Quanti di noi ricevendo una chiamata da un numero che non conosciamo viviamo il dilemma relativo al rispondere o meno perché incerti circa la trasparenza/affidabilità del nostro interlocutore? Il problema assume rilievo non indifferente se ad essere coinvolte sono le nostre finanze, per questo è necessario conoscere il significato di due termini anglosassoni sempre più usati in tema: phishing e vishing.
Entrambe le fattispecie condividono il fine ovvero la sottrazione fraudolenta di denaro ma differiscono nelle modalità operative.
Negli ultimi anni assistiamo ad un costante aumento delle truffe on line e bancarie che con la pandemia hanno subito un’accelerata come evidenziato da più parti, Banca d’Italia inclusa. La Polizia di Stato nel 2021 riporta che “in merito ai fenomeni di phishing, smishing e vishing, tecniche utilizzate per carpire illecitamente dati personali e bancari, si è rilevato l’aumento dei casi trattati con un incremento del 27% per un totale oltre 18mila casi di furto di credenziali per accesso ai sistemi di home banking, di numeri di carte di credito, di chiavi private di wallet di cryptovalute a fronte dei quali sono state indagate 781 persone” [1].
Ma torniamo al phishing e al vishing.
Nel c.d. phishing assistiamo alla ricezione di fasulli messaggi di posta elettronica provenienti, solo apparentemente, da istituti di credito, finanziarie, agenzie assicurative, ecc., che invitano l’utente a cliccare su appositi link tramite i quali i malfattori riescono a carpire dati personali e/o informazioni utili al perfezionamento della truffa.
Nel vishing il frodatore sfrutta i servizi di telefonia. In particolare, nel caso positivamente risolto con la decisione del 20/05/2022 emessa dall’Arbitro Bancario Finanziario (ABF -Collegio di Palermo n. 8031/2022) e che qui ci si accinge ad esaminare, il malfattore è riuscito a modificare in modo illegittimo il mittente della chiamata utilizzando l’alias della banca. Nel caso di specie tale modalità operativa è stata ritenuta “particolarmente insidiosa” e quindi tale da escludere la colpa grave del correntista.
Ma potremmo altresì ricevere una telefonata con la quale ci comunicano che terzi stanno eseguendo un’operazione fraudolenta sul nostro conto corrente e che, per bloccarla, siamo tenuti a comunicare la password o la on-time password (OTP) cioè il codice usa e getta per ogni singola operazione.
Quindi il truffatore che, utilizza l’alias della banca, si presenta in possesso di informazioni relative a dati personali quali nome dell’intestatario del conto e/o cointestatario del conto, numero di carta riportato sul bancomat, dati sensibili del correntista, tutte informazioni che quest’ultimo non aveva mai rivelato, non fa altro che “giocare” sulla buona fede dell’utente rendendolo fragile innanzi a quella che si rivelerà una truffa perfettamente realizzata.
Ma cosa può e deve fare l’utente- correntista- vittima di tali fenomeni?
1) Sporgere denuncia alle autorità competenti
2) Recarsi presso l’intermediario interessato e disconoscere l’operazione fraudolentemente eseguita
3) In caso di riscontro negativo valutare la proposizione di un reclamo nei confronti del proprio intermediario bancario
A livello normativo, l’art. 10 d.lgs. 11/2010 (in combinato con l’art. 2697 c.c.) prevede che è onere dell’intermediario fornire la prova che l’operazione bancaria sia stata autorizzata, correttamente registrata e contabilizzata ed ancora esibire i LOG [2] delle operazioni e l’indirizzo IP da cui sono avvenute le operazioni fraudolente ed in generale fornire la tracciabilità informatica della operazione disconosciuta. Sulla decisione qui esaminata, trova l’avallo di numerose decisioni dell’ABF (Collegio di Bari n. 16662/2019; n. 1038548/2018; Collegio di Bologna con decisione emessa nella seduta del 17.03.2020), ove si pone l’attenzione su casi in cui i frodatori avevano modificato il mittente della chiamata ricevuta dal cliente, utilizzando l’alias della banca.
La decisione qui esaminata del 20/05/2022 ABF (Collegio di Palermo n. 8031/2022 ha riconosciuto al correntista la restituzione totale di quanto fraudolentemente sottratto, motivando con l’asserzione che “l’Intermediario, non avendo dimostrato la corretta esecuzione ed autenticazione dell’operazione, risulta responsabile per la frode subita dal cliente, essendo tale inadempimento assorbente rispetto ad ogni eventuale negligenza del cliente”.
Tenuto conto dell’intensificarsi del fenomeno, è bene ricordare che, gli intermediari bancari negli ultimi anni e soprattutto negli ultimi mesi, ha investito sul portare avanti una campagna volta ad informare gli utenti dei tentativi di truffa sopra descritti comunicando espressamente che l’intermediario bancario non richiede mai dati personali via e-mail, sms o telefono.
Quello sopra descritto può definirsi un “fenomeno di nuova generazione” per tale ragione il contenzioso che ne deriva può anch’esso definirsi “nuovo” nel senso che, solo nel breve periodo l’intermediario bancario si farà cogliere impreparato nell’adempimento del gravoso onere della prova su di esso incombente ma, con il passare del tempo, gli intermediari bancari saranno “sempre più organizzati” e per gli utenti sarà sempre più difficile provare l’assenza di colpa grave per non aver custodito con diligenza le proprie credenziali e/o dati utili al perfezionamento della truffa qui descritta ( cfr combinato disposto art. 12 co. 4 ed art 7 co.2 d.lgs 11/2010)
Agnese Concetta Somma
[1] https://www.poliziadistato.it/articolo/i-dati-2021-della-polizia-postale
[2] Un log è il risultato di una registrazione sequenziale e cronologica delle operazioni effettuate da un sistema informatico, sia esso un server, un programma, un’applicazione o un client.
Segui il canale TELEGRAM-----------------------------
Iscriviti alla newsletter-----------------------------
Se sei giunto fin qui vuol dire che l'articolo potrebbe esserti piaciuto.
Usiamo i social in maniera costruttiva.
Condividi l'articolo.
Condividi la cultura.
Grazie