Nuova pronuncia a favore per Morbinati e Longo avvocati in un contenzioso con una banca per una richiesta di risarcimento a seguito di truffa phishing.
Prima o poi è capitato a tutti di ricevere una mail o un sms da un contatto che sembra essere proprio quello della nostra banca in cui ci avvertono di qualche problema con il conto corrente. Oppure la classica mail in cui c’è un principe nigeriano che ha bisogno proprio del nostro aiuto e in cambio, questo reale è predisposto a pagarci il favore profumatamente. Quindi massima attenzione: si tratta sempre di truffe.
Le banche, ormai è dato certo che non bisogna mai dimenticare, non chiedono mai tramite SMS o email di condividere dati sensibili come password e/o accessi poiché tali mezzi di comunicazione non garantiscono adeguati livelli di sicurezza.
Nei casi sopra descritti state certi che si tratta di una truffa. Non sono rari i casi però di persone che cadono in questi tranelli, in molti casi davvero ben orchestrati. Spesso gli indirizzi mail sono molto simili a quelli originali e il template grafico con cui è vestita la comunicazione è perfettamente sovrapponibile a quello originale.
Una nostra cliente ha subito un raggiro via SMS e via email, nel gergo definita un episodio di smishing e phishing che gli è costato la sottrazione dal conto corrente di circa 3mila 500 euro, a seguito di un’operazione da lei stessa autenticata.
Come è stato possibile tutto ciò? Dopo aver ricevuto un SMS in cui la banca la avvisava di presunte limitazioni sul proprio conto corrente, la cliente ha ricevuto una telefonata da un sedicente operatore della Banca che tramite l’invio di alcune email, da indirizzo riconducibile all’assistenza della banca, metteva in atto la truffa rubando le credenziali di accesso all’home banking.
Cliccando su un link presente in una delle mail la cliente avrebbe “aperto la porta” del proprio conto corrente ai truffatori che una volta in possesso delle credenziali hanno potuto agire indisturbati e, a detta dell’intermediario, legittimati a compiere azioni sul conto corrente della ricorrente.
Se da un lato la Banca si è difesa adducendo la motivazione di aver più volte avvisato i propri clienti di truffe phishing, imputando la “grave colpa” proprio alla cliente per aver cliccato il link che ha consentito di installare un malware, la cliente per contro ha accusato la banca di non aver messo in atto abbastanza tutele informatiche al fine di evitare questi spiacevoli episodi.
L’ABF si è pronunciato a favore della nostra cliente riscontrando delle anomalie nel sistema di autenticazione previsto dalla Banca. L’autorizzazione deve, infatti, avvenire attraverso l’impiego di un sistema di autenticazione forte (SCA), caratterizzato dal ricorso di almeno due di tre fattori, reciprocamente indipendenti e appartenenti a categorie diverse: conoscenza; inerenza; possesso.
La Banca sosteneva che la colpa fosse in toto imputabile alla cliente (poiché di fatto era stata lei a cliccare inserendo i propri dati sensibili) che aveva finalizzato in prima persona l’autenticazione. Di parere diametralmente opposto l’ABF che ha segnalato la non congruenza della prova di autenticazione forte da parte della Banca, condannandola a risarcire la ricorrente e a pagare le spese istruttorie.
Purtroppo, queste truffe sono sempre più frequenti (mail con grafiche e indirizzi uguali o molto simili a quelli originali) per questo è fondamentale restare vigili e ricordare che le banche NON chiedono mai dati sensibili al telefono o via email o SMS.
In caso vi ritroviate ad essere vittime, ricordate infine che avete la possibilità di ricorrere all’ABF, un organismo imparziale e indipendente, per la risoluzione stragiudiziale delle controversie con istituti di credito e banche. Per qualsiasi dubbio non esitate a contattarci.