Dall’Associazione dei Consumatori Cento Giovani, rappresentata dall’Avv. Serena Petricca, riceviamo, e volentieri pubblichiamo, un utile vademecum per difendersi dal cosiddetto ‘phishing’, vale a dire i tentativi di truffa perpetrati agli utenti del web tramite posta elettronica.
“ L’Associazione dei Consumatori Cento Giovani sta ricevendo in questi giorni diverse segnalazioni per attività illegali, posti in essere da esperti hacker, che imitano la grafica dei siti bancari o postali per carpire dalle vittime la password per accedere ai conti correnti o il numero della carta di credito.
“Il phishing – spiega il Presidente Provinciale dell’Associazione Avv. Serena Petricca – è un tipo di truffa via Internet attraverso la quale un aggressore cerca di ingannare la vittima convincendola a fornire informazioni personali sensibili.
Si tratta di una attività illegale che sfrutta una tecnica di ingegneria sociale: attraverso l’invio casuale di messaggi di posta elettronica che imitano la grafica di siti bancari o postali, un malintenzionato cerca di ottenere dalle vittime la password di accesso al conto corrente, le password che autorizzano i pagamenti oppure il numero della carta di credito. Tale truffa può essere realizzata anche mediante contatti telefonici o con l’invio di SMS.Le diverse metodologie di attacco possono essere le seguenti:
1)l’utente malintenzionato (phisher) spedisce al malcapitato e ignaro utente un messaggio email che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
2) l’e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell’account, ecc.) oppure un’offerta di denaro.
3) l’e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l’addebito e/o per regolarizzare la sua posizione con l’ente o la società di cui il messaggio simula la grafica e l’impostazione (Fake login).
4) il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma a una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere e ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
5) il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “ponte” per ulteriori attacchi.
Talora, l’e-mail contiene l’invito a cogliere una nuova “opportunità di lavoro”, consistente nel fornire le coordinate bancarie del proprio conto online per ricevere l’accredito di somme che vanno poi ri-trasferite all’estero, trattenendo una percentuale dell’importo, che può arrivare a cifre molto alte. In realtà si tratta del denaro rubato con il phishing, per il quale il titolare del conto online beneficiario, spesso in buona fede, commette il reato di riciclaggio di denaro sporco.
DIFFIDATE dai siti visitati non autentici. In caso di richiesta di dati personali, numeri di conto, password o carta di credito, è buona norma, prima di cancellare, inoltrarne una copia alle autorità competenti e avvisare la banca o gli altri interessati, in modo che possano prendere ulteriori disposizioni contro il sito falso e informare i propri utenti.
L’UTENTE può verificare i movimenti dall’estratto conto, che può vedere al Bancomat o dal proprio conto corrente on-line.
Molti istituti offrono un servizio di SMS alert, più efficace, perché notifica il movimento non appena viene effettuato, non quando avviene la sua registrazione, che può essere a distanza di diversi giorni
La persona che si accorge di pagamenti effettuati da terzi con la sua carta di credito o Bancomat, deve contattare il numero verde della banca per chiedere il blocco della carta: la chiamata viene registrata e le è assegnato un codice di blocco (che è identificativo e univoco). Occorre poi presentare denuncia alle Forze di Polizia, e recarsi in Agenzia con la copia della denuncia e il codice di blocco.
Per la normativa italiana, gli istituti di credito non sono tenuti a garantire i clienti da frodi informatiche. Non sono perciò tenute al risarcimento delle somme prelevate indebitamente a causa di una violazione dell’account Internet dei clienti, o della clonazione dei loro bancomat o carte di credito.
Un recente provvedimento del GUP di Milano, del 10 ottobre 2008, ha stabilito che solo l’esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all’ente la qualifica di danneggiato dal reato.
I singoli contratti per l’apertura di un conto corrente possono prevedere che in specifici casi la banca sia tenuta a risarcire il cliente delle somme indebitamente prelevate.Spesso, l’istituto di credito è coperto dal rischio di furto o smarrimento dei dati identificativi e delle carte. Il costo di questa riassicurazione è ribaltato sui clienti, che talora beneficiano di clausole contrattuali a loro favore per questo tipo di coperture.
Tuttavia la banca (o altro istituto o società) ha l’onere di applicare sia le misure di sicurezza minime stabilite nel DL 196/03 per tutelare i dati personali del cliente, sia di attuare tutte quelle misure idonee e preventive che, anche in base al progresso tecnico, possono ridurre al minimo i rischi. Infatti in caso di furto delle credenziali, anche se la banca accusa l’utente di esserne responsabile perché potrebbe aver risposto a mail di phishing, è tenuta a dimostrare al giudice di aver attuato tutte le misure (sia quelle minime stabilite che quelle idonee e preventive che vanno valutate di caso in caso con una valutazione del rischio -obbligatoria- e un documento programmatico per la sicurezza) per ridurre al minimo i rischi. Se la banca non ha attuato misure che in altre banche sono comuni per la prevenzioni delle frodi informatiche, accessi abusivi etc., ad esempio, potrebbe essere tenuta a risarcire l’utente del danno.L’Associazione dei Consumatori Cento Giovani consiglia, pertanto, di segnalare eventuali mail “sospette” e di non fornire dati personali o password, ma di contattare il proprio Istituto Bancario o Postale, al fine di ottenere informazioni corrette e veritiere sui movimenti presenti sul proprio conto corrente”.
Per Info: 0776.830109 – 3471146106 – Associazione dei Consumatori Cento Giovani – Sede Provinciale di Frosinone – Via Cantelmi n. 5 Sora (FR)”.
