Ascolta la versione audio dell’articolo
L’sms che ci arriva dà come mittente Poste Italiane. Lo smartphone lo colloca tra i messaggi veri di Poste, come la conferma di un appuntamento ricevuto mesi prima.
Ma quest’ultimo messaggio è una truffa. Forse la più terribile ora in circolazione. Sta svuotando migliaia di euro dai conti correnti postali in queste settimane.
L’abbiamo ricevuto puro noi. L’amo usato adesso dai criminali per adescarci è molto raffinato: gioca sull’urgenza. Nel nostro caso: “Gentile cliente, è stata richiesta una spesa di 284 euro, se non è lei seguire il link”. La cifra può cambiare.
Come funziona la truffa
Al link c’è una pagina siile a quella di Poste. Chiede i dati di accesso e il cellulare. I truffatori insomma ci chiedono di inserirli per bloccare il presunto bonifico, che in realtà non è mai avvenuto. Il bonifico vero è quello che faranno ai nostri danni ea loro vantaggio se abbocchiamo all’inganno. Ci chiameranno subito per ottenere da noi la one time password che ci arriva via sms e con quella hanno tutto quello che serve per fare un bonifico. In questa telefonata saranno al massimo allarmanti, insistendo sull’urgenza di darci subito la password, per bloccare il finto bonifico. È successo a molte persone come rivelato da un ufficio postale di Taranto. Danni da 5 a 15mila euro, che i clienti possono perdere per sempre.
Ma la banca rimborsa?
«Sono casi frequenti e non c’è una chiara giurisprudenza sui rimborsi. A volte la banca lo fa, a volta dà il 50 per cento, a volte lo nega», spiega Paolo Dal Checco, tra i più noti ingegneri informatici forensi. “A volte nel dubbio rimborsano in un primo momento e poi si riprendono tutto. E i contenziosi giudiziari tra utente e banca durano molto tempo”, aggiunge.In effetti decisioni della Cassazione e dell’Arbitro Bancario Finanziario sono ondivaghe. Per la normativa la banca può negare il rimborso solo se ricorrono due condizioni: dimostra di avere attuato le misure di sicurezza idonee e se c’è da parte dell’utente dolo, frode o colpa grave. «Nel caso del phishing c’è colpa grave se c’è un coinvolgimento diretto del cliente a fornire la password temporanea», spiega Dario Fadda, esperto di sicurezza informatica che lavora per una grande banca. Diverso è il caso, che avveniva perlopiù in passato, di sim swapping, dove la password temporanea era di fatto intercettata dai criminali.
Vieni a difendersi
La prima arma di difesa è la prevenzione. Le stesse Poste in una nota ricordano non chiedono mai in nessuna modalità (e-mail, sms, chat di social network, operatori di call center, ufficio postale e prevenzione frodi) e per nessuna finalità: “le tue credenziali di accesso al sito www .poste.it e alle App di Poste Italiane (il nome utente e la password, il codice posteid)”; “i dati delle tue carte (il PIN, il numero della carta con la data di scadenza e il CVV)”; “i codici segreti per autorizzare le operazioni (codice posteid, il codice conto, le OTP- One Time Password ricevute per sms)”.«Non ti sarà mai richiesto di disporre transazioni di qualsiasi natura paventando falsi problemi di sicurezza sul tuo conto o la tua carta tantomeno spingendoti a recarti in Ufficio Postale o in ATM per effettuarle».«Se qualcuno, spacciandosi per un operatore di Poste Italiane SpA o PostePay SpA, dovrebbe chiederti quanto sopra riportato, puoi essere sicuro che si tratta di un tentativo di frode, quindi non fornirle a nessuno». Cancelliamo quindi mail e sms che ci chiedono queste cose. I criminali possono alterare l’identificativo mittente inviando qualsiasi nome. Una truffa contro cui qualche giorno fa l’Autorità garante delle comunicazioni ha aperto i lavori di un “Nuovo Registro Alias”, che sarà pronto nei prossimi mesi, per bloccare questi identificativi falsificati. Altro consiglio utile: “digita direttamente l’indirizzo Internet www .poste.it nella barra degli indirizzi del browser web per visitare il sito di Poste Italiane”. Se poi siamo già cascati nella truffa, non tutto è perduto. Contestiamo gli addebiti tramite canali ufficiali della banca ed eventualmente apriamo un contenuto. Come si è visto, non è scontato né il rimborso né il suo diniego da parte della banca.
Covid Abruzzo Basilicata Calabria Campania Emilia Romagna Friuli Venezia Giulia Lazio Liguria Lombardia Marche Molise Piemonte Puglia Sardegna Sicilia Toscana Trentino Alto Adige Umbria Valle d’Aosta Veneto Italia Agrigento Alessandria Ancona Aosta Arezzo Ascoli Piceno Asti Avellino Bari Barletta-Andria-Trani Belluno Benevento Bergamo Biella Bologna Bolzano Brescia Brindisi Cagliari Caltanissetta Campobasso Carbonia-Iglesias Caserta Catania Catanzaro Chieti Como Cosenza Cremona Crotone Cuneo Enna Fermo Ferrara Firenze Foggia Forlì-Cesena Frosinone Genova Gorizia Grosseto Imperia Isernia La Spezia L’Aquila Latina Lecce Lecco Livorno Lodi Lucca Macerata Mantova Massa-Carrara Matera Messina Milano Modena Monza e della Brianza Napoli Novara Nuoro Olbia-Tempio Oristano Padova Palermo Parma Pavia Perugia Pesaro e Urbino Pescara Piacenza Pisa Pistoia Pordenone Potenza Prato Ragusa Ravenna Reggio Calabria Reggio Emilia Rieti Rimini Roma Rovigo Salerno Medio Campidano Sassari Savona Siena Siracusa Sondrio Taranto Teramo Terni Torino Ogliastra Trapani Trento Treviso Trieste Udine Varese Venezia Verbano-Cusio-Ossola Vercelli Verona Vibo Valentia Vicenza Viterbo