Frodi finanziarie online: come riconoscerle? Cosa fare?

“Gentile Cliente, la invitiamo ad aggiornare le impostazioni di sicurezza della sua applicazione altrimenti il suo conto sarà bloccato. Clicchi il seguente link per procedere: …” 

“Gentile Cliente, la tua carta n° …. sarà sospesa per mancata sicurezza in merito all’uso online. Per avere maggiori informazioni chiama il n° …” 

“Gentile Cliente, in ottemperanza della nuova normativa europea, sarà contattato a breve da un nostro operatore per procedere all’aggiornamento delle impostazioni di sicurezza del suo conto” 

Quali sono gli elementi in comune di queste comunicazioni? 

Sono state tutte ricevute dall’utente tramite un messaggio che si inseriva all’interno della chat (già esistente) con il proprio Istituto di credito. 

Inoltre, dopo aver eseguito le indicazioni riportate, all’utente sono state addebitate somme di denaro da lui però non autorizzate. 

Di cosa stiamo parlando? 

Sono tutti esempi di frodi bancarie. 

Nonostante le campagne di prevenzione promosse dagli istituti finanziari, queste tecniche continuando ad andare a segno.  

Vediamo insieme di cosa si tratta. 

SMS “spoofed”: cosa sono e perché sono così invasivi? 

Quando si parla si spoofing si fa riferimento alla tecnica utilizzata dagli attaccanti per mascherare, attraverso appositi software, l’ID del mittente del messaggio in modo che appaia con il nome del Prestatore di Servizi di Pagamento (PSP) e che venga visualizzato dal destinatario insieme ai precedenti messaggi provenienti dallo stesso PSP. 

Diversamente dagli attacchi phishing (che si insediano al di fuori del circuito operativo dell’intermediario e rispetto ai quali l’utente potrebbe essere soggetto ad una colpevole credulità), le tecniche spoofing consistono in intrusioni sofisticate volte a sfruttare il legittimo affidamento dell’utente nei confronti dell’istituto di credito di cui è cliente, così inducendolo a seguire le istruzioni riportate nel messaggio. 

Infatti, la perfetta inserzione nell’ambiente informatico originale e la correlata simulazione di un messaggio, induce l’utente a valutarne la genuinità. 

Cosa deve fare l’utente vittima di una frode informatica bancaria? 

Sono 3 le azioni che un utente vittima di spoofing deve adottare: 

  1. Depositare querela avanti la competente Autorità rappresentando dettagliatamente l’accaduto; 
  2. Contestare tutte le operazioni eseguite e dallo stesso non autorizzate inviando un reclamo all’istituto di credito di riferimento, disconoscendone la paternità; 
  3. In caso di ingiustificato rifiuto da parte dell’istituto finanziario, prima di rivolgersi all’Autorità Giudiziaria, esperire un tentativo di mediazione o depositare online un ricorso avanti l’Arbitro Bancario Finanziario (ABF). 

Qual è, ad oggi, l’orientamento principale dell’ABF e quali sono le altre tecniche utilizzabili? 

Proprio perché si tratta di tecniche particolarmente sofisticate, nei casi di spoofing, attualmente l’ABF non ravvisa la colpa grave dell’utente che, vittima di un raggiro ben inserito nel contesto informatico originale, si è ragionevolmente affidato al nominativo del mittente comparso sul proprio device. 

Lo stesso orientamento si riferisce ai casi di attacco c.d. vishing, per esempio quando un soggetto contatta telefonicamente l’utente fingendosi un operatore autorizzato, ma purché il numero di riferimento sia apparentemente riconducibile a quello dell’istituto finanziario (ad esempio, il numero verde utilizzato per l’assistenza clienti).  

Diverso, invece, è il caso in cui l’utente sia vittima di un attacco phishing o smishing perché, essendo considerati metodi tradizionali per carpire in modo malevolo le informazioni riservate delle persone, il comportamento della vittima di comunicare le proprie credenziali al di fuori del circuito sarebbe configurabile come condotta colposa in quanto si tratta di tecniche ormai ampiamente conosciute. 

Come scongiurare, allora, le conseguenze negative che possono derivare da questi attacchi? 

Adottando un atteggiamento preventivo. 

È importante accertarsi sempre della bontà e legittimità dei messaggi e delle comunicazioni ricevute, anche attraverso un controllo incrociato con l’istituto di riferimento. 

Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.