|
Il phishing (il termine deriva da password fishing), generalmente definito in ambito informatico come “spillaggio di dati sensibili”, è una forma di truffa che consiste nel carpire le credenziali (password) di accesso all’internet banking, cioè di un conto bancario online, da parte del phisher, con metodi illeciti, e nel conseguente uso delle suddette credenziali al fine di spostare le somme depositate dai truffati, su conti correnti di altri personaggi (i cosiddetti financial manager) che li ritirano e li spediscono altrove al fine di riciclarli.
Tale reato viene realizzato in varie fasi. Nella prima fase il pisher invia una quantità considerevole di email, secondo la tecnica dello spamming, messaggi di posta elettronica che simulano nella grafica e nel contenuto i messaggi di una istituzione che potrebbe essere nota al destinatario (cosiddetta email spoofing), in genere le Poste Italiane oppure una banca. Tali email contengono il link ad una pagina web che simula il sito dell’istituzione indicata nella email, e si chiede espressamente al destinatario di portarsi, tramite il suddetto link, su quel sito web ed inserire le sue password di accesso al conto online. In genere nella mail viene precisato che, per motivi vari, se il destinatario non compie questa operazione il suo conto online verrà bloccato.
La seconda fase, quindi, è quella del recupero delle password, tramite il sito web truffaldino, il quale simula il sito web di una istituzione (Poste o banca), e presenta un modulo (form) da compilare mediante le password del conto online.
La terza fase è quella di utilizzo delle suddette password sui siti bancari originali, al fine di spostare soldi dai conti online dei truffati, su conti di terze persone. Si chiarisce che l’intermediazione dei financial manager si rende necessaria perché il sistema di home banking italiano non consente bonifici verso l’estero se non a seguito di specifici controlli ulteriori che farebbero venire in luce la truffa. Ecco perché i pisher si avvalgono di conti di terze persone. Talvolta queste terze persone sono anche inconsapevoli della partecipazione alla truffa. Sovente, infatti, essi sono individuati attraverso altre email, nelle quali si chiede ai destinatari di riscuotere somme e accreditarle sui propri conti correnti, per poi trasferirle all’estero mediante servizi di money transfer (tipo Western Union, per esempio) che non fanno tutti quei controlli a cui sono sottoposti i bonifici online verso l’estero. Ovviamente le persone che si mettono a disposizione per svolgere questo compito ricevono una percentuale sull’operazione.
La condotta dei financial manager, pur se inconsapevoli, realizza il reato di riciclaggio di denaro proveniente da reato, reato previsto e punito dall’art. 648-bis del codice penale.
Le banche non sono automaticamente obbligate a risarcire i correntisti truffati, in assenza di accordi contrattuali specifici, anche se in qualche caso potrebbe esserci una responsabilità se le misure di sicurezza della banca non sono adeguate.
Con un provvedimento del 10 ottobre 2008 il giudice per le indagini preliminari di Milano ha stabilito quali tipi di danni possono essere chiesti dalle banche dei correntisti vittime della truffa e dai correntisti stessi. In particolare, il giudice asserisce che solo l’esistenza di un preciso obbligo contrattuale in capo alla banca di tenere indenne il cliente da ogni tipo di aggressione alle somme depositate potrebbe attribuire all’ente la qualifica di danneggiato dal reato. Poiché nessuna banca garantisce i clienti da frodi informatiche (la maggior parte delle banche si tutela includendo una clausola in cui si precisa di non rivelare a terzi i codici, e in presenza di tale clausola il cliente non può pretendere il rimborso delle somme frodate), le banche non possono acquisire la qualifica di danneggiato dal reato, e quindi non possono ottenere alcun risarcimento. Nel procedimento in questione si agiva solo contro i cosiddetti “financial manager”, cioè i riciclatori del denaro truffato (i soggetti che mettono a disposizione del phisher il proprio conto corrente per far sparire i soldi truffati), e il giudice ha stabilito che, poiché tali soggetti intervengono solo in una fase successiva e quindi non hanno alcuna cognizione della provenienza dei fondi, contro di loro non è possibile chiedere il risarcimento del danno all’immagine dell’istituto di credito.
Con provvedimento del 15 ottobre lo stesso giudice ha stabilito che i financial manager devono essere processati nel luogo dove risiedono, in mancanza di una prova di una forma di associazione tra phisher e loro.
Ovviamente per difendersi dal phishing è necessario avere innanzitutto un computer protetto, con antivirus e firewall aggiornati. Inoltre è importante non porre in essere comportamenti imprudenti. In particolare si deve essere coscienti del fatto che nessuna banca né le Poste chiedono mai password per email, quindi se ricevete email che sembrano provenire dalla vostra banca o dalla Poste, e che vi chiedono di immettere le vostre password dell’account che avete presso di loro (spesso nella mail si dice che il vostro account ha subito vari tentativi di accesso non andati a buon fine, per cui è necessario immettere le password, in caso contrario il vostro account sarà disabilitato), non cliccate mai sui link indicati nella mail. Puntano sempre a siti contraffatti.
Tenete presente che le banche comunque vigilano, insieme alla Polizia Postale, sulle truffe di questo genere. Nel momento in cui vengono a conoscenza dell’esistenza di un sito contraffatto si attivano immediatamente, tramite la Polizia Postale, per farlo chiudere (in media un sito phishing viene chiuso in 24 ore nell’80% dei casi).
Nel caso in cui si rimanga frodati dal phisher, che riesce a prelevare soldi dal conto, il cliente deve immediatamente denunciare il fatto alla Polizia Postale e comunicarlo alla banca, compilando un modulo di contestazione in cui “non si riconosce alcun addebito a partire dalla tal data”, modulo che dovrebbe fornire la banca, che provvederà anche a bloccare i codici di accesso al conto online e a fornirne di nuovi. Dalla data della comunicazione alla banca, in base alla Raccomandazione europea 489/97, il titolare del conto non può essere ritenuto responsabile dell’uso che viene fatto del conto da parte di altre persone, per cui soldi eventualmente sottratti dovrebbero essergli restituiti. Prima della comunicazione la sua responsabilità è limitata a 150 euro.
Poi si deve attendere la contabilizzazione dell’operazione. In questo modo si ha qualche possibilità di essere rimborsati dalla banca, visto che tutte le banche sono assicurate verso questo tipo di truffe. Si tenga presente, però, che la suddetta Raccomandazione non ha valore di legge, per cui devono essere le banche ad applicarla, e in genere per l’home banking non lo fanno.
Ovviamente è sempre possibile scrivere all’ufficio reclami della banca, ed in caso di risposta insoddisfacente, fare ricorso all’Ombudsman bancario.
Addirittura le Poste Italiane, verso le quali oltre l’80% del phishing è rivolto, hanno realizzato un software di analisi del phishing, che aiuta nel verificare, insieme alla vittima del phishing, quali sono le vulnerabilità del suo computer che hanno permesso la truffa. Le Poste hanno realizzato, inoltre, un video che spiega come proteggersi dal phishing (cliccare su Proteggersi dal phishing in basso a destra).
Cita quest'articolo sul tuo sitoPer creare un link verso quest'articolo sul tuo sito,
copia e incolla il testo qui sotto nella tua pagine.
Visualizzazione del link :
|
