Una frode di oltre 40 mila euro per un cliente Bnl, un’altra di quasi 5 mila e un’altra ancora di poco più di 4 mila per due correntisti di Poste Italiane. Lo studio legale Palmigiano e Associati ha assistito tre vittime del financial cyber crime. E sono in aumento i casi di frodi on line con l’utilizzo di tecniche conosciute come phishing, smishing e vishing, così come emerge anche dal report della polizia postale del 2023, dove sono stati registrati oltre diecimila casi in tutta Italia, con un aumento del 15% rispetto all’anno precedente. In crescita, di conseguenza, anche i conteziosi dove poi l’arbitro per le controversie bancarie e finanziarie dispone gli eventuali risarcimenti.
E proprio l’Abf (l’arbitro bancario), interpellato dallo studio Palmigiano – che da anni si occupa di diritto bancario – ha accolto le richieste delle tre vittime, condividendo la tesi dei legali, e ha disposto il rimborso, creando una casistica e mostrando una posizione chiara rispetto alla responsabilità degli istituti di credito. “La crescita dei casi di truffe bancarie attraverso prelievi, messaggi, attraverso telefonate o email che sembrano arrivare dalle proprie banche dimostra come, in molti casi, i sistemi di sicurezza degli istituti di credito non siano sicuri – ha spiegato l’avvocato Alessandro Palmigiano –. Ci sarebbero strumenti tecnologici per evitare queste truffe ma questo richiede che le banche facciano degli investimenti in sistemi di sicurezza più avanzati. Non è possibile far ricadere il rischio di impresa sui clienti”.
Ma ecco le tre storie, che emergono dai provvedimenti dell’Abf, anche per richiamare l’attenzione dei clienti degli istituti di credito. La prima, riguarda un correntista Bnl e l’importo sottratto attraverso il phishing era consistente. Si parla di 35 mila euro spariti dal conto corrente e di 5.300 euro addebitati sulla carta di credito con tre pagamenti non autorizzati, tutti in favore di “Tspay Elevator Market”, soggetto sconosciuto alla vittima. Il tutto ha inizio a marzo dello scorso anno, con un sms sul cellulare della vittima da parte della banca, con cui veniva informato di un accesso sospetto, con invito alla verifica al link indicato, che riportava la dicitura Bnl. Una volta cliccato il link, il cliente veniva indirizzato su una pagina riportante la grafica del sito istituzionale della banca. “Trovandosi in quello che riteneva essere il sito della banca, avendone le identiche connotazioni grafiche, il correntista ha digitato le proprie credenziali, ma non ha avuto seguito un accesso effettivo – spiegano dallo studio legale –. Nel frattempo, la vittima era stata contattata al telefono da un sedicente operatore Bnl che la informava di un bonifico istantaneo di 35.000 euro e di una ulteriore operazione di addebito tramite carta di credito per un importo di 5 mila euro, operazioni che venivano disconosciute immediatamente. L’operatore avrebbe quindi assicurato l’annullamento delle operazioni e il blocco del conto corrente e della carta. Al termine della telefonata, la vittima ha ricevuto un ulteriore sms con il quale veniva comunicato lo storno dell’importo di 5 mila euro della carta di credito. Tuttavia, questo ultimo sms aveva un errore di scrittura e questo ha portato il cliente ad insospettirsi, chiamando quindi il proprio consulente Bnl, scoprendo l’amara notizia. Risultava infatti un pagamento di 35 mila euro e come se non bastasse, era stato sottratto anche un ulteriore importo di 5.300,00 euro, addebitato sulla carta di credito, in virtù di pagamenti del 20 marzo 2023 mai autorizzati: 800 euro, 4 mila euro e 500 euro”.
Tutto parte quindi dal phishing, in tutte le sue sfaccettature e declinazioni: comunicazioni mail che sembrano arrivare, anche per via della grafica, dei loghi e degli indirizzi verosimili da enti, istituzioni e aziende che, in realtà, sono l’inizio dell’abbocco per le vittime, sms o telefonate. A farne le spese, oltre che le grandi aziende, sono i piccoli risparmiatori.
Gli altri due casi, invece, riguardano due donne palermitane, correntiste di Poste Italiane. La prima, titolare di un conto corrente, cui era associata carta Banco Posta, ha ricevuto l’8 marzo 2023 dal mittente “PosteInfo” un sms sul proprio cellulare, visualizzabile nella stessa cronologia degli altri sms ricevuti da Poste, con cui veniva informata circa un accesso anomalo al proprio conto, con invito a verificare al link indicato. Contestualmente, riceveva un ulteriore sms che la invitava ad eseguire le istruzioni “dell’operatore telefonico certificato Matteo Del Corso 07491, ufficio sicurezza, Poste Italiane”. Tutto sembrava essere regolare, visto che veniva comunicato addirittura nominativo e codice dell’operatore. Una volta cliccato il link, la donna è stata indirizzata su una pagina riportante la grafica del sito istituzionale di Poste dove figurava la sezione relativa all’accesso e dove vanno inseriti il nome utente e la password per accedere. “Anche in questo caso, trovandosi in quello che riteneva essere il sito di Poste, avendone le identiche connotazioni grafiche e ricevendo peraltro il predetto sms in coda a quelli ricevuti dall’istituto visualizzati nella cronologia – spiega l’avvocato Palmigiano – la signora ha digitato le proprie credenziali, e, contestualmente, ha ricevuto la telefonata di quello che riteneva essere l’operatore di Poste, il quale avrebbe assicurato l’annullamento dell’operazione sospetta e che sarebbe giunto un sms di conferma. E così è avvenuto, sempre nella stessa modalità già descritta, del seguente tenore ‘Gentile cliente il pagamento è stato cancellato correttamente e riceverà il riaccredito entro 48 ore lavorative’. Purtroppo, da lì a poco la signora, effettuando un accesso al proprio conto e, con amara sorpresa, appurava che risultava disposta una operazione di pagamento mai effettuata e mai autorizzata, pari a 4.965 euro, mediante Pos e con utilizzo della propria carta Banco Posta, in favore di ‘Yoox Net a Porter’, ossia un sito dove si effettuano acquisti on line”. Medesima storia per l’altra correntista di Poste Italiane, con una perdita di 4.200,50 euro.
Le storie hanno dei connotati simili: degli sms che vanno ad inserirsi nella cronologia della banca o delle poste, dando all’utente l’impressione che non si tratti di truffe ma di messaggi reali, i contatti telefonici ed il sito internet specchio.
In tutti e tre i casi, sia Poste Italiane che Bnl avevano negato qualsiasi responsabilità per l’accaduto e ha rifiutato il rimborso. Alla luce di ciò, le vittime assistite dallo studio legale Palmigiano e Asssociati, con gli avvocati Alessandro Palmigiano e Mattia Vitale, hanno presentato ricorso all’arbitro per le controversie bancarie e finanziarie. La tesi dei legali era che la colpa di eventuali operazioni fraudolente nel sistema doveva ricadere su Poste Italiane e su Bnl perché le società che offrono il servizio sono tenute a predisporre tutte le misure necessarie per tutelare i clienti ed i loro dati personali. “In particolare – spiegano dallo studio – la norma prevede che l’istituto è tenuto ad assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento e ancora, che, qualora l’utilizzatore neghi di aver autorizzato un’operazione di pagamento già eseguita o sostenga che questa non sia stata correttamente eseguita, è obbligo del prestatore di servizi di pagamento provare che l’operazione di pagamento è stata autenticata, correttamente”.
L’Abf, collegio di Palermo, ha quindi accolto le richieste delle vittime e disposto il rimborso. Le tre vittime sono state ora risarcite.