Di recente si fa un gran parlare di spoofing, ovvero di una truffa che utilizza la tecnologia per svuotare i conti correnti dei poveri malcapitati. Una recente sentenza dell’Arbitro Bancario Finanziario, però, prendendo come riferimento una legge del 2010 (modificata poi nel 2017), costringe le banche ed eventualmente anche le Poste a risarcire i prelievi fraudolenti effettuati dagli hacker nei confronti dei loro clienti truffati. Andiamo a vedere perché.
Cos’è lo spoofing
Lo spoofing è una truffa informatica che ha come scopo principale la falsificazione dell’identità, azione che può essere eseguita tramite diverse modalità. La pratica più comune, e quella che tratteremo nel nostro articolo, porta gli hacker autori di scam e phishing a persuadere un utente a cliccare su un link che lo riconduce a una pagina malevola, dove potergli rubare le credenziali, ottenere la sua identità e modificare informazioni riservate.
Possiamo quindi semplificare affermando che lo spoofing è una truffa che consiste nel furto d’identità praticato intercettando la vittima e convincendolo a fare un’azione. Tra gli obiettivi più perseguiti dai truffatori che praticano lo spoofing vi è lo svuotamento dei conti correnti.
Il caso di Catania
Tra i più recenti casi di spoofing figura quello in cui è finita vittima una donna di Catania, che ha visto il conto corrente svuotato di circa 9 mila euro, a causa di quarantadue prelievi fraudolenti. Tutto è iniziato perché la donna aveva ricevuto degli sms che sembravano provenire dall’istituto di cui era cliente, e di cui si era quindi fidata. In realtà, i messaggi riconducevano la donna a una pagina malevola, con il solo fine di rubarle le credenziali e accedere al suo conto.
La tecnica dello spoofing, infatti, viene praticata spesso usando nomi di aziende effettivi (possono essere banche, ma anche siti e-commerce o corrieri), che aumentano le probabilità di finire vittime della truffa.
Risarcimento dovuto per spoofing? Le sentenze dell’ABF
L’Arbitro Bancario Finanziario si è recentemente pronunciato spesso su casi di questo tipo (similari, ad esempio, sono la Decisione n. 15314 e la Decisione n. 15341 del Collegio di Milano, datate entrambe 29 novembre 2022), finendo per dare ragione al cliente e costringendo così la banca a risarcire quanto prelevato in maniera fraudolenta.
Nel redigere le proprie sentenze, il riferimento presso dall’ABF consiste sempre in un decreto legge, il n. 11/2010, poi modificato dal Dl n. 2018/2017, secondo il quale banche e Poste sono obbligate a “impiegare sistemi volti ad assicurare che le credenziali di sicurezza non siano accessibili ad altri, e a verificare l’identità dell’utente che effettua le operazioni”, spiega Confconsumatori. “Si tratta di una responsabilità di natura contrattuale, e il gestore ha l’onere di dimostrare l’eventuale colpa del cliente. In mancanza di tale colpa, l’Istituto è tenuto a risarcire”.
Spoofing e phishing: come evitare, segnalare e bloccare le truffe
Per non finire vittime di queste truffe è necessario bloccare questi tipi di messaggi. In caso di e-mail, bisogna spostare l’e-mail truffa (è abbastanza riconoscibile dalla mail del mittente, che evidentemente non è una mail ufficiale) nello spam o segnalarla come phishing, mentre se si riceve la truffa via SMS, sarà necessario bloccare il numero dal quale quel messaggio proviene. Questo, purtroppo, non limiterà l’arrivo di eventuali nuovi messaggi truffa, ma probabilmente ne ridurrà il numero.
