Ecco la truffa che prosciuga i conti postali: come difendersi dall'ultimo phishing
Sta svuotando migliaia di euro dai conti correnti postali in queste settimane.
L'abbiamo ricevuto pure noi
di Alessandro Longo
3' di lettura
L'sms che ci arriva dà come mittente Poste Italiane. Lo smartphone lo colloca tra i messaggi veri di Poste, come la conferma di un appuntamento ricevuta mesi prima.
Ma quest'ultimo messaggio è una truffa. Forse la più terribile ora in circolazione. Sta svuotando migliaia di euro dai conti correnti postali in queste settimane.
L'abbiamo ricevuto pure noi. L'amo usato adesso dai criminali per adescarci è molto raffinato: gioca sull'urgenza. Nel nostro caso: “Gentile cliente, è stata richiesta una spesa di 284 euro, se non è lei seguire il link”. La cifra può cambiare.
Come funziona la truffa
Al link c'è una pagina siile a quella di Poste. Chiede i dati di accesso e il cellulare. I truffatori insomma ci chiedono di inserirli per bloccare il presunto bonifico, che in realtà non è mai avvenuto. Il bonifico vero è quello che faranno ai nostri danni e a loro vantaggio se abbocchiamo all'inganno. Ci chiameranno subito per ottenere da noi la one time password che ci arriva via sms e con quella hanno tutto quello che serve per fare un bonifico. In questa telefonata saranno al massimo allarmanti, insistendo sull'urgenza di darci subito la password, per bloccare il finto bonifico. È successo a molte persone come riferiscono da un ufficio postale di Taranto. Danni da 5 a 15mila euro, che i clienti possono perdere per sempre.
Ma la banca rimborsa?
«Sono casi frequenti e non c'è una chiara giurisprudenza sui rimborsi. A volte la banca lo fa, a volta dà il 50 per cento, a volte lo nega», spiega Paolo Dal Checco, tra i più noti ingegneri informatici forensi. “A volte nel dubbio rimborsano in un primo momento e poi si riprendono tutto. E i contenziosi giudiziari tra utente e banca durano molto tempo”, aggiunge.In effetti decisioni della Cassazione e dell'Arbitro Bancario Finanziario sono ondivaghe. Per la normativa la banca può negare il rimborso solo se ricorrono due condizioni: dimostra di avere attuato le misure di sicurezza idonee e se c'è da parte dell'utente dolo, frode o colpa grave. «Nel caso del phishing c'è colpa grave se c'è un coinvolgimento diretto del cliente a fornire la password temporanea», spiega Dario Fadda, esperto di sicurezza informatica che lavora per una grande banca. Diverso è il caso, che avveniva perlopiù in passato, di sim swapping, dove la password temporanea era di fatto intercettata dai criminali.
Come difendersi
La prima arma di difesa è la prevenzione. Le stesse Poste in una nota ricordano non chiedono mai in nessuna modalità (e-mail, sms, chat di social network, operatori di call center, ufficio postale e prevenzione frodi) e per nessuna finalità: “le tue credenziali di accesso al sito www.poste.it e alle App di Poste Italiane (il nome utente e la password, il codice posteid)”; “i dati delle tue carte (il PIN, il numero della carta con la data di scadenza e il CVV)”; “i codici segreti per autorizzare le operazioni (codice posteid, il codice conto, le OTP- One Time Password ricevute per sms)”.
«Non ti sarà mai richiesto di disporre transazioni di qualsiasi natura paventando falsi problemi di sicurezza sul tuo conto o la tua carta tantomeno spingendoti a recarti in Ufficio Postale o in ATM per effettuarle».
«Se qualcuno, spacciandosi per un operatore di Poste Italiane S.p.A. o PostePay S.p.A., dovesse chiederti quanto sopra riportato, puoi essere sicuro che si tratta di un tentativo di frode, quindi non fornirle a nessuno».Cancelliamo quindi mail e sms che ci chiedono queste cose. I criminali possono alterare l'identificativo mittente mettendo qualsiasi nome. Una truffa contro cui qualche giorno fa l'Autorità garante delle comunicazioni ha aperto i lavori di un “Nuovo Registro Alias”, che sarà pronto nei prossimi mesi, per bloccare questi identificativi falsificati.Altro consiglio utile: “digita direttamente l'indirizzo Internet www.poste.it nella barra degli indirizzi del web browser per visitare il sito di Poste Italiane”. Se poi siamo già cascati nella truffa, non tutto è perduto.
Contestiamo gli addebiti tramite canali ufficiali della banca ed eventualmente apriamo un contenzioso. Come si è visto, non è scontato né il rimborso né il suo diniego da parte della banca.
loading...