoscere e, come dimostra questa vicenda, soprattutto mirate, volte a colpire bersagli specifici.