Il phishing è il furto di codici, password, numeri di conto corrente, dati della carta di credito mediante strumenti informatici.
La più classica tecnica di phishing è l’invio di una e-mail con contenuti grafici e testuali che rievocano siti web di banche e poste.
L’utente è spinto a cliccare sui link che rimandano a siti web all’apparenza identici a quelli di banche e Poste Italiane, ed indotto a digitare credenziali e dati personali.
Meno frequente è l’invio di SMS ingannevoli o semplici telefonate.
Se il malcapitato “abbocca”, il malintenzionato dispone di dati che il più delle volte sono utilizzati per azzerare conti correnti e carte di credito.
Il D. Lgs. n. 11/2010, che ha recepito la Direttiva europea n. 64/2007 sui servizi di pagamento, e offre importanti strumenti a tutela della vittima di phishing.
Premesso che ciascuno di noi è tenuto alla massima prudenza e custodia di dispositivi, carte, codici ecc… banche e poste sono sempre obbligate ad assicurare adeguate misure di protezione, standards tecnici allineati alle normative vigenti (A.B.F. Napoli, 26 gennaio 2016 n. 856).
Quando l’utente si accorge di un pagamento non autorizzato o non correttamente eseguito tramite il proprio conto corrente, gestito in home banking o tramite carta di credito, ha diritto al rimborso integrale delle somme sottratte illecitamente, purché contesti tempestivamente l’operazione.
La contestazione di ciascuna operazione dev’essere inoltrata entro 13 mesi 13 mesi dall’operazione.
Rimborso carta di credito e conto corrente per phishing
L’art. 11 del D. Lgs. n. 11/2010. Notoriamente banche e poste chiedono tempo per rimborsare le somme sottratte dal conto corrente o dalla carta del cliente.
In realtà, la norma in discorso obbliga banche e poste a rimborsare tutte le somme sottratte “immediatamente e, in ogni caso, al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito”.
L’intermediario, cioè, a fronte della contestazione, non ha altra scelta che procedere all’immediato rimborso delle somme movimentate.
Se l’intermediario accorda il rimborso ciò non gli impedisce di dimostrare, in un momento successivo, che l’operazione fosse in regolare. In questo caso l’intermediario può chiedere al cliente la restituzione dell’importo rimborsatogli precedentemente.
L’art. 10 del D. Lgs. n. 11/2010 pone a carico dell’intermediario l’onere di dimostrare che l’operazione contestata sia stata correttamente eseguita, autenticata, registrata e contabilizzata.
Banche e poste devono provare che l’operazione non sia stata frutto di malfunzionamento delle procedure per l’esecuzione dell’operazione. Devono dimostrare che l’utente ha agito con atti di frode, con dolo o colpa grave nella tenuta dei codici di accesso al conto ovvero nell’uso della carta di pagamento e degli altri strumenti connessi al suo funzionamento.
Sostanzialmente la banca può considerarsi esente da responsabilità solo dimostrando di avere adottato specifici meccanismi di tutela del cliente e, soprattutto, di avere adottato misure idonee a scongiurare il verificarsi di condotte fraudolente.
La Corte di Cassazione (sentenza 3 febbraio 2017 n. 2950) pare oramai assestarsi sul principio per cui la responsabilità dell’intermediario, per operazioni effettuate a mezzo di strumenti elettronici, deve ricondursi nell’area del rischio professionale del prestatore dei servizi di pagamento prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente.
Inoltre, con la sentenza 23 maggio 2016, n. 10638, la Corte di Cassazione ha precisato che, in tema di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il D. Lgs. n. 11/2010, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, “l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio”.
Quest’ultimo deve rimborsare con immediatezza il cliente in caso di operazione disconosciuta, salvo che dimostri motivatamente un sospetto di frode e salva, naturalmente, la possibilità per il prestatore di servizi di pagamento di dimostrare che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere dall’utilizzatore la restituzione dell’importo rimborsato.
Come prevenire il phishing
- non aprire link contenuti nelle mail non richieste;
- non aprire gli allegati delle mail non richieste o sconosciute;
- proteggere user-id e password del conto on-line, il pin della carta di pagamento e non rivelarle a nessuno.
- non fornire informazioni sensibili a nessuno via telefono, di persona o via mail;
- controllare l’URL (indirizzo web) dei siti. In molti casi l’indirizzo web di una banca oppure di Poste Italiane;
- tenere sempre aggiornati il filtro per le spam, anti-spyware, un anti-virus ed un firewall;
- controllare costantemente il saldo disponibile sul conto, assicurandosi che non vi siano transazioni non autorizzate e che, nel saldo, tutte le voci risultino corrette.
Cosa fare se sei vittima di phishing
Qualora dovessi renderti conto di essere stato vittima di phishing e comunque, analizzando gli ultimi movimenti del conto, dovessi verificare la contabilizzazione di transazioni ed altre movimentazioni non autorizzate, è opportuno denunciare il prima possibile la circostanza all’autorità di pubblica sicurezza (Carabinieri, Polizia Postale ecc.), avendo cura di allegare alla denuncia copia del documento che dimostra la contabilizzazione di un’operazione non autorizzata (es. lista movimenti), e compilare l’apposito modulo di contestazione e disconoscimento delle operazioni che trovi rivolgendoti a qualsiasi sportello della banca di riferimento del conto o della carta di pagamento ovvero di Poste Italiane.
Stanti le norme richiamate in questo articolo, dal disconoscimento dell’operazione non dovrebbero più essere consentite movimentazioni dal conto.
La carta di pagamento bloccata e sostituita con una nuova carta dotata di nuovi codici di utilizzo. Entro pochi giorni l’importo illecitamente sottratto dovrebbe essere integralmente rimborsate.