Il sito Giambrone Law utilizza diversi tipi di cookies per migliorare l'esperienza dei suoi visitatori. Mentre i cosiddetti cookies tecnici risultano fondamentali in quanto parte integrante del sito, ciascun utente è libero di mantenere attivi o meno i cookies di profilazione e/o di terze parti. Consigliamo un’attenta lettura della nostra policy al riguardo cliccando qui. Teniamo alla privacy dei visitatori del nostro sito tanto quanto a quella dei nostri clienti
La nuova era delle truffe bancarie: l'SMS di "spoofing" e la Sim Swap Fraud
Come riconoscere il tentativo di truffa e le possibilità di recuperare il denaro sottratto in Italia
Nella frontiera delle truffe bancarie è ormai nota la cosiddetta pratica di phishing. Tra i modi in cui può essere realizzata, vi è l’acquisizione illecita di dati di accesso e password personali attraverso l’invio di mail con le quali i truffatori, fingendosi un istituto bancario o un’azienda conosciuta, sottraggono le credenziali necessarie per accedere alla home banking della vittima per trasferire, interamente o in parte, il denaro presente nel conto. Nella maggior parte dei casi, l’autore del reato è ignoto, comportando l’impossibilità per la vittima di riuscire a ottenere la restituzione di quanto illecitamente sottratto.
L’allarme viene lanciato dall’Adiconsum dopo che, nei mesi scorsi, si è verificata una raffica di truffe in Sardegna soprattutto per gli utenti della BPER, meglio conosciuta nell’Isola come Banco di Sardegna (la quale aveva già inglobato al suo interno anche il Banco di Sassari).
Con il tempo, i truffatori hanno elaborato strategie diverse da quella descritta, attuate anche attraverso classici SMS (c.d. smishing), o chiamate vocali (vishing). Recentemente, inoltre, sono state messe in pratica ulteriori nuove tecniche volte ad ingannare in modo ancora più subdolo le ignare vittime.
La prima, chiamata SMS Spoofing, avviene sempre attraverso l’invio di SMS, ma a differenza dello smishing, in cui il messaggio proviene da un numero sconosciuto, il truffatore invia l’SMS “trappola” facendolo risultare inviato da un mittente certificato (come proveniente dal proprio istituto di credito o aziende reali di servizi). In questo modo il messaggio appare sul proprio smartphone nella chat di quel mittente, insieme ad altri messaggi realmente ricevuti, ingannando così il destinatario. Nel messaggio, dunque, viene comunicato un asserito problema la cui risoluzione può avvenire solo tramite apposito link allegato. In questo modo, nel momento in cui il destinatario clicca il link inserito, viene trasferito nella pagina di un falso sito, apparentemente identico a quello dell’istituto bancario a cui il truffatore si è sostituito. Così facendo il cliente, confidando nel fatto di essere sul sito della propria banca, inserisce i propri dati di accesso, permettendo al truffatore di carpirli ed utilizzarli nell’immediato per effettuare bonifici in suo favore.
Può anche capitare che, una volta ottenuti i dati del cliente attraverso il link, il truffatore lo contatti telefonicamente spacciandosi per un funzionario dello stesso istituto, richiedendo informazioni ulteriori, come le password temporanee per autorizzare i pagamenti.
Un’ulteriore novità tra le tecniche fraudolente è, inoltre, la cd. Sim Swap Fraud, attraverso la quale il truffatore, sostituendosi alla vittima, chiede, presso un centro di telefonia, il duplicato della Sim Card intestata a quest’ultima. Una volta inserita la SIM nel proprio cellulare, l’impostore ha così la possibilità di ottenere le chiavi di accesso dell’home banking della ignara vittima e disporre pagamenti in suo favore.
In questo caso, oltretutto, il soggetto derubato si renderà conto in ritardo dell’avvenuta truffa, in quanto inizialmente si accorgerà solo di un improvviso malfunzionamento della propria utenza telefonica. Solo dopo essersi recato nel centro di telefonia del proprio operatore, il truffato verrà a conoscenza della duplicazione della sua Sim. Il truffatore, pertanto, disporrà di un rilevante lasso di tempo per compiere tutte le operazioni necessarie per svuotare il conto del malcapitato.
Solitamente, nei casi classici di phishing, la responsabilità viene attribuita alla vittima, in quanto è a questa imputabile una colpa “grave”, consistente nell’aver fornito i propri dati di accesso al truffatore, con la conseguenza che l’istituto di credito rimane estraneo alla vicenda.
L’unico modo per recuperare le somme sottratte, quindi, sarebbe quello di riuscire ad individuare il truffatore, operazione tutt’altro che semplice.
Tuttavia, con riferimento alle più recenti forme di truffa, denominate SMS Spoofing e Sim Swap Fraud, diverse pronunce, sia dell’Autorità giudiziaria che dell’Arbitro Bancario Finanziario (ABF) hanno ravvisato in capo all’istituto bancario un profilo di colpa cd. "semi oggettiva” (ex art. 10 del Dlgs. 11/2010), con condanna al rimborso della somma sottratta dal truffatore alla vittima.
Più precisamente, in questa tipologia di procedimenti, oltre alla responsabilità contrattuale sorta dal rapporto con l’utente, l’istituto bancario ha l’onere di provare la negligenza dell’utente, dimostrando, dunque, che la vittima abbia agito con dolo o colpa grave nel fornire le proprie credenziali o dati personali.
Sull’istituto grava anche la dimostrazione che non vi sia stato nessun malfunzionamento dei software, di non aver ricevuto segnalazioni di operazioni sospette e anomale, e, soprattutto, di possedere un sistema di sicurezza “forte”, in grado di proteggere le operazioni, i conti e i dati personali dei propri correntisti.
Nei casi summenzionati, dunque, le specifiche modalità fraudolente, essendo più difficoltose da riconoscere con la normale diligenza spettante all’utente, possono permettere di sollevare la vittima dalla colpa “grave” richiesta per imputare alla stessa la responsabilità di quanto avvenuto; infatti, l’istituto di credito, non riuscendo a fornire prova della condotta negligente del correntista e dell’effettiva sicurezza dei propri sistemi, sarà considerato responsabile per la sottrazione del denaro dal conto corrente, con la conseguente condanna al rimborso delle somme interessate.
Proprio la Suprema Corte di Cassazione con sentenza 10638/2016 ha sostenuto che “l’istituto che svolga un’attività di tipo finanziario o in generale creditizio (…) risponde, quale titolare del trattamento di dati personali, dei danni conseguenti al fatto di non aver impedito a terzi di introdursi illecitamente nel sistema telematico del cliente mediante la captazione dei suoi codici di accesso e le conseguenti illegittime disposizioni di bonifico, se non prova che l’evento dannoso non gli è imputabile perché discendente da trascuratezza, errore (o frode) dell’interessato o da forza maggiore”.
Se siete o pensate di essere stati vittime di phishing potete contattare il nostro Studio Legale per chiedere una consulenza; i nostri Avvocati, presenti in tutta Italia e all’Estero, potranno aiutarvi valutando la migliore strategia per recuperare le somme che vi sono state sottratte.
Dott.ssa Giulia Salis.
Sardinian Office, Italia