
Investire a Cuba oggi, un’opportunità di business
12 Dicembre 2022
Come scomparire da Internet in 3 passaggi
30 Dicembre 2022
Una delle truffe informatiche più comuni oggi è il phishing, e le banche possono risarcirti
Gli hacker utilizzano diverse tecniche per ottenere le nostre credenziali bancarie e le informazioni personali, la più comune delle quali è il phishing. Utilizzano poi questi dati per impersonare la nostra identità e dirottare il denaro a loro vantaggio. Non si tratta di una truffa nuova, ma il fatto è che i ladri hanno perfezionato i loro metodi operativi. Quello che molti non sanno è che esiste una legge che obbliga le banche a risarcire i clienti truffati.
Esistono diverse giurisdizioni in cui le banche, o più in generale i prestatori di servizi di pagamento, possono essere obbligati a risarcire il cliente vittima di phishing. Tuttavia, non esiste una regola mondiale unica. Il rimborso dipende da tre fattori: se l’operazione era autorizzata o non autorizzata, se il cliente ha agito con colpa grave, e se la banca ha rispettato gli obblighi di sicurezza.
Nell’Unione Europea, quindi anche in Italia, Spagna, Francia, Germania e altri Stati membri, il quadro nasce dalla normativa sui servizi di pagamento, nota come PSD2. In caso di operazioni di pagamento non autorizzate, il cliente può chiedere il rimborso alla banca. In Italia, per esempio, la Banca d’Italia spiega che il cliente può chiedere il rimborso di pagamenti che non ha eseguito ma che sono stati addebitati sul conto, spesso collegati a truffe digitali. La banca può negare il rimborso solo in presenza di specifiche condizioni, come frode del cliente o grave negligenza.
In Italia, molti casi di phishing bancario vengono valutati anche dall’Arbitro Bancario Finanziario. In linea generale, se la banca non prova che il cliente abbia autorizzato realmente l’operazione o abbia agito con colpa grave, può essere tenuta al rimborso. Il principio pratico è che la banca deve dimostrare l’affidabilità del sistema di autenticazione e il corretto comportamento del cliente non può essere escluso automaticamente solo perché sono state usate credenziali o codici OTP
Come avvengono le truffe di phishing?
Le forme più comuni di truffa di phishing provengono da e-mail o SMS. Riceviamo un messaggio che sembra provenire dalla nostra banca. Se ci caschiamo e clicchiamo, veniamo reindirizzati a un sito web clonato. Il sito web sembra proprio quello della banca, quindi la truffa funziona. Su questo sito fasullo inseriamo le password dei nostri account. I ladri ricevono immediatamente questi dati. Accedono al nostro conto ed eseguono trasferimenti di denaro.
I meccanismi degli hacker sono stati perfezionati. Oltre al metodo descritto sopra, esiste lo spoofing: come funziona? Riceviamo una chiamata sul nostro cellulare da un numero che sembra esattamente il numero del servizio clienti della nostra banca. Ma in realtà proviene da un hacker che utilizza un software moderno per mascherare il numero. In questa conversazione veniamo avvisati che il nostro conto corrente è in corso di accesso. Poiché la chiamata sembra provenire da un servizio reale, ci caschiamo e condividiamo i nostri dati. È tutto ciò che gli hacker devono rubare.

Come proteggersi dal phishing?
Il passo fondamentale è quello di non condividere mai con nessuno i dati del proprio conto corrente. Ma se siamo stati ingannati, la legge sui servizi di pagamento offre ai clienti delle banche una serie di diritti in caso di truffa. Questa legge impone alle banche di adottare misure di sicurezza per garantire sempre l’identità del cliente in ogni operazione bancaria.
Nei casi di phishing, è evidente che la banca non prende le misure necessarie. Il cliente non ha mai acconsentito alla transazione. Pertanto, secondo la legge, la banca dovrebbe risarcire il cliente per l’importo frodato.
Ultimamente avrete notato che le banche inviano avvisi sul phishing e spiegano come difendersi. Tuttavia, in questi casi, le banche sosterranno che il cliente ha agito con negligenza e ha violato una delle condizioni del contratto: non ha mantenuto misure di sicurezza adeguate. Per vincere questi casi in tribunale, è necessario ricorrere ad avvocati specializzati.
Nel Regno Unito la protezione è diventata ancora più forte per le truffe APP, cioè quando il cliente viene ingannato e autorizza un bonifico verso il truffatore. Dal 7 ottobre 2024 sono entrate in vigore regole che rendono obbligatorio il rimborso per molte vittime di APP fraud tramite Faster Payments e CHAPS, con alcune eccezioni. Il Payment Systems Regulator indica che le nuove misure rendono il rimborso obbligatorio e coprono diverse forme di truffa, incluse le truffe di impersonificazione.
A Singapore esiste un sistema specifico chiamato Shared Responsibility Framework. Dal 16 dicembre 2024, questo quadro stabilisce come ripartire la responsabilità per determinate truffe di phishing tra istituzioni finanziarie, operatori telefonici e clienti. In pratica, se una banca o un operatore non rispetta determinati obblighi di sicurezza, può essere chiamato a farsi carico della perdita.
Negli Stati Uniti esiste protezione per i trasferimenti elettronici non autorizzati attraverso il Regulation E e l’Electronic Fund Transfer Act. Il CFPB precisa che un trasferimento elettronico effettuato da un truffatore, senza effettiva autorizzazione del consumatore e senza beneficio per il consumatore, può essere considerato non autorizzato. In questi casi la banca deve seguire le regole sulla responsabilità limitata del consumatore e sulla risoluzione degli errori. Tuttavia, la protezione statunitense è più complessa quando il cliente viene ingannato e autorizza personalmente il pagamento.
In Canada il rimborso può dipendere molto dal contratto bancario, dalle politiche interne della banca e dal sistema di reclamo. Esiste un codice volontario per le carte di debito, ma non sempre c’è un obbligo automatico paragonabile al modello britannico. In caso di rifiuto della banca, il cliente può rivolgersi agli organismi di reclamo competenti, secondo il sistema canadese.
In Australia il quadro si sta evolvendo. Il Paese ha lavorato su un sistema di prevenzione delle truffe che coinvolge banche, telecomunicazioni e piattaforme digitali. Tuttavia, rispetto al Regno Unito, il modello australiano non è stato storicamente basato su un obbligo generale e automatico di rimborso da parte delle banche per ogni truffa autorizzata dal cliente.
Cosa fare in caso di attacco di phishing?
Se sei stato vittima di phishing, devi informare immediatamente la tua banca, in modo che blocchi il metodo di pagamento e ti fornisca nuove credenziali. Dovresti quindi denunciare alla polizia che i tuoi dati sono stati rubati e che la tua identità è stata sostituita. In questa relazione è fondamentale riportare tutti i dettagli della frode, in particolare i messaggi ricevuti dall’hacker. In questo modo si dimostra che non si è mai dato il consenso all’operazione bancaria.
Infine, arriva la parte più complicata: richiedere alla banca la sostituzione del denaro rubato attraverso una transazione non autorizzata. Questi casi finiscono quasi sempre in tribunale. Gli avvocati specializzati in crimini informatici saranno in grado di aiutarti affinché la banca assuma le sue responsabilitàd.
le giurisdizioni più garantiste sono l’Unione Europea, il Regno Unito, Singapore e gli Stati Uniti. Nell’Unione Europea il punto centrale è l’operazione non autorizzata. Nel Regno Unito il sistema tutela anche molte truffe in cui il cliente ha autorizzato il pagamento perché ingannato. A Singapore si applica un modello di responsabilità condivisa. Negli Stati Uniti la tutela è forte per le operazioni elettroniche non autorizzate, ma più delicata per i pagamenti volontariamente inviati alla persona sbagliata dopo una manipolazione fraudolenta.




