Un’imprenditrice di Roma esce dalla filiale della propria banca per attivare un nuovo sistema a doppia autenticazione otp e pochi minuti dopo riceve un sms truffaldino che sembrava provenire da quella stessa banca.
E poi telefonate con numeri (apparentemente) della banca. Data la coincidenza temporale, la donna ci casca e così permette ai criminali di rubarle con bonifico 60mila euro, che la banca, Intesa SanPaolo, ora non vuole restituirle non ritenendo di avere alcuna colpa.
Il caso, riportato dall’associazione Konsumer, è interessante perché mostra come i criminali stiano affinando le proprie tecniche per risultare più credibili con sms (smishing) e telefonate (vishing) truffa.
L’avvocato della donna ha avviato una causa sospettando una responsabilità della banca, per via della strana coincidenza: “Il vishing è iniziato dal momento in cui la cliente ha comunicato il numero di telefono in filiale. Ci sono delle falle nei loro sistemi informatici? C’è qualcuno che dalla filiale comunica i numeri di telefono a terzi? Non vedo altre opzioni” ha detto a Repubblica.
Ci sono però anche altre spiegazioni, che escludono la responsabilità della banca, segnalano vari esperti a Cybersecurity360.
Indice degli argomenti
La truffa che scatta subito dopo un contatto con la banca
Un noto esperto di cybersecurity, che preferisce restare anonimo, riferisce di avere tra le mani decine di casi simili. L’sms e/o la chiamata truffa scattano pochi minuti un contatto tra il cliente e la banca; anche dopo una chiamata all’assistenza telefonica.
Sms con link
Ecco come è andata nel caso dell’imprenditrice romana, secondo il racconto dell’avvocato. Il primo sms con (falso) mittente Intesa SanPaolo contiene un “codice di sicurezza”, un secondo un link per “verificare i dati”, classica richiesta phishing perché, ormai dovrebbero saperlo anche i muri (ma non lo sanno) che banche e altri soggetti simili non mandano mai sms o mail chiedendoci i nostri dati; ce li chiedono solo dopo che noi li abbiamo contattati e anche in quel caso chiedono solo alcune cifre di pin o password. Mai e poi mai bisognerebbe dare seguito a messaggi con link eccetera eccetera.
Telefonata truffa
Fatto sta che l’imprenditrice ci casca ed è così che i truffatori prendono i dati di login. Poi una telefonata chiede di installare un’altra app contro le frodi.
Forse l’app è un trojan per intercettare una one time password digitata dalla donna, che il giorno dopo si ritrova un bonifico da 59mila euro, mai fatto.
Val la pena ricordare che prima di installare apk, ossia app non presenti negli store ufficiali Android, bisogna pensarci molto bene; tanto più se ce lo chiedono altri; tanto più se è un’app in qualche modo collegata a soldi.
Possibili spiegazioni
“Un insider è sempre possibile”, spiega Pierluigi Paganini, noto esperto del settore. “Ma un insider non è necessariamente un dipendente ma qualunque soggetto che gravita intorno alla banca”, aggiunge.
Altre spiegazioni: “uno che la pedinava o qualcuno vicino a lei che sapeva che sarebbe andata in banca”, dice.
“Ipotizzo un malware”, dice Riccardo Meggiato, un altro noto esperto che affronta diversi casi simili per la sua attività e collaboratore di procure per reati informatici; è anche coordinatore di The Outlook, la nuova rubrica di Cybersecurity360.
“Il malware viene installato in una fase precedente, si accorge che la persona ha interagito con la banca via cellulare e segnala quindi ai truffatori che è quello in momento buono per ingannarla”, dice Meggiato.
“Ma una volta installato il malware, non sarebbe più facile usarlo per prendere direttamente i suoi codici?”, ribatte Paganini.
Insomma, il dubbio resta.
Quando la banca deve restituire i soldi
La questione è dirimente perché con le attuali norme la banca deve restituire i soldi a meno che non provi (su di lei l’onere della prova) di non poter in alcun modo controllare quell’eventualità (il bonifico truffa); perché c’è stato da parte del correntista grave colpa o addirittura dolo.
Truffa online: ecco quando la banca rimborsa in caso di phishing
Perché ci sia colpa, non basta che il correntista abbia fornito i dati ai truffatori; bisogna dimostrare che la banca non aveva alcun modo per parare il colpo, proteggere il consumatore.
In molti casi ha rimborsato quando avrebbe avuto modo di verificare – con analisi sui propri sistemi – un’anomalia nei dati di bonifico, causata da malware installato sul pc della vittima tramite phishing.
