Come difendersi dalle truffe telematiche bancarie

Come difendersi dalle truffe telematiche bancarie

Mettiamo in risalto la situazione delle frodi informatiche ai danni degli istituti di credito e dei loro relativi clienti, soprattutto in questo periodo di emergenza Covid-19.

Abi lab (consorzio per la ricerca e l’innovazione dell’Associazione Bancaria Italiana) ha fornito dati dell’ultimo periodo sulle frodi più utilizzate.

Si vede un lento calo delle frodi online ma è sotto gli occhi degli esperti come i criminali abbiano affilato i loro artigli sviluppando, nell’ultimo periodo, tipi di truffe più avanzate e sofisticate rispetto al Phishing.

Ovviamente il Phishing sta da anni ormai sul podio, però quello che lascia l’amaro in bocca è lo sviluppo di nuovi sistemi per perpetrare frodi telematiche bancarie.

Il Phishing è una truffa informatica effettuata inviando un’e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine tecnico.

In pratica attraverso un’ e-mail ingannevole, il soggetto con falsa motivazione quale problemi di registrazione o di diversa natura, invita a cliccare su un link che rimanda in un sito web, apparentemente identico a quello della vostra banca o altro sito commerciale, con l’inganno di effettuare una registrazione. Appena l’utente inserisce i propri dati riservati, questi saranno disponibili ai criminali unitamente ai dati del conto corrente.

Esistono delle sottospecie come in ogni grande famiglia, la differenza sta nello strumento informatico con cui vengono sottratti i dati del correntista (titolare di conto corrente).

Abbiamo lo smishing (sottrazione dei dati via sms) e il vishing (sottrazione tramite sistemi VoIP). Quest’ultimo a quanto pare è uno dei sistemi in crescita dato l’aumento dell’utilizzo di applicazioni come Skype anche da parte degli istituti di credito.

Da dove arrivano però i pericoli informatici del 2020?

Ovviamente dall’aumento da parte degli istituti di credito di app per mobile banking.

Da premettere che le app per il mobile banking più recenti permettono di controllare il nostro conto, di fare bonifici, ricariche e qualsiasi visualizzazioni sulle entrate e uscite, ma come ogni applicazione che si rispetti alcune di loro hanno falle e bug a volte anche gravi. Da parecchi anni analisti e studiosi hanno fatto presente il problema ai relativi istituti.

Ovviamente non tutte le app sono nocive, ad esempio sono in circolo app di home banking che permettono all’utente di modificare e potenziare le proprie misure di sicurezza come il codice OTP, di utilizzare il token fornito dalla propria banca o di attivare una password personale ad ogni transazione, avendo pienamente certezza che sia volere del correntista fare il pagamento o un qualsiasi bonifico.

Attenzione però perché gli hacker nell’ultimo periodo hanno portato avanti e sviluppato pericolosissimi attacchi informatici di tipo Sim Swap Fraud e Sim Swap Scam. In entrambi i casi il malvivente riesce a rubare le credenziali di accesso del telefono (codice pin o qualsiasi codice segreto) e tramite tecniche di social engineering riesce a clonare sia la sim della vittima sia la carta d’identità appropiandosi anche delle eventuali password che riceve via sms e codici OTP per l’ultima operazione bancaria necessaria.

E’ semplice accorgersi di essere stati vittima di questi attacchi informatici poiché il malcapitato non potrà più chiamare né ricevere messaggi, non avrà nessuna navigazione dati, troverà la sim bloccata.

In pratica il ladro chiamerà il fornitore di servizi dicendo di aver smarrito la sim e dettando le vostre generalità (cosa molto semplice da sapere dato l’eccessivo utilizzo dei social network) la compagnia telefonica disattiverà la vostra sim e attiverà una sim sostitutiva con il vostro numero al criminale, quello fornito alla banca. Praticamente avrà accesso a tutto.

In ambito giuridico, è permesso a chiunque fare ricorso ad un istituto di credito per riavere indietro la somma di denaro involontariamente sottratta dal malvivente ma non sempre si riesce ad ottenere tutela. Ad esempio:  se un ladro per completare una transazione ha accesso al telefonino personale e quindi alla password di conferma come farà il correntista ad ottenere una prova? Si consideri anche l’enorme costo di una perizia informatica.

Alla banca basterà dare prova di avere adottato tutte le misure di sicurezza e di aver adottato elementi di autenticazione elevati e il gioco sarà fatto.

Parecchi Tribunali hanno dato ragione ai correntisti per quando riguarda la non corretta analisi dei movimenti che possano lasciar trasparire anomalie nell’attività di home banking. Ma è ovvio che se la transazione è una sola, la Banca la farà passare come di normale amministrazione. Una transazione ogni tanto non desta sospetti.

Quindi gli istituti non solo dovrebbero stare attenti alle eventuali vulnerabilità del loro sistema informatico, ma dovrebbero inoltre monitorare tramite un sistema antifrode eventuali movimenti che potrebbero risultare anomali.

Invero, dal 14 Settembre 2019 è entrata in vigore una nuova direttiva che mira a promuovere lo sviluppo di un mercato interno dei pagamenti al dettaglio efficiente, sicuro e competitivo rafforzando la tutela degli utenti dei servizi di pagamento, sostenendo l’innovazione e aumentando il livello di sicurezza dei servizi di pagamento elettronici, la  Direttiva UE 2015/2366 (c.d. PDS2).

Ovviamente per aumento del livello di sicurezza dei servizi di pagamento elettronici si intende l’adozione di elementi di autenticazione molto più sicuri, cosa non presente fino a quel momento, soprattutto per quanto riguarda i bonifici effettuati con app di mobile banking o home banking.

Se ad esempio ad un cliente venissero rubati tutti i dati e i codici per eseguire consecutive transazioni e il servizio antifrode dell’istituto non se ne accorgesse, il Tribunale potrebbe dar ragione al correntista per inadempimento di controllo sulle movimentazioni interne. Su questo argomento la stessa Comunità Europea ha adottato il Regolamento UE 2018/389 per quanto riguarda i meccanismi di monitoraggio delle operazioni di pagamento non autorizzate.

In questo caso colui che porta avanti un attacco informatico del genere potrebbe essere denunciato ex artt. 615-ter, 640-ter e 617-quater.

Nel caso riceveste anche voi questi tipi di comunicazioni è di fondamentale importanza attenuarne la diffusione, segnalando il tutto al servizio antifrode della propria banca e facendo una denuncia tramite lo sportello per la sicurezza web della polizia postale.

consulenza_per_privati_e_aziende          consulenza_per_avvocati

Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.

Abbate Valerio

Latest posts by Abbate Valerio (see all)

Articoli inerenti