Phishing, CTCU: vittima ottiene risarcimento di oltre 13 mila euro (Foto Pixabay)
Phishing, CTCU: vittima ottiene risarcimento di oltre 13 mila euro
Il CTCU segnala il risarcimento di 13.700 euro riconosciuto a una vittima di phishing. E lancia un allarme sull’aumento delle truffe e dei finti investimenti online veicolati dai social media
Una vittima di phishing ottiene il risarcimento di oltre 13 mila euro che gli erano stati sottratti da un sedicente operatore di banca. È quanto ha ottenuto il CTCU (Centro tutela consumatori utenti di Bolzano) davanti all’Arbitro Bancario Finanziario cui era stato sottoposto il caso di phishing, una truffa in cui le persone vengono contattate da email, messaggi o telefonate che sembrano appartenere all’istituto finanziario o alla banca di appartenenza e che vanno “a pesca” di informazioni riservate, come i dati di accesso al proprio conto corrente o alla propria carta di credito.
Phishing, il caso seguito dal CTCU
Nel caso assistito dal CTCU, la vittima aveva ricevuto una chiamata da un numero telefonico che aveva attribuito alla sua banca. A chiamare, tuttavia, era un truffatore che gli aveva chiesto di apportare modifiche al sistema di autenticazione della sua area riservata. Dopo aver effettuato l’accesso e alcune modifiche, la vittima aveva scoperto che dal suo conto era stato fatto a sua insaputa un bonifico di 13.700 euro. Dopo un iniziale reclamo infruttuoso, con il CTCU il caso è arrivato all’Arbitro Bancario Finanziario.
E nel caso specifico, l’Arbitro ha stabilito che la banca non era stata in grado di dimostrare l’utilizzo dell’autenticazione a due fattori al momento dell’accesso del truffatore all’online banking della vittima. Se manca infatti la prova dell’autenticazione forte anche solo per una delle fasi del processo di pagamento, cioè in questo caso già al momento dell’accesso al sistema, la banca può essere ritenuta responsabile del danno subito dal proprio cliente. Poiché la banca non è stata in grado di fornire tale prova, l’ABF ha dato ragione al cliente e ha imposto alla banca di risarcire allo stesso l’intera perdita da questi subita.
«Questo caso si è concluso positivamente per il cliente. Tuttavia, non tutte le vittime di truffe online possono aspettarsi sempre decisioni altrettanto favorevoli – afferma Gunde Bauhofer, direttrice del CTCU – Nel caso in cui la banca sia in grado di dimostrare che è stata effettuata una cosiddetta autenticazione forte, cioè a due fattori, l’ABF potrebbe prendere, infatti, anche una decisione diversa, sfavorevole per il consumatore».
L’autenticazione a due fattori
I legislatori europei e nazionali hanno stabilito, ricorda il CTCU, che l’ “autenticazione a due fattori” deve essere effettuata per ogni transazione o operazione bancaria a distanza, che potrebbe potenzialmente causare un danno economico al cliente. Nel caso in cui la banca non effettui l’autenticazione a due fattori, il cliente ha diritto al rimborso completo della perdita finanziaria subita.
L’autenticazione a due fattori è una procedura di sicurezza in cui l’accesso a un sistema o l’esecuzione di una transazione sono consentiti solo se vengono verificati almeno due fattori di riconoscimento indipendenti fra loro, permettendo così di verificare con sicurezza l’identità dell’utente.
I due fattori possono appartenere alle seguenti categorie:
- conoscenza: qualcosa che solo l’utente conosce, ad esempio, una password o un PIN;
- possesso: qualcosa che solo l’utente possiede, come, ad esempio, un dispositivo smartphone, una carta bancaria o un generatore di OTP;
- biometria: qualcosa che solo l’utente è, ad esempio un’impronta digitale, il riconoscimento facciale oppure quello vocale.
Aumentano le richieste di assistenza su frodi online
Il CTCU denuncia poi che stanno aumentando le richieste di assistenza e informazioni su casi di frode nel commercio online. Soprattutto segnalazioni di finti investimenti veicolati dai social media. Il meccanismo è il seguente: il primo contatto avviene attraverso facebook, instagram o un altro social e per convincere la vittima vengono mostrati dei video in cui personaggi pubblici molto noti sembrano consigliare degli investimenti. Questi video non riproducono situazioni reali, ma vengono realizzati con l’aiuto dell’intelligenza artificiale.
Dopo aver stabilito il contatto iniziale, le vittime vengono invitate a effettuare investimenti, spacciati come redditizi, tramite messaggi personali, spesso via WhatsApp. In realtà si tratta di pagamenti che non vengono assolutamente investiti in qualche tipo di operazione finanziaria, ma che finiscono direttamente nelle tasche dei truffatori e quindi spariscono. Le truffe segnalate al CTCU ammontano anche a migliaia di euro. Il consiglio? Stare alla larga da proposte di investimento via social network. Il rischio è di perdere molti soldi. All’associazione sono stati segnalati casi di truffe per 100 mila euro.
