Phishing e smishing, come salvare il proprio denaro

Phishing & co se li conosci li eviti

Nel periodo in cui stiamo vivendo, a causa del “lockdown”, l’utilizzo degli strumenti digitali è diventato una consuetudine quotidiana.

Se il digitale è diventato parte del nostro vissuto, nello stesso tempo anche le insidie ed i rischi che prima potevamo incontrare nel mondo fisico, ora si sono spostati nella rete.

Tra i pericoli più comuni a cui possiamo andare incontro vi è sicuramente il rischio di rimanere vittime  di truffe come il phishing  o lo smishing.

Vale pertanto la pena conoscerli e sapere come difendersi sia per evitare di cadere in trappole di questo tipo, sia, nel caso in cui il reato venga consumato, poter recuperare il denaro sottratto.

Phishing è un temine inglese che significa “pescare”; nel caso in questione il pescatore è un pirata informatico mentre il pesce è il malcapitato, vittima del reato.

L’esca è una email che l’hacker invia all’indirizzo di un utente. Normalmente la mail sembra provenire da un soggetto che conosciamo, ad esempio la banca con la quale intratteniamo un rapporto di conto corrente o le poste; talvolta può essere un nostro cliente o un soggetto che conosciamo per altre ragioni.

Se l’esca è un sms il reato prende il nome di “smishing”; fatta questa precisazione, lo smishing, per modalità e conseguenze,  è del tutto simile al phishing.

Lo scopo dell’hacker è prendere controllo del pc o, in caso di smishing, dello smartphone della vittima, per poi carpire password o codici segreti.

Case study: l’esperienza del nostro studio

Muovendo dall’esperienza dei casi che il nostro studio ha potuto trattare, possiamo ricostruire sommariamente i vari passaggi del reato come segue:

a) La vittima riceve una email o un sms in cui la Banca avverte che vi è un tentativo di accesso non autorizzato  al conto corrente della vittima. Si chiede,  pertanto, al malcapitato di aprire un link di reinderizzamento alla procedura da seguire per bloccare il tentativo.

b) L’invito normalmente viene rafforzato da una telefonata di un soggetto che si spaccia per un funzionario dell’ufficio antifrode dell’Istituto.  Il funzionario appare essere molto rispettoso delle procedure di sicurezza; infatti, quasi sempre chiede alla vittima di non rivelargli assolutamente i codici, ma di seguire la procedura.

c) Se la vittima apre il link troverà effettivamente una procedura da seguire che tra i vari passaggi prevederà l’apertura del conto corrente tramite l’home banking.

d) Il link in realtà nasconde un cavallo di Troia. (Trojan), cioè un malware che consente al pirata di prendere il controllo del dispositivo della vittima.

e) Aperto il link, il pirata è ora in condizione di sostituire alla home page autentica della Banca una home page perfettamente identica. Se la vittima inserirà le proprie credenziali nella piattaforma fake della Banca, il gioco sarà fatto. Nell’arco di pochi minuti, infatti, il conto corrente verrà svuotato dall’hacker.

Nei molteplici casi che abbiamo trattato, talvolta, il furto delle credenziali pare avvenire anche semplicemente alla sola apertura del link.

Consigli pratici
  1. Gli istituti di credito non chiedono mai, e se lo fanno è molto grave,  l’apertura di link a mezzo sms o mail. I link, quindi, non vanno aperti nemmeno se sono allegati al messaggio con lo scopo dichiarato di ottenere il consenso al trattamento dei dati personali;
  2. Controllare sempre come è stato scritto il nome del mittente. Spesso i pirati informatici sono stranieri e i nominativi indicati possono presentare diversi errori.
  3. In caso di dubbio telefonare al mittente reale per avere conferma dell’invio del messaggio.
  4. Non conservare mai i codici nel dispositivo o in un cloud a meno che non sappiate usare la crittografia.
Cosa si deve sapere per poter recuperare il denaro quando i conti sono già stati svuotata=
  1. Bisogna contattare subito il proprio Istituto di Credito per segnalare l’accaduto;
  2. Bisogna sprogere mmediata denuncia presso le forze dell’Ordine
  3. E’ altamente consigliato rivolgersi ad un legale per poter intraprendere una richiesta di rimborso nei riguardi dalla Banca.
La reponsabilità della Banca

Poiché la frode è oramai all’ordine del giorno, è di tutta evidenza come la Banca debba dotarsi di un modello tecnico organizzativo volto a prevenire questo genere di fenomeni truffaldini.

Se il reato viene consumato, infatti, nella maggior parte dei casi, si riscontra che nel sistema approntato dalla Banca vi è una falla.

A tal proposito oramai in più occasioni sia i Giudici di merito che la Suprema Corte hanno osservato come nell’espletamento dei servizi di pagamento tramite internet, le Poste o gli istituti bancari devono adoperarsi, in modo da impedire l’accesso di soggetti non abilitati al sistema ed evitare danni ai clienti. (Cass. 19 gennaio 2016, n. 806 e Cass. n. 2950/2017).

Senza entrare troppo nei dettagli tecnici, l’attività bancaria secondo i giudici è per se stessa pericolosa e pertanto riconducibile all’art. 2050 c.c. con conseguente inversione dell’onere della prova della responsabilità. Avvenuto il reato, non è il cliente a dover dimostrare che la banca non sia stata diligente, ma quest’ultima a doversi discolpare dimostrando di aver fatto tutto il possibile, ma proprio tutto, per evitare che il reato venisse consumato, prova che non è chiaramente facile da offrire.

Per questa ragioni, anche se la Banca vi ha già risposto che non è responsabile dell’accaduto e che non po’ pertanto risarcire il danno subito, non dovete mai scoraggiarvi; armatevi invece di un pò di coraggio e contattate un legale esperto nella materia che vi possa assistere, poiché, per esperienza ve lo posso assicurare, il più delle volte la musica è destinata a cambiare.