PHISHING E TRUFFE

Truffe con bonifici ed home banking: Phishing, Vishing e Smishing

Lascia un commento / Bancario e Finanziario / Di

Hai bisogno di una consulenza?

Affidati al supporto legale del nostro studio
Contattaci

Le truffe sui bonifici e sull’home banking: quando la banca deve risarcire il cliente? potresti avere bisogno di un avvocato cassazionista a Roma che si occupi di cause di diritto bancario.

Che si tratti di phishing, di man in the browser, di errore sull’Iban, di mancata attivazione di SMS Alert o notifica a mezzo email delle operazioni bancarie, cerchiamo di capire quanto il cliente ha diritto ad essere risarcito dalla Banca.

Sei vittima di un bonifico fraudolento disposto dal tuo conto corrente bancario o postale?

Sempre più attuale il tema dei bonifici fraudolenti, ovvero quelli non disposti dal titolare del conto.

L’intermediario deve provare di aver assolto ai propri doveri di diligenza, esibendo i LOG delle operazioni e gli indirizzi IP da cui sono avvenute le operazioni fraudolente, o gli SMS o email di conferma o ancora l’avvenuto inserimento del PIN.

Se non lo fa deve risarcire il danno prodotto al cliente.

Truffa con bonifico bancario

Diverse sono le ipotesi di truffa avente per oggetto un bonifico bancario.

Un esempio è rappresentato dalla sostituzione dell’iban di un fornitore, quando l’ufficio pagamenti riceve una email che indica un nuovo conto per i pagamenti.

In altri casi la truffa passa da un concorso di colpa della banca, che ha permesso la sostituzione dei dispositivi di autenticazione quali token o telefono del titolare, con ciò permettendo a terzi non autorizzati di disporre sui conti correnti della vittima.

La truffa rappresenta un reato perseguibile penalmente, ma talvolta non è utile rincorrere i truffatori quanto piuttosto domandare il risarcimento del danno alla banca per la sua responsabilità.

L’errore sull’Iban e sulla corrispondenza con l’intestatario dell’iban

Nell’ipotesi di errore sul codice IBAN attenzione, perchè dall’entrata in vigore del d.lgs. 11/2020 la Banca non ha più l’obbligo di controllare la corrispondenza tra l’iban del beneficiario ed il suo nome: se la banca ha eseguito il bonifico sull’Iban indicato dal cliente, non deve risarcire il danno.

Neanche la banca del destinatario-beneficiario del bonifico deve risarcire il danno prodotto, come chiarito dalla Corte di Giustizia dell’Unione Europea con la sentenza C-245/2018 del 21/3/19.

Iban errato e come recuperare le somme versate

In caso di iban errato occorre individuare la strada più corretta per cercare di ottenere il risarcimento del danno subito.

Può capitare, come è capitato, di non vedersi restituire quanto pagato per errore su un certo iban e che tale circostanza non sia colpa della banca (se c’è errore della banca è sempre meglio cercare risarcimento da questa).

Il cliente tuttavia può avere anche difficoltà ad ottenere dalla banca informazioni sull’intestatario del conto che ha beneficiato per errore dell’accredito.

In caso di difficoltà può essere necessario ricorrere all’ABF che ha confermato – con decisione del Collegio di Coordinamento nel 2022 – il diritto del cliente ad ottenere indicazione del nominativo del beneficiario del pagamento ricevuto su iban errato.

Il phishing, lo smishing e i vishing

Phishing, smishing e I vishing sono diversi tipi di truffa e frode sui conti correnti, tramite bonifico bancario e sulle carte.

Ma quali sono le differenze tra phishing, smishing e vishing?

Che cos’è il phishing?

Il phishing (e non fishing) è la generica truffa con cui, a mezzo internet il malintenzionato ottiene dal cliente della banca informazioni come nome utente, password, codice OTP e con queste si sostituisce al cliente per compiere operazioni fraudolente, come bonifici o addebiti su carte.

Spesso in phishing inizia quando il cliente clicca il link contenuto in una email. A quel punto i truffatori accompagnano il cliente in un sito internet replica di quello della banca (o di altri siti considerati attendibili) nei quali il cliente inserisce nome utente e password, che finiscono nelle mani dei malintenzionati.

Che cos’è lo smishing?

Lo smishing è il phishing che avviene a mezzo sms che rendono credibile il fatto che a scrivere sia la banca e non il truffatore.

Lo phishing inizia quando il cliente clicca il link contenuto in una email. A quel punto i truffatori accompagnano il cliente in un sito internet replica di quello della banca (o di altri siti considerati attendibili) nei quali il cliente inserisce nome utente e password, che finiscono nelle mani dei malintenzionati.

A volte lo smishing avviene con l’Sms spoofing, quando il messaggio SMS sembra provenire proprio dalla banca, andandosi ad inserire tra i precedenti messaggi ricevuti dall’intermediario.

Che cos’è il vishing?

Il vishing è il voice phishing, ovvero la truffa bancaria a mezzo voce, di solito tramite un numero di telefono VOIP che rende credibile il fatto che a chiamare sia la banca e non il malintenzionato

Nel vishing il truffatore finge di aiutare il cliente a bloccare la carta o a prevenire una truffa in corso, magari chiedendo il codice OTP al fine di “resettare” l’account, oppure di rimuovere l’app. Si tratta di operazioni che la banca non chiederebbe mai di compiere.

Il QRishing ovvero la truffa a mezzo QR code

Il QRishing è una variante del phishing che ha preso piede nel 2022.

Con il QRishing i dati personali vengono rubati dopo che la vittima scansione un codice QR trovato online o anche in formato cartaceo.

Si viene portate su un sito identico a quello che ci si aspetta, ad esempio quello della banca con la promessa di un buono o uno sconto.

La vittima del QRishing a quel punto inserisce tutti i dati che gli vengono chiesti. concedendo ai truffatori i dati per poi procedere ad addebiti, bonifici o altri pagamenti.

Che cos’è la sim swap fraud?

Con la sim swap fraud i truffatori scambiano la scheda sim del cliente, tramite la collaborazione di truffatori inseriti in centri di telefonia (viene simulata la richiesta di duplicazione della sim per smarrimento).

Il cliente vedrà assenza di linea, e ciò in quanto il suo numero viene utilizzato da altri che erano già in possesso del suo nome utente e password per accedere alla banca o alla carta.

In questo modo gli sms di autorizzazione delle operazioni non giungono al cliente ma al truffatore, che riesce ad operare in modo incontrollato per alcuni minuti o alcune ore.

Il bonifico su iban inesatto

Anche se non si tratta di truffe con bonifici, abbiamo visto che in caso di bonifico su iban inesatto la banca deve solo attenersi ad effettuare il pagamento sull’iban indicato dal cliente, anche dove non corrispondano i nomi dell’intestatario del conto.

Il problema per chi abbia effettuato un bonifico sta anche nel sapere materialmente a chi il bonifico è stato effettuato, in quanto le banche talvolta fanno resistenza a fornire informazioni sostenendo l’esistenza di motivi di privacy.

Il soggetto che abbia effettuato il bonifico errato può ottenere il nome dell’intestatario dell’iban dalla banca dove questi ha il conto.

Questo è stato affermato dal Collegio di Coordinamento dell’ABF con decisione del 3/5/2022 secondo cui:

1. quando a causa dell’erroneità dell’IBAN l’ordine di bonifico sia stato eseguito a vantaggio di un terzo non legittimato a riceverlo, il pagatore ha il diritto di conoscere dal prestatore di servizi di pagamento dell’accipiens i dati anagrafici o societari di quest’ultimo;

2. in tal caso, il prestatore di servizi di pagamento dell’accipiens non può invocare la tutela della privacy al fine di giustificare il suo rifiuto di comunicare al pagatore i dati anagrafici o societari del proprio correntista.

L’ordinanza Cassazione 7214/2023 sul Phishing

La Corte di Cassazione ha avuto modo di pronunciarsi con l’ordinanza 7214/2023 in materia di phishing ed a questo provvedimento è stata data una certa attenzione da molti, che gli hanno – riteniamo impropriamente – attribuito un valore negativo per i clienti e positivo per le banche.

Il provvedimento della Cassazione tuttavia riguarda fatti (un episodio di phishing ai danni di clienti di Poste Italiane) avvenuti nel lontano 2005.

La normativa e la tecnologia utilizzata sono tuttavia completamente cambiate nel frattempo, se si considera che oggi la prova della correttezza della banca viene anche dalla registrazione dell’operazione oggetto di autenticazione forte, come con i codici OTP su sms o con l’autorizzazione da APP.

Peraltro l’ordinanza non rigetta le istanze del consumatore sulla base di motivazioni “contemporanee” come da giurisprudenza dell’ABF, bensì si limita a delle dichiarazioni di inammissibilità del ricorso per cassazione.

Il provvedimento ci pare irrilevante ai fini della considerazione della disciplina in materia.

Cosa deve provare la banca per andare esente da colpa in caso di frodi sui servizi di pagamento?

In caso di frode o truffa in materia di servizi di pagamento, vale il principio inverso rispetto alla normalità.

E’ la banca o l’intermediario – ovvero il PSP Prestatore di Servizi di Pagamento – che deve provare di essersi comportato correttamente.

La banca, per evitare di essere condannata a risarcire il cliente, deve quindi dimostrare (ex art. 10 d.lgs. 11/2020):

  1. autenticazione corretta da parte del cliente;
  2. corretta registrazione e contabilizzazione delle operazioni contestate (producendo documentazione dei LOG delle operazioni, con la prova di invio di codice OTP, autenticazione Touch ID, Face ID, chiave Device univoca…);
  3. assenza di malfunzionamenti dei sistemi informatici o dell’online banking;
  4. in alternativa: la presenza di frode, dolo o colpa grave da parte dell’utente cliente.

Basta una sola OTP per cambiare smartphone su più strumenti di pagamento?

Dove l’utenza telefonica sia collegata a più strumenti di pagamento (es. 2 carte, 1 bancomat e un wallet) per cambiare l’utenza telefonica è sufficiente l’invio di una sola password dinamica (one time password, OTP).

Significa che i truffatori possono essere in grado di cambiare l’utenza telefonica associata a quattro carte di pagamento utilizzando una sola password dinamica OTP.

In questo senso il Collegio di coordinamento ABF ha preso in considerazione le linee guida stabilite dall’Autorità bancaria europea (European Banking Authority, EBA) e ha stabilito che, ai fini della SCA, l’utenza telefonica deve essere correlata al titolare e non allo strumento di pagamento.

Pertanto, l’invio di una singola OTP all’utenza telefonica del titolare di più carte di pagamento è considerato sufficiente per soddisfare uno dei fattori di autenticazione forte del cliente, conformemente alle norme richieste.

Di conseguenza, il Collegio non ha accolto la richiesta del cliente.

Se non hai un problema di bonifici ma hai un qualsiasi altro problema di diritto bancario e cerchi uno studio legale di cassazionisti, allora leggi la nostra guida al link o guarda la nostra playlist YouTube a seguire.

facebookCondividi su Facebook
TwitterTweet

Hai vissuto un'esperienza simile? Scrivici.

Possiamo aiutarti.

Il nostro studio legale di avvocati cassazionisti è pronto ad aiutarti in ogni passo del tuo caso. Non esitare a contattarci per una consulenza iniziale. Per rendere il processo più rapido ed efficiente, ti invitiamo a inviarci tutta la documentazione necessaria.





    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Torna su
    Apri chat whatsapp
    Apri una chat whatsapp
    Powered by Joinchat
    Apri una chat whatsapp