PHISHING E TRUFFE

Truffe con bonifici ed home banking: Phishing, Vishing e Smishing

Le truffe sui bonifici e sull’home banking: quando la banca deve risarcire il cliente? potresti avere bisogno di un avvocato cassazionista a Roma che si occupi di cause di diritto bancario.

Che si tratti di phishing, di man in the browser, di errore sull’Iban, di mancata attivazione di SMS Alert o notifica a mezzo email delle operazioni bancarie, cerchiamo di capire quanto il cliente ha diritto ad essere risarcito dalla Banca.

@avv.marcellopadovani

Risarcito Cliente Vittima Di Phishing. #risarcire #risarcimento #cliente #vittima #phishing #pishingscams #avvocato #avvocatocassazionista #avvocatopadovani

♬ suono originale – Avv. Marcello Padovani

Sei vittima di un bonifico fraudolento disposto dal tuo conto corrente bancario o postale?

Sempre più attuale il tema dei bonifici fraudolenti, ovvero quelli non disposti dal titolare del conto.

L’intermediario deve provare di aver assolto ai propri doveri di diligenza, esibendo i LOG delle operazioni e gli indirizzi IP da cui sono avvenute le operazioni fraudolente, o gli SMS o email di conferma o ancora l’avvenuto inserimento del PIN.

Se non lo fa deve risarcire il danno prodotto al cliente.

Truffa con bonifico bancario

Diverse sono le ipotesi di truffa avente per oggetto un bonifico bancario.

Un esempio è rappresentato dalla sostituzione dell’iban di un fornitore, quando l’ufficio pagamenti riceve una email che indica un nuovo conto per i pagamenti.

In altri casi la truffa passa da un concorso di colpa della banca, che ha permesso la sostituzione dei dispositivi di autenticazione quali token o telefono del titolare, con ciò permettendo a terzi non autorizzati di disporre sui conti correnti della vittima.

La truffa rappresenta un reato perseguibile penalmente, ma talvolta non è utile rincorrere i truffatori quanto piuttosto domandare il risarcimento del danno alla banca per la sua responsabilità.

Truffa con bonifico: come può avvenire?

Le truffe con bonifico bancario possono avvenire in diversi modi:

1. Phishing: gli truffatori inviano email o messaggi falsi che sembrano provenire da istituti bancari, chiedendo informazioni personali o di effettuare bonifici su account fraudolenti.

2. Manipolazione del conto: i truffatori possono ottenere accesso al conto di una persona e modificare i dettagli del beneficiario o il valore del bonifico per indirizzarlo verso il loro account.

3. Vendite online false: i truffatori possono promuovere prodotti o servizi online a prezzi convenienti, chiedendo ai potenziali acquirenti di effettuare un bonifico per poi scomparire senza consegnare nulla.

4. Falsi investimenti: offrono opportunità di investimento con rendimenti elevati, richiedendo un bonifico per garantire la partecipazione, ma i soldi vengono dirottati verso gli account dei truffatori.

5. Bonifici fraudolenti da vittime inconsapevoli: i truffatori ingannano le persone affinché effettuino bonifici su account fraudolenti, ad esempio facendo credere di aver vinto un premio o di dover pagare una multa.

6. Frode dei fornitori: i truffatori si fanno passare per fornitori o imprese legittime e chiedono ai clienti di effettuare bonifici su account controllati dai truffatori anziché sui conti aziendali.

7. Bonifici dirottati: i truffatori intercettano o modificano i dettagli di un bonifico in uscita, dirottando i fondi verso i loro account.

8. Account compromessi: se l’account bancario di una persona viene compromesso, i truffatori possono utilizzarlo per effettuare bonifici fraudolenti senza il consenso del proprietario.

Ricorda sempre di prestare attenzione ai dettagli del bonifico, verificare l’autenticità delle comunicazioni bancarie e mantenere aggiornate le misure di sicurezza per proteggerti dalle truffe finanziarie.

Quali sono le frodi più frequenti in materia di servizi di pagamento e bonifici bancari?

Le frodi più frequenti in materia di servizi di pagamento sono:

  • il phishing: evitabile dal cliente con la dovuta diligenza;
  • il c.d. man in the browser, in cui, attraverso un software particolarmente insidioso, si realizza l’interposizione fraudolenta di un terzo tra il sistema centrale dell’intermediario e quello del singolo utente, mentre il cliente ritiene di operare all’interno del circuito operativo dell’intermediario;
  • le Business Email Compromisè, in cui gli hacker sostituiscono l’Iban del beneficiario contenuto all’interno di una email molto attendibile.

In tali casi, si esclude l’imputabilità all’utilizzatore di qualsivoglia profilo di colpa grave, e il cliente è tenuto indenne delle perdite subite, al netto della franchigia di cui all’art. 12 comma 3 D. lgs. 11/2010 eventualmente prevista.

BEC – Business Email Compromisè?

Si parla di BEC o Business Email Compromisè, per descrivere quella truffain cui gli hacker sostituiscono l’Iban del beneficiario contenuto all’interno di una email molto attendibile.

Gli hacker infatti riescono a inserirsi all’interno delle strutture di pagamento di grandi aziende o pubbliche amministrazioni, indicando un Iban che tuttavia non è riferibile a chi deve ricevere il pagamento.

Considerato che in caso di contraddizioni tra Iban e dati dell’intestatario del conto, ormai, prevale l’iban, con la truffa del Business Email Compromisè i truffatori riescono a farsi accreditare ingentissime somme sui propri conti correnti, o sui conti correnti dei cd. Muli, terzi consapevoli o inconsapevoli, titolari del conto dove le somme transitano per brevissimo tempo, prima di giungere a destinazione al sicuro all’estero (per i truffatori).

Spesso le vittime sono eccellenti, ad esempio risulta caduta nella truffa la squadra di Calcio S.S. Lazio, la quale avrebbe pagato 2 milioni di euro ai truffatori invece che al Feyenoord in conseguenza di una operazione di BEC.

Operatività anomala sul conto corrente

E’ possibile ottenere risarcimento anche nel caso della sola ’anomalia delle operazioni disconosciute.

Se infatti i bonifici sono effettuati in brevissimo lasso ti tempo, infatti, potrebbe identificarsi una anomalia rispetto alla movimentazione del conto nell’anno e nel mese di esecuzione dei bonifici al fine di argomentare che le operazioni oggetto del presente giudizio sono ictu oculi del tutto disanimate rispetto alla normale operatività fisiologica sul conto.

Non si può non rilevare, inoltre, che i bonifici disconosciuti hanno sostanzialmente esaurito l’importo massimo disponibile per i bonifici disposti tramite banca multicanale. La circostanza che l’intermediario non abbia predisposto idonei strumenti per bloccare tali operazioni (reputabili, per tipo, ammontare e tempistica di esecuzione come) anomale va intesa, allora, quale apporto causale – non doloso – dell’intermediario nella frode (in termini, Coll. Roma, dec. n. 88107 del 2023 e Coll. Roma, dec. n. 2856 del 2023).

Secondo l’orientamento condiviso dei Collegi, infatti, è possibile valorizzare indici di frode ulteriori rispetto a quelli previsti dal d.m. n. 112 del 2007 in presenza di una operatività anomala rispetto alle movimentazioni storiche del ricorrente. Si tratta di indici che, benché dettati con riferimento alle carte di pagamento, possono riferirsi anche ad operazioni eseguite con altri strumenti di pagamento in ragione dell’identità di ratio.

Ciò posto, tenuto conto delle modalità con la quale è avvenuta la frode nonché dell’apporto causale fornito anche dal ricorrente, si reputa che il ricorso possa, in via equitativa, essere parzialmente accolto.

Bonifico svolto sotto dettatura da parte del truffatore

La banca non deve risarcire il danno da phishing se in sede di denuncia il ricorrente dichiara di aver svolto i bonifici oggetto del presente giudizio sotto dettatura da parte del truffatore, o almeno tale circostanza comporta che il cliente possa essere definito gravemente non diligente.

Sulla scorta di un radicato orientamento dei Collegi tanto comporta che l’operazione risulti autorizzata e, quindi, non soggetta al regime di responsabilità previsto dalla direttiva PSD2 (cfr., ad esempio, Coll. Roma, dec. n. 1314 del 2024 e Coll. Roma, dec. n. 9003 del 2023).

Truffa aggravata per chi usa illegittimamente le credenziali di accesso all’home banking

La Cassazione, con la sentenza 13559/2024, ha confermato la condanna per truffa e l’aumento di pena per chi usa illegittimamente le credenziali di accesso all’home banking, come il PIN o le chiavette elettroniche.

Questo reato è punito dall’articolo 640-ter terzo comma del Codice penale, con una pena che varia da due a sei anni.

Importante è la chiarificazione che l’aggravante non è limitata all’uso illegale delle procedure di validazione riconosciute dalla pubblica amministrazione (come SPID, CIE o la firma digitale), ma si estende anche alle credenziali utilizzate per accedere ai sistemi informatici privati, come le banche online o piattaforme di vendita in rete.

Questa interpretazione è in linea con l’intento del legislatore espresso nell’articolo 9 del Dl 93/2013, che mira a rafforzare la fiducia dei cittadini nell’utilizzo dei servizi online e a contrastare le frodi, soprattutto nel settore del credito al consumo, realizzate tramite furto di identità.

La sentenza enfatizza l’importanza di proteggere tutte le forme di identità digitale, indipendentemente dal livello di sicurezza, e riconosce come aggravante l’uso illegittimo di qualsiasi dispositivo che produca un codice unico per operazioni bancarie, identificando in modo esclusivo e univoco una persona attraverso una sequenza di numeri o lettere. Questo approccio mira a garantire una tutela efficace contro il furto di identità digitale.

L’errore sull’Iban e sulla corrispondenza con l’intestatario dell’iban

Nell’ipotesi di errore sul codice IBAN attenzione, perchè dall’entrata in vigore del d.lgs. 11/2020 la Banca non ha più l’obbligo di controllare la corrispondenza tra l’iban del beneficiario ed il suo nome: se la banca ha eseguito il bonifico sull’Iban indicato dal cliente, non deve risarcire il danno.

Neanche la banca del destinatario-beneficiario del bonifico deve risarcire il danno prodotto, come chiarito dalla Corte di Giustizia dell’Unione Europea con la sentenza C-245/2018 del 21/3/19.

Iban errato e come recuperare le somme versate

In caso di iban errato occorre individuare la strada più corretta per cercare di ottenere il risarcimento del danno subito.

Può capitare, come è capitato, di non vedersi restituire quanto pagato per errore su un certo iban e che tale circostanza non sia colpa della banca (se c’è errore della banca è sempre meglio cercare risarcimento da questa).

Il cliente tuttavia può avere anche difficoltà ad ottenere dalla banca informazioni sull’intestatario del conto che ha beneficiato per errore dell’accredito.

In caso di difficoltà può essere necessario ricorrere all’ABF che ha confermato – con decisione del Collegio di Coordinamento nel 2022 – il diritto del cliente ad ottenere indicazione del nominativo del beneficiario del pagamento ricevuto su iban errato.

Il phishing, lo smishing e i vishing

Phishing, smishing e I vishing sono diversi tipi di truffa e frode sui conti correnti, tramite bonifico bancario e sulle carte.

Ma quali sono le differenze tra phishing, smishing e vishing?

Che cos’è il phishing?

Il phishing (e non fishing) è la generica truffa con cui, a mezzo internet il malintenzionato ottiene dal cliente della banca informazioni come nome utente, password, codice OTP e con queste si sostituisce al cliente per compiere operazioni fraudolente, come bonifici o addebiti su carte.

Spesso in phishing inizia quando il cliente clicca il link contenuto in una email. A quel punto i truffatori accompagnano il cliente in un sito internet replica di quello della banca (o di altri siti considerati attendibili) nei quali il cliente inserisce nome utente e password, che finiscono nelle mani dei malintenzionati.

Che cos’è lo smishing?

Lo smishing è il phishing che avviene a mezzo sms che rendono credibile il fatto che a scrivere sia la banca e non il truffatore.

Lo phishing inizia quando il cliente clicca il link contenuto in una email. A quel punto i truffatori accompagnano il cliente in un sito internet replica di quello della banca (o di altri siti considerati attendibili) nei quali il cliente inserisce nome utente e password, che finiscono nelle mani dei malintenzionati.

A volte lo smishing avviene con l’Sms spoofing, quando il messaggio SMS sembra provenire proprio dalla banca, andandosi ad inserire tra i precedenti messaggi ricevuti dall’intermediario.

Che cos’è il vishing?

Il vishing è il voice phishing, ovvero la truffa bancaria a mezzo voce, di solito tramite un numero di telefono VOIP che rende credibile il fatto che a chiamare sia la banca e non il malintenzionato

Nel vishing il truffatore finge di aiutare il cliente a bloccare la carta o a prevenire una truffa in corso, magari chiedendo il codice OTP al fine di “resettare” l’account, oppure di rimuovere l’app. Si tratta di operazioni che la banca non chiederebbe mai di compiere.

Il QRishing ovvero la truffa a mezzo QR code

Il QRishing è una variante del phishing che ha preso piede nel 2022.

Con il QRishing i dati personali vengono rubati dopo che la vittima scansione un codice QR trovato online o anche in formato cartaceo.

Si viene portate su un sito identico a quello che ci si aspetta, ad esempio quello della banca con la promessa di un buono o uno sconto.

La vittima del QRishing a quel punto inserisce tutti i dati che gli vengono chiesti. concedendo ai truffatori i dati per poi procedere ad addebiti, bonifici o altri pagamenti.

Che cos’è la sim swap fraud?

Con la sim swap fraud i truffatori scambiano la scheda sim del cliente, tramite la collaborazione di truffatori inseriti in centri di telefonia (viene simulata la richiesta di duplicazione della sim per smarrimento).

Il cliente vedrà assenza di linea, e ciò in quanto il suo numero viene utilizzato da altri che erano già in possesso del suo nome utente e password per accedere alla banca o alla carta.

In questo modo gli sms di autorizzazione delle operazioni non giungono al cliente ma al truffatore, che riesce ad operare in modo incontrollato per alcuni minuti o alcune ore.

Il bonifico su iban inesatto

Anche se non si tratta di truffe con bonifici, abbiamo visto che in caso di bonifico su iban inesatto la banca deve solo attenersi ad effettuare il pagamento sull’iban indicato dal cliente, anche dove non corrispondano i nomi dell’intestatario del conto.

Il problema per chi abbia effettuato un bonifico sta anche nel sapere materialmente a chi il bonifico è stato effettuato, in quanto le banche talvolta fanno resistenza a fornire informazioni sostenendo l’esistenza di motivi di privacy.

Il soggetto che abbia effettuato il bonifico errato può ottenere il nome dell’intestatario dell’iban dalla banca dove questi ha il conto.

Questo è stato affermato dal Collegio di Coordinamento dell’ABF con decisione del 3/5/2022 secondo cui:

1. quando a causa dell’erroneità dell’IBAN l’ordine di bonifico sia stato eseguito a vantaggio di un terzo non legittimato a riceverlo, il pagatore ha il diritto di conoscere dal prestatore di servizi di pagamento dell’accipiens i dati anagrafici o societari di quest’ultimo;

2. in tal caso, il prestatore di servizi di pagamento dell’accipiens non può invocare la tutela della privacy al fine di giustificare il suo rifiuto di comunicare al pagatore i dati anagrafici o societari del proprio correntista.

Attesa del call center per bloccare la carta

Problema delle lunghe attese nei call center per il blocco delle carte di pagamento perse o rubate; quando per via dell’attesa per bloccare la carta il cliente subisce un danno, la banca deve risarcire.

Secondo la normativa (art. 8 d.lgs. n.11/2010), l’intermediario è obbligato a fornire strumenti adeguati e sempre disponibili per permettere al cliente di comunicare la perdita della carta.

In caso di operazioni non autorizzate durante l’attesa, la responsabilità ricade sull’intermediario, non sul cliente. Questo perché la gestione e l’organizzazione del call center sono a carico dell’intermediario, che deve assicurare un servizio efficiente e immediato.

Le attese prolungate, spesso oltre i due minuti, rappresentano una criticità, poiché aumentano il rischio di operazioni fraudolente durante la chiamata. Il documento sollecita riflessioni sull’efficacia e l’efficienza dei servizi di call center offerti agli utenti.

L’ordinanza Cassazione 7214/2023 sul Phishing

La Corte di Cassazione ha avuto modo di pronunciarsi con l’ordinanza 7214/2023 in materia di phishing ed a questo provvedimento è stata data una certa attenzione da molti, che gli hanno – riteniamo impropriamente – attribuito un valore negativo per i clienti e positivo per le banche.

Il provvedimento della Cassazione tuttavia riguarda fatti (un episodio di phishing ai danni di clienti di Poste Italiane) avvenuti nel lontano 2005.

La normativa e la tecnologia utilizzata sono tuttavia completamente cambiate nel frattempo, se si considera che oggi la prova della correttezza della banca viene anche dalla registrazione dell’operazione oggetto di autenticazione forte, come con i codici OTP su sms o con l’autorizzazione da APP.

Peraltro l’ordinanza non rigetta le istanze del consumatore sulla base di motivazioni “contemporanee” come da giurisprudenza dell’ABF, bensì si limita a delle dichiarazioni di inammissibilità del ricorso per cassazione.

Il provvedimento ci pare irrilevante ai fini della considerazione della disciplina in materia.

Cosa deve provare la banca per andare esente da colpa in caso di frodi sui servizi di pagamento?

In caso di frode o truffa in materia di servizi di pagamento, vale il principio inverso rispetto alla normalità.

E’ la banca o l’intermediario – ovvero il PSP Prestatore di Servizi di Pagamento – che deve provare di essersi comportato correttamente.

La banca, per evitare di essere condannata a risarcire il cliente, deve quindi dimostrare (ex art. 10 d.lgs. 11/2020):

  1. autenticazione corretta da parte del cliente;
  2. corretta registrazione e contabilizzazione delle operazioni contestate (producendo documentazione dei LOG delle operazioni, con la prova di invio di codice OTP, autenticazione Touch ID, Face ID, chiave Device univoca…);
  3. assenza di malfunzionamenti dei sistemi informatici o dell’online banking;
  4. in alternativa: la presenza di frode, dolo o colpa grave da parte dell’utente cliente.

Basta una sola OTP per cambiare smartphone su più strumenti di pagamento?

Dove l’utenza telefonica sia collegata a più strumenti di pagamento (es. 2 carte, 1 bancomat e un wallet) per cambiare l’utenza telefonica è sufficiente l’invio di una sola password dinamica (one time password, OTP).

Significa che i truffatori possono essere in grado di cambiare l’utenza telefonica associata a quattro carte di pagamento utilizzando una sola password dinamica OTP.

In questo senso il Collegio di coordinamento ABF ha preso in considerazione le linee guida stabilite dall’Autorità bancaria europea (European Banking Authority, EBA) e ha stabilito che, ai fini della SCA, l’utenza telefonica deve essere correlata al titolare e non allo strumento di pagamento.

Pertanto, l’invio di una singola OTP all’utenza telefonica del titolare di più carte di pagamento è considerato sufficiente per soddisfare uno dei fattori di autenticazione forte del cliente, conformemente alle norme richieste.

Di conseguenza, il Collegio non ha accolto la richiesta del cliente.

Se non hai un problema di bonifici ma hai un qualsiasi altro problema di diritto bancario e cerchi uno studio legale di cassazionisti, allora leggi la nostra guida al link o guarda la nostra playlist YouTube a seguire.


Hai vissuto un'esperienza simile? Scrivici.

Possiamo aiutarti.

Il nostro studio legale di avvocati cassazionisti è pronto ad aiutarti in ogni passo del tuo caso. Non esitare a contattarci per una consulenza iniziale. Per rendere il processo più rapido ed efficiente, ti invitiamo a inviarci tutta la documentazione necessaria.





    1 commento su “Truffe con bonifici ed home banking: Phishing, Vishing e Smishing”

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Torna in alto
    Ciao, posso aiutarti?
    Apri una chat whatsapp
    Ciao, posso aiutarti?