Mappe | Mappe 12 – Le banche – febbraio 2023
Truffe e sicurezza, come ci si tutela? Come difendersi dalle frodi
La digitalizzazione dei servizi bancari è una grande comodità, ma nasconde non poche insidie.La polizia postale segnala un aumento a livello nazionale del 9 per cento rispetto al 2021 di casi di phishing, smishinge vishing, cioè tecniche utilizzate per carpire i dati personali e di accesso all’home banking degli utenti, in modo da effettuare prelievi e derubare i risparmiatori. Il trend di crescita non è inedito: nel 2021, infatti, rispetto all’anno precedente la crescita è stata pari al 27 per cento. La portata del fenomeno è estremamente rilevante: in totale i tentativi di truffa bancaria nel 2021 sono stati in media 800 al giorno. Capita dunque spesso di ricevere messaggi o e-mail il cui mittente corrisponde, almeno apparentemente, alla propria banca. Gli sms fraudolenti il più delle volte rimandano a link di siti creati appositamente e del tutto simili a quelli ufficiali delle banche. I truffatori infatti utilizzano la tecnica dello spooting, cioè la falsificazione dell’indirizzo Ip che permette di spacciarsi per l’istituto di credito della vittima. In questi siti viene richiesto di effettuare l’accesso inserendo i propri dati e password e, in questo modo, i truffatori ottengono le informazioni necessarie per accedere al conto corrente della vittima e prosciugarlo: questa è la dinamica tipica delle strategie di phishing e smishing.
Come funziona l’adescamentoL’evolversi delle misure di sicurezza impiegate dalle banche e la diffusione di campagne di prevenzione in cui gli utenti vengono informati dei rischi connessi al phishing non sono bastati a proteggere i consumatori. Un aggiornamento delle strategie criminali è ben presto sopraggiunto. Il termine vishing, neologismo che fonde “voice” e “phishing”, cioè voce e adescamento, indica i fenomeni di truffe bancarie messi in atto attraverso i servizi di telefonia. Gli utenti vengono contattati telefonicamente da numeri, ancora una volta coincidenti a quelli della propria banca, ed esortati a fornire le proprie credenziali. Spesso i truffatori si spacciano come addetti alla sicurezza e simulano un tentativo di accesso illecito al conto corrente da parte di terzi, che loro invece starebbero cercando di sventare, generando panico nell’utente. A questo punto richiedono telefonicamente dati e codici, comprese le One Time Password necessarie per ogni singolo accesso all’home banking e che rientrano nelle misure di “autenticazione forte” delle banche volte a contrastare le frodi.
Responsabilità e negligenzaNonostante l’affinamento degli artifici impiegati dai criminali e l’insufficienza delle misure preventive, ai consumatori rimangono alcune possibilità di tutela e soprattutto di ottenere una riparazione del danno nel caso in cui le truffe abbiano successo. La legislazione in materia, infatti, è orientata alla protezione del cliente e attribuisce profilo di responsabilità alla banca, imponendo a essa l’onere di risarcimento, nel caso in cui non sia in grado di dimostrare dolo o colpa grave dell’utente. Giuridicamente, infatti, la legislazione intende questo ambito come compreso nel rischio d’impresa del prestatore, cioè della banca. Ciò significa che l’utente truffato ha il diritto di richiedere risarcimento alla banca: se il proprio istituto di credito è riluttante ad adempiere ai suoi obblighi, cioè non è disposto a fornire il rimborso integrale dell’importo rubato, la vittima può fare ricorso all’Arbitro bancario finanziario (introdotto dalla legge n. 262 del 28 dicembre 2005), a cui va presentato il reclamo scritto rigettato dalla banca. Tra le colpe gravi imputabili al cliente è compreso il ritardo nel denunciare l’accesso non autorizzato al conto corrente e il furto. Il tempismo è quindi fondamentale. Comunque, nonostante la legislazione attribuisca una forte responsabilità alla banca, la risoluzione a favore dell’utente non è scontata. Nei casi in cui il messaggio o e-mail rimandi a un link che installa un virus nel dispositivo in grado di identificare i dati bancari e renderli disponibili ai malfattori la colpa grave del cliente è esclusa. Per quanto riguarda, invece, l’inserimento dei propri dati attraverso l’accesso a un home banking su un sito falso o la comunicazione di essi telefonicamente nei casi di vishing, subentra la considerazione delle variabili specifiche del caso da parte delle autorità incaricate di giudicare la disputa tra banca e cliente. In queste circostanze il fatto di aver divulgato le proprie credenziali bancarie può venire inteso come negligenza da parte dell’utente. Anche in questeoccasioni però non tutto è perduto, esistono infatti precedenti, anche in Veneto, in cui l’utente ha ottenuto il risarcimento. Uno degli ultimi casi riguarda una psichiatra veronese che, a novembre 2022, è stata vittima di truffa telefonica ed è stata rimborsata dalla propria banca per un totale di 41.500 euro. In questo caso il ricorso all’Arbitro bancario finanziario è risultato fondamentale: la vittima, infatti, dopo aver presentato reclamo all’istituto di credito ha ottenuto una proposta da parte di quest’ultimo di un prestito con tasso d’interesse al 10 per cento. Alla fine però giustizia è stata fatta.
Password, pin e impronta digitale
La legislazione europea impone agli istituti bancari di aggiornare le loro politiche di sicurezza introducendo metodi di autenticazione forte del cliente. Tra essi i principali sono una password o un pin, e l’utilizzo di dati biometrici, come l’impronta digitale. Per autenticazione forte si intende la messa in atto simultanea di almeno due di questi metodi d’accesso. Fondamentali sono le One Time Password, i codici inviati allo smartphone per convalidare volta per volta ogni accesso.
Francesca Campanini
Ultimi articoli della categoria
Link copiato negli appunti