E’ di qualche giorno fa la colossale truffa di milioni di euro ai danni di alcuni clienti dell’istituto svizzero Banca Stato.

La tecnica utilizzata è quella ormai tristemente famosa del phising: gli hacker creano dei siti internet clone dell’istituto, in tutto e per tutto uguali agli originali, ed inducono i clienti a consegnare, in maniera inconsapevole, le chiavi di accesso dei loro conti correnti che, rapidamente, vengono svuotati.

Il finto sito viene proposto tramite motori di ricerca o comunicazioni via email che sembrano provenire dalla banca e gli utenti, eseguendo l’accesso al loro conto, condividono, a loro insaputa, le informazioni di accesso con i malintenzionati che, in questo caso hanno agito prelevando svariati milioni di euro in pochissimo tempo.

Un classico esempio di frode online, insomma, perfettamente riuscito nonostante sistemi informatici di protezione all’avanguardia, come si desume dal comunicato inviato, in propria difesa, da Banca Stato: che “si è attivata per tutelare gli interessi e gli averi dei suoi clienti ed ha applicato i protocolli di intervento previsti. 

"Gli esperti informatici hanno lavorato intensamente al fianco degli specialisti per neutralizzare le minacce informatiche nel più breve tempo possibile".

Come misura cautelativa, l’Istituto ha temporaneamente sospeso determinate utenze e-banking: la clientela interessata da tale misura è invitata a contattare il supporto dedicato all’ebanking di Banca Stato.

Ciononostante una falla c’è stata e le conseguenze, in termini economici, sono state ingentissime.

Ora è stata aperta un’indagine contro ignoti per acquisizione illecita di dati, accesso indebito a un sistema per l'elaborazione di dati, danneggiamento di dati, abuso di un impianto per l'elaborazione di dati, sottrazione di dati personali e riciclaggio di denaro.

Il punto però è anche un altro: è possibile ipotizzare in casi simili una corresponsabilità della banca per scarso controllo?

Sono molti gli utenti truffati che si interrogano sulla questione, evidenziando delle palesi falle nel sistema di protezione dei dati, in particolare sulla presunta mancanza del sistema di autentificazione a tre fattori che permette una rafforzata verifica di controllo attraverso app o sms. 

Altro punto in discussione è sull’azione simultanea di svuotamento di conti per somme ingenti che avrebbe dovuto far scattare un campanello d’allarme ed un immediato blocco del sistema, cosa che invece non è avvenuta, lasciando i conti alla mercè dei truffatori che hanno potuto agire indisturbati.

Temi caldi insomma,che lasciano ampio spazio al dibattito e sui quali sviluppare più di una riflessione.

Redazione &Magazine di Simona Tenentini

---

La sentenza del Tribunale ha dato ragione agli avvocati della vittima. L'istituto di credito, che si è rifiutato di annullare le operazioni non autorizzate, dovrà restituire 100 mila euro ad un'anziana.

Le clonano la sim del telefono e tramite l'app con dei bonifici istantanei si trova due conti svuotati. Adesso il tribunale ha condannato la banca a risarcire una cliente palermitana con oltre 100 mila euro.

L'istituto di credito ha deciso di ricorrere in appello. 

La vicenda riguarda una signora anziana che teneva su due conti una somma di 72 mila euro. Questi soldi però, nel giro di 48 ore, sono stati sottratti con otto bonifici istantanei in favore di persone sconosciute, con destinazione banche spagnole. Consapevole della frode subita, la vittima ha contattato tempestivamente il servizio clienti della banca, procedendo con il blocco di entrambi i conti e denunciando l’accaduto alla polizia.

La mattina dopo la donna è andata andava in banca per evidenziare che nessuno aveva autorizzato quelle operazioni e, dunque, ne chiedeva l’annullamento. "Ma la risposta della banca è stata che non si poteva procedere all'annullamento, nonostante l’operazione complessiva superasse il limite di 60 mila euro di pagamento giornaliero dal conto corrente, circostanza che avrebbe innanzitutto dovuto portare l’istituto di credito a bloccare tutte le operazioni, oltre che avvertire la cliente". A quel punto la donna ha deciso di procedere per vie legali. 

La colpa di eventuali operazioni fraudolente nel sistema doveva ricadere sulla banca perché è tenuta a predisporre tutte le misure necessarie per tutelare i clienti. In particolare la norma prevede che è tenuto ad assicurare che le credenziali di sicurezza non siano accessibili a soggetti estranei. E ancora che, qualora il cliente neghi di aver autorizzato un'operazione, è obbligo della banca provare che l'operazione di  pagamento è stata autenticata correttamente. La banca non risponde del danno solo se dimostra la colpa grave del correntista nell’avere dato i codici ad altri.

La signora non poteva essere accusata, non avendo mai fornito a nessuno il proprio codice di sicurezza e, peraltro, non avendo mai movimentato negligentemente i conti (sul conto solo poche operazioni).

La banca, a sua difesa, ha chiamato in giudizio una nota compagnia telefonica, della quale la vittima era cliente.

Era infatti emerso durante la causa che la società di telecomunicazioni aveva rilasciato a un soggetto terzo, che si era “spacciato” per l’intestatario una sim clone con il medesimo numero di telefono. Essendo entrati in possesso della scheda, era stato possibile scaricare l’app della banca e trovare una finestra aperta sui conti della vittima.

Il Tribunale di Palermo, con la sentenza 3783 del 2023, emanata dal giudice Andrea Illuminati, ha disposto un rimborso totale di oltre 100 mila euro.

La crescita dei casi di truffe bancarie attraverso bonifici prelievi, messaggi, attraverso telefonate o email che sembrano arrivare dalle proprie banche dimostra come, in molti casi, i sistemi di sicurezza degli istituti di credito non siano sicuri. Ci sarebbero strumenti tecnologici per evitare queste truffe ma questo richiede che le banche facciano degli investimenti in sistemi di sicurezza più avanzati. Non è possibile far ricadere il rischio di impresa sui clienti.

Fonte: Palermo Today - Link

---

---

La banda usava la tecnica dello smishing ossia messaggi di testo truffa per estrarre dati finanziari degli utenti e rubarne l'identità, per poi svuotare i loro conti.

 

Con un sms truffa agganciavano le vittime, gli rubavano i dati e quindi l'identità digitale, per poi svuotarne il conto il conto banca lasciando qualche migliaio di euro come "risarcimento". Truffe anche nel corso dei mesi sono aumentante e che per un gruppo che faceva base tra le Marche e la Campania ha fruttato ben 280 mila euro.

A far scattare le indagini è stato un romano, truffato di ben 27 mila euro. Dopo aver raccolto la denuncia, sono scattate le indagini condotte dai carabinieri della sezione cyber investigation del nucleo investigativo di Roma, coordinate dalla procura di Ancona, attraverso sofisticate tecniche di digital forensics, hanno consentito di ricostruire la tecnica criminale utilizzata del sodalizio e individuarne i componenti.

Gli sms truffa

Il sodalizio inviava sms comunicazioni alle loro vittime, spesso scelte in maniera casuale, facendo credere che arrivassero dai rispettivi istituti di credito. Così le vittime venivano invitate ad accedere al proprio conto on line, contattandole telefonicamente fingendosi operatori bancari. Una volta carpite le credenziali di accesso, veniva prelevato dai conti il denaro riversandolo su conti correnti intestati a persone compiacenti, a cui poi veniva lasciata una percentuale (solitamente circa il 15%) del maltolto, come rimborso. Una truffa che ha colpito anche una 18enne romana.

280 mila euro rubati

Le indagini hanno consentito di accertare, finora, almeno 19 reati per un totale stimato in almeno 280.000 euro. Durante le perquisizioni, eseguite nelle Marche e in provincia di Napoli, sono stati rinvenuti 16 mila euro in contanti e dispositivi elettronici ed informatici su cui i carabinieri della sezione cyber investigation del di Roma effettueranno ulteriori accertamenti.

L'arresto

Dopo le indagini, carabinieri e procura hanno emesso un provvedimento di custodia cautelare in carcere nei confronti di un uomo originario di Torre Annunziata, ma residente nelle Marche, ritenuto gravemente indiziato di essere il promotore di un’associazione per delinquere finalizzata alla commissione di numerosi reati di frode informatica commessi attraverso la tecnica dello smishing. Quattro invece le persone denunciate. Contestualmente sono state eseguite perquisizioni personali, domiciliari e informatiche nei confronti di quattro persone indiziate di essere appartenenti al sodalizio in esame, tutti iscritti nel medesimo procedimento penale.

Fonte: Roma Today - Link

 A cura di: Studio Spinapolice & Partners

 

Leggi anche:

---