Penale

Il phishing e la recente truffa di Poste italiane

L’insidiosità dei raggiri, la mancanza di una disciplina lineare e decisioni contrastanti lasciano le vittime con pochi rimedi

Di Marco Martorana

Avvocato

Email: [email protected]

L'avv. Marco Martorana è DPO certificato UNI 11697:2017.

Professore a contratto in diritto della Privacy presso Universitas Mercatorum.

Docente presso Università di Parma in materia di trattamento e protezione dati.

Mediatore; Arbitro presso la Camera Arbitrale della CCIAA di Livorno.

Presidente della associazione ASSOdata.

Lo Studio Legale Martorana è composto da 10 avvoca… continua a leggere

Di Maria Rebecca Cogno

Praticante avvocato

Praticante avvocato presso lo Studio Legale Martorana di Lucca.

Si è laureata nel 2023 in Giurisprudenza all’Università di Pisa con una tesi intitolata "La violenza di genere in prospettiva costituzionale: analisi comparatistica”.

Durante il suo percorso di studi, tramite il programma Erasmus+, ha frequentato l’Université Panthéon-Assas Paris II per … continua a leggere

Pubblicato il 05/07/2023

Il termine phishing indica un illecito consistente in una truffa ai danni perlopiù di proprietari di dispositivi elettronici.

Nella pratica chi commette l’illecito cerca di ingannare la vittima facendole credere di essere un’entità affidabile e sfruttando l’errore dell’utente al fine di poter raccogliere dati personali e sensibili, come per esempio quelli dalla carta di credito, codici o pin.

Come hanno dimostrato alcuni casi giurisprudenziali, una particolarità del phishing sta proprio nella difficoltà di dimostrare l’assenza di colpa grave dell’utente, in quanto in molti casi è lo stesso a fornire i dati coscientemente.

Sommario

Il caso Poste Italiane
Il problema del rimborso
Conclusione

Per approfondimenti:

Master pratico online reati informatici e cybersecurity 10,5 ore - 9 incontri in aula virtuale, Altalex Formazione. Il Master, con i webinar ed i video dedicati ai reati informatici, permette di fare il punto della situazione con riferimento alle diverse tipologie di reati informatici.

Scopri programma e relatori

1. Il caso Poste Italiane

I fatti più recenti riportano una truffa perpetrata attraverso un SMS il cui mittente sembrava essere Poste Italiane, in relazione al quale le vittime hanno testimoniato che addirittura il messaggio veniva inserito automaticamente dallo smartphone insieme agli altri messaggi ricevuti in chat proprio da Poste Italiane; dunque, nessuno di loro ha avuto sospetti sul mittente.

Ciò nonostante, questo SMS fa parte di una truffa che sta svuotando numerosi conti correnti.

Nel dettaglio il messaggio è caratterizzato dall’urgenza e dal fatto che sembra essere un messaggio di sicurezza: “Gentile cliente, è stata richiesta una spesa di 284 euro, se non è lei seguire il link”.

La cifra riportata può anche essere diversa, ciononostante il link reindirizza tutti coloro che ci cliccano a una pagina molto similare a quella di Poste Italiane, dove vengono chiesti i dati di accesso al conto e il numero di cellulare al fine di bloccare il bonifico sospetto precedentemente segnalato nel suddetto SMS.

Ma è proprio qui che si cela l’inganno, perché i truffatori non annulleranno alcun bonifico, ma anzi richiameranno la vittima per avere conferma del suo pin di sicurezza e in questo modo riusciranno ad avere tutti gli elementi necessari per effettuare un bonifico (a proprio favore) e ne faranno uno proprio in quel momento grazie ai dati forniti.

Ciononostante, il problema più insidioso riguarda la disciplina in materia di rimborso, che in questi casi risulta essere un po’ restrittiva, e dunque ci sono molte persone che non hanno avuto modo di rimpossessarsi delle somme perdute.

Su ShopWki è disponibile:

Cybercrime di Cadoppi Alberto, Canestrari Stefano, Manna Adelmo, Papa Michele, 2023, Utet Giuridica

Acquista ora!

2. Il problema del rimborso

La mancanza di una disciplina lineare per il rimborso provoca incertezza e ingiustizia per le vittime, solitamente anziane o non del tutto autonome.

I casi sono molto frequenti e la giurisprudenza in merito non è chiara. A volte, infatti, capita che la banca rimborsi, altre che dia soltanto un 50%, altre che non rimborsi proprio, e altre ancora che venga effettuato il rimborso e poi questo sia revocato in un secondo momento, per non parlare della eccessiva durata dei procedimenti tra utente e banca.

Le decisioni in materia sia della Cassazione sia dell’Arbitro Bancario Finanziario sono molto mutevoli; la normativa prevede che la banca possa negare il rimborso allorché ricorrano due condizioni:

La dimostrazione dell’attuazione delle misure di sicurezza idonee
La dimostrazione del dolo, frode o colpa grave del cliente. Nel caso del phishing il cliente in molti casi agisce per colpa grave quando è lui stesso a fornire i dati necessari a compiere la truffa.

Si ricorda inoltre che un’importante pronuncia della Cassazione nell’ordinanza n. 7214/2023 ha introdotto un principio fondamentale a tutela degli istituti di credito. La Corte ha infatti affermato che le banche non sono responsabili della truffa avvenuta tramite phishing, se quest’ultima è stata causata dalla negligenza del cliente.

In aggiunta, è doveroso sottolineare che i giudici della Suprema Corte hanno attribuito importanza anche a ciò che veniva riportato all’interno dell’informativa precontrattuale relativa al rapporto tra cliente e istituto di credito, specialmente laddove la banca precisi che “il cliente è responsabile della custodia e dell’utilizzo corretto dell’identificativo utente, della parola chiave, del codice di attivazione, del codice dispositivo segreto e della chiave di accesso al servizio e che la mancanza di precauzioni da parte del titolare nel mantenere segreti i suddetti codici può determinare il rischio di accessi illeciti al servizio e di operazioni fraudolente da parte di terze persone”.

Altra pronuncia importante, relativa alla disciplina del rimborso in caso di phishing è la decisione del Collegio di Torino, n. 15328 del 29 novembre 2022 , ove è stato specificato che qualora il testo della mail o del SMS di phishing inviato dal truffatore all’utente sia caratterizzato da errori grammaticali o sintattici o altre anomalie (ad es. l’invito a cliccare un link in alcun modo riconducibile all’intermediario) tali da allertare l’utente avveduto di una possibile truffa, “il comportamento di colui che abbocchi deve ritenersi inescusabile e gravemente colposo”, liberando così l’intermediario da qualsiasi profilo di responsabilità, e nel caso di specie si è inoltre affermato che “in caso di truffa riconducibile al phishing, consistente in un SMS che riporta un link truffaldino sul quale non solo il cliente clicca ma, successivamente, contattato al telefono, fornice i codici di sicurezza necessari per compiere le operazioni, data la notorietà̀ del fenomeno, il comportamento di colui che “abbocchi” deve ritenersi inescusabile e gravemente colposo”.

3. Conclusione

L’ennesima truffa per mezzo di phishing evidenzia come sia essenziale per l’utente mettersi in allerta quando riceva qualsivoglia messaggio o contatto diretto poco chiaro e attenersi scrupolosamente alle indicazioni fornite dalla banca.

La truffa a nome di Poste italiane ha coinvolto più di 1.500.000,00 €, e per questo motivo l’ente ha deciso di pubblicare un disclaimer breve ma coinciso “Poste Italiane S.p.A. e PostePay S.p.A. hanno a cuore la tua sicurezza. Per questo, insieme alla nostra esperienza, ti offriamo queste poche e semplici regole: non chiediamo mai i tuoi dati e codici personali, i dati delle carte di pagamento (ad esempio il numero di carta PostePay, data di scadenza, codice di verifica CVV2, CVC2) o i codici di sicurezza (ad esempio il PIN o la password) in nessuna modalità e per nessuna finalità. Ricorda che anche il numero di cellulare è un’informazione personale da tenere sempre protetta”.

IN COLLABORAZIONE CON

Assodata e Isdifog