PHISHING: SE LO CONOSCI LO EVITI, MA SE CI SEI CASCATO PUOI FARTI RIMBORSARE?

Il computer e l’informatica fanno ormai parte della nostra vita quotidiana. La maggior parte dei servizi è erogata online: dalle prenotazioni di visite specialistiche, al rinnovo di documenti, ai servizi bancari. Per non parlare di Internet, che è ormai una fonte preziosa e irrinunciabile di notizie e di informazioni. Il web però nasconde delle insidie e, se non stiamo attenti, possiamo essere vittime di truffe, con danni a volte anche consistenti. Una delle frodi informatiche più diffuse è il phishing, una truffa molto pericolosa, soprattutto se diretta a carpire le vostre credenziali bancarie. È perciò importante capire bene in cosa consiste il phishing e come difendersi.

DEFINIZIONE E TIPI DI PHISHING

Il phishing è una truffa informatica che viene solitamente perpetrata mediante l’invio di e-mail contraffatte in modo tale da far credere che chi vi sta contattando sia la vostra banca, l’ufficio postale dove avete depositato i vostri risparmi, o un vostro fornitore. Con un pretesto (ad esempio, quello di verificare le vostre credenziali per l’utilizzo dei servizi bancari online o per il controllo di un pagamento non andato a buon fine) vi chiedono di inserire in un apposito modulo le vostre credenziali bancarie, oppure gli estremi della vostra carta di credito. Per essere più convincenti, vi avvertono anche che, se non fornirete i dati richiesti, non potrete più utilizzare il servizio di home-banking, o che la merce da voi ordinata non potrà essere consegnata.

Più recentemente, si sta diffondendo una forma più sofisticata di phishing, che è maggiormente insidiosa perché più difficile da scoprire. Si tratta dello spear phishing, appositamente predisposto per un determinato target di vittime. Le comunicazioni vengono inviate a un utente o a un gruppo di utenti specifici (esempio: chi abitualmente prenota le vacanze tramite i siti di B&B, chi utilizza i sistemi di pagamento come PayPal). Contengono molti particolari, sono scritte in maniera accurata e utilizzano il nome di aziende e siti molto noti, in modo da apparire veritiere. Alcuni esempi:

• L’invito ad aggiornare i dati della vostra carta di credito per poter continuare ad utilizzare i servizi PayPal.
• L’aggiornamento del vostro profilo con aggiunta dei dati della carta di credito “che non verranno diffusi ma serviranno unicamente a garantire la veridicità delle prenotazioni sul sito B&B, secondo la nuova policy di tutela degli utenti”.
• La verifica che il vostro account Amazon (o altro sito su cui effettuate abitualmente gli acquisti) sia ancora in uso, con avviso di disabilitazione nel caso in cui non vengano confermati i dati.

E così via.

Lo smishing è un tipo di phishing attuato tramite SMS inviati al vostro cellulare allo scopo di farvi scaricare virus e malware, o di carpire informazioni sensibili.

Il vishing avviene invece tramite chiamata telefonica o messaggio vocale: ad esempio, la vostra banca vi chiede di confermare i dati della carta di credito, perché potrebbe essere stata clonata. L’interlocutore usa tecniche studiate per mettervi in allarme e convincervi ad agire in fretta anziché ragionare, in modo da mettere fuori gioco la vostra capacità di giudizio.

COME RICONOSCERE UN TENTATIVO DI PHISHING

• Il primo e più importante accorgimento è quello di verificare l’indirizzo e-mail di provenienza della comunicazione: se non è uno degli indirizzi con i quali abitualmente comunicate, siate sempre molto prudenti, soprattutto se vi invitano a fornire dati o a cliccare su un link.
• Controllate il modo in cui la mail è scritta. Se è poco accurato e contiene degli errori grammaticali o di forma, è molto probabile che si tratti di una mail di phishing.
• Se l’indirizzo mail vi sembra attendibile, controllatene comunque l’autenticità su internet: andate sul sito web dell’azienda che apparentemente vi ha contattato e controllate se l’indirizzo mail corrisponde.
• Se vi vengono chiesti dei dati personali, fate prima una telefonata di verifica al presunto mittente.
• Non rilasciate mai alcuna informazione personale per telefono.
• Non rispondete a numeri di telefono sconosciuti: lasciate cadere la linea e tutt’al più richiamate voi per verificare la provenienza della chiamata.
• Non rispondete a messaggi sms che chiedono i vostri dati per sondaggi (spesso a premio) o che promettono buoni sconto o altri vantaggi.
  

ESEMPIO DI PHISHING

Come si può vedere in questo esempio, l’indirizzo mittente non è quello di Aruba!

SONO STATO VITTIMA DI PHISHING BANCARIO: COSA POSSO FARE PER RIAVERE I MIEI SOLDI?

Nonostante tutti gli accorgimenti, ci siete cascati. Eravate stanchi, distratti, la mail era veramente credibile… Fatto sta che si sono purtroppo verificati dei prelievi fraudolenti di somme dal vostro conto corrente. Che fare a questo punto?

1. Innanzi tutto, sarà necessario avvisare immediatamente il proprio Istituto di Credito, che bloccherà le operazioni on-line per impedire ulteriori prelievi non autorizzati e vi fornirà delle nuove credenziali operative.​
   
2. Bisognerà inoltre sporgere immediata denuncia dell’accaduto alla Polizia Postale, che in Italia è l’autorità preposta per le indagini sui crimini informatici, fornendo il maggior numero di informazioni, e possibilmente la documentazione relativa allo scambio di mail dalle quali ha avuto origine la truffa.
   
3. Dopodiché, si potrà chiedere alla propria banca il rimborso delle somme prelevate fraudolentemente.
   

LA RICHIESTA DI RISARCIMENTO ALLA BANCA

Va subito detto che ottenere il risarcimento dalla propria banca non è impresa facile, e molto probabilmente al primo tentativo bonario riceverete un diniego. La banca si richiamerà infatti alle clausole contrattuali che avete sottoscritto quando avete attivato il servizio di “home banking” e che solitamente prevedono che il cliente è responsabile della custodia e dell’utilizzo corretto delle credenziali di accesso e dell’identificativo utente, e che la mancanza di precauzioni nella custodia di tali dati può determinare il rischio di accessi non autorizzati al servizio e di operazioni fraudolente da parte di terzi di cui la banca non può essere ritenuta responsabile.

Tuttavia, non bisogna arrendersi, perché i giudici potrebbero darvi ragione. È infatti assai importante analizzare attentamente l’accaduto, al fine di verificare quali siano le responsabilità delle parti interessate. In linea di massima, va detto che solo quando è ravvisabile una grave negligenza da parte del correntista, il risarcimento non può essere riconosciuto.

Ma chi deve fornire la prova?

Secondo l’art. 10 del Decreto Legislativo 27 gennaio 2010, n. 11 (Attuazione della direttiva 2007/64/CE, relativa ai servizi di pagamento nel mercato interno) spetterà sempre all’Istituto di Credito dimostrare che il prelievo fraudolento è avvenuto a causa del comportamento gravemente negligente del correntista.

La banca dovrà perciò non solo dimostrare di aver predisposto e adottato una procedura di autenticazione cosiddetta “forte”, che prevede l’identificazione dell’utente mediante due o più elementi di autenticazione (es. PIN + token o smartphone), ma anche provare che il pagamento contestato è avvenuto mediante tale procedura di autenticazione “forte” e quindi con grave negligenza o colpa da parte del correntista che la ha autorizzata.

A tal proposito, l’Arbitro Bancario Finanziario (organismo indipendente e imparziale sostenuto dalla Banca d’Italia e deputato alla risoluzione stragiudiziale delle controversie tra i clienti e le banche o altri intermediari in materia di operazioni e servizi bancari e finanziari) ha precisato che qualora la mail fraudolenta presenti errori grammaticali evidenti, sia scarsamente accurata o inviti a cliccare su link che in nessun modo possano essere attribuibili all’intermediario, deve ravvisarsi nell’utente un comportamento gravemente negligente e pertanto, in tal caso, la banca non avrà alcun obbligo di risarcimento. (Vedasi ad esempio la Decisione N. 19399 del 31 agosto 2021 dell'ABF di Bologna).

Viceversa, nel caso in cui il truffatore abbia usato mezzi tecnicamente sofisticati (ad es. una grafica molto simile a quella della vostra banca, un link che per assonanza riconduce all’Istituto di Credito), sarà molto difficile per l’intermediario dimostrare la colpa grave del correntista.

E LA CASSAZIONE?

La Corte di Cassazione, con indirizzo pressoché costante, afferma che, essendo la banca un operatore professionale, l’onere di diligenza a suo carico, per quanto concerne i servizi posti in essere in favore del cliente, ha natura tecnica e deve valutarsi tenendo conto dei rischi tipici della sfera professionale di riferimento, assumendo come parametro quello dell’accorto banchiere (vedi Cass. n. 806 del 2016; n. 2950 del 2017 e da ultimo n. 3780 del 2024). Siccome, quindi, la possibilità di sottrazione fraudolenta costituisce un’eventualità rientrante nel rischio di impresa, spetterà alla banca fornire la prova rigorosa dell’adozione di tutte le misure atte a garantire la sicurezza del servizio e della conseguente colpa grave dell’utente.

La mancata prova di tali elementi obbliga perciò la banca a risarcire il correntista.

CONCLUSIONI

Nonostante il recente orientamento giurisprudenziale più favorevole al correntista, l’unica vera difesa dal phishing rimane quella della diffidenza nei confronti di richieste che pervengono via mail, SMS, tramite banner pubblicitari o comunque online e della cui fonte non si è più che certi. È poi fondamentale ricordarsi di non comunicare mai i propri dati via e-mail, oppure compilando form che vengono proposti online. In caso di dubbi, una telefonata al presunto mittente vi eviterà di finire nella rete di questi truffatori, e conseguentemente di avventurarvi in un contenzioso dagli esiti ancora oggi incerti.