Phishing, come difendersi in caso di furto dati della carta di credito.

Condividi questo post:

Il phishing è una tecnica di furto dei codici, password, numeri di conto corrente, dati della carta di credito mediante strumenti informatici.
La più classica tecnica di phishing è l’invio di e-mail con contenuti grafici e testuali che richiamano i siti web di istituti bancari, poste e servizi online di pagamento. L’utente è veicolato su siti web creati ad hoc – all’apparenza identici a quelli dei veri istituti di credito – e indotto a digitare credenziali e dati personali.
Meno frequente è l’invio di SMS ingannevoli oppure semplici telefonate.

Se il malcapitato “abbocca”, il malintenzionato dispone dei dati che – il più delle volte – sono utilizzati per azzerare le giacenze su conti correnti e carte di credito.
Per tali fattispecie il D. Lgs. n. 11/2010, che ha recepito la Direttiva europea n. 64/2007 sui servizi di pagamento, offre importanti strumenti a difesa dell’utente vittima di phishing.

L’utente è sempre tenuto alla massima prudenza e custodia dei dispositivi, carte, codici ecc. L’intermediario (banche, poste, ecc.) è sempre gravato da uno specifico obbligo di diligenza professionale. Deve cioè predisporre misure di protezione adeguate agli standards tecnici esistenti ed alle disposizioni normative vigenti (A.B.F. Napoli, 26 gennaio 2016 n. 856).

Quanto l’utente ha conoscenza di un pagamento non autorizzato o non correttamente eseguito tramite il proprio conto corrente, gestito in home banking oppure tramite carta di credito, ha diritto alla rettifica del conto (rimborso integrale), purché contesti tempestivamente l’operazione.
Le norme vigenti fissano il termine di 13 mesi dall’operazione per effettuarne la contestazione.

La banca deve rimborsare immediatamente tutte le somme sottratte alla vittima di phishing

Disposizione di particolare importanza è poi l’art. 11 del D. Lgs. n. 11/2010.
Notoriamente, infatti, gli intermediari richiedono tempo per rimborsare le somme illecitamente sottratte dal conto dell’utente.
In realtà, la norma obbliga l’intermediario a rimborsare l’importo immediatamente e, in ogni caso, al più tardi entro la fine della giornata operativa successiva a quella in cui prende atto dell’operazione o riceve una comunicazione in merito”.
L’intermediario, cioè, a fronte della contestazione, non ha altra scelta che procedere all’immediato rimborso delle somme movimentate.

Se l’intermediario procede al rimborso ciò non gli impedisce di dimostrare successivamente che l’operazione fosse in regolare. In questo caso l’intermediario può chiedere al cliente la restituzione dell’importo rimborsatogli precedentemente.

Sul tema della prova, l’art. 10 del D. Lgs. n. 11/2010 pone a carico dell’intermediario l’onere di dimostrare che l’operazione contestata sia stata correttamente eseguita, autenticata, registrata e contabilizzata.

L’intermediario deve dimostrare che l’operazione non sia stata frutto di malfunzionamento delle procedure per l’esecuzione dell’operazione. Deve dimostrare che l’utente ha agito con atti di frode, con dolo o colpa grave nella tenuta dei codici di accesso al conto ovvero nell’uso della carta di pagamento e degli altri strumenti connessi al suo funzionamento.

Sostanzialmente la banca può considerarsi esente da responsabilità solo dimostrando di avere adottato specifici meccanismi di tutela del cliente e, soprattutto, di avere adottato misure idonee a scongiurare il verificarsi di condotte fraudolente.

In argomento, l’orientamento della Corte di Cassazione (sentenza 3 febbraio 2017 n. 2950) pare oramai assestarsi sul principio per cui la responsabilità dell’intermediario, per operazioni effettuate a mezzo di strumenti elettronici, deve ricondursi nell’area del rischio professionale del prestatore dei servizi di pagamento prevedibile ed evitabile con appropriate misure destinate a verificare la riconducibilità delle operazioni alla volontà del cliente.

Inoltre, con la sentenza 23 maggio 2016, n. 10638, la Corte di Cassazione ha precisato che, in tema di ripartizione delle responsabilità derivanti dall’utilizzazione del servizio, il D. Lgs. n. 11/2010, prevede che, qualora l’utente neghi di aver autorizzato un’operazione di pagamento già effettuata, “l’onere di provare la genuinità della transazione ricade essenzialmente sul prestatore del servizio”.
Quest’ultimo deve rifondere con sostanziale immediatezza il correntista in caso di operazione disconosciuta, salvo che dimostri motivatamente un sospetto di frode e salva, naturalmente, la possibilità per il prestatore di servizi di pagamento di dimostrare che l’operazione di pagamento era stata autorizzata, con consequenziale diritto di chiedere e ottenere dall’utilizzatore la restituzione dell’importo rimborsato.

Come prevenire il phishing

  • non aprire link contenuti nelle mail non richieste;
  • non aprire gli allegati delle mail non richieste o sconosciute;
  • proteggere user-id e password del conto on-line, il pin della carta di pagamento e non rivelarle a nessuno.
  • non fornire informazioni sensibili a nessuno via telefono, di persona o via mail;
  • controllare l’URL (indirizzo web) dei siti. In molti casi l’indirizzo web di una banca oppure di Poste Italiane;
  • tenere sempre aggiornati il filtro per le spam, anti-spyware, un anti-virus ed un firewall;
  • controllare costantemente il saldo disponibile sul conto, assicurandosi che non vi siano transazioni non autorizzate e che, nel saldo, tutte le voci risultino corrette.

Cosa fare se sei vittima di phishing e scopri transazioni non autorizzate sul conto

Qualora dovessi renderti conto di essere stato vittima di phishing e comunque, analizzando gli ultimi movimenti del conto, dovessi verificare la contabilizzazione di transazioni ed altre movimentazioni non autorizzate, è opportuno denunciare il prima possibile la circostanza all’autorità di pubblica sicurezza (Carabinieri, Polizia Postale ecc.), avendo cura di allegare alla denuncia copia del documento che dimostra la contabilizzazione di un’operazione non autorizzata (es. lista movimenti), e compilare l’apposito modulo di contestazione e disconoscimento delle operazioni che trovi rivolgendoti a qualsiasi sportello della banca di riferimento del conto o della carta di pagamento ovvero di Poste Italiane.

Stanti le norme richiamate in questo articolo, dal disconoscimento dell’operazione non dovrebbero più essere consentite movimentazioni dal conto. La carta di pagamento bloccata e sostituita con una nuova carta dotata di nuovi codici di utilizzo. Entro pochi giorni l’importo illecitamente sottratto dovrebbe essere integralmente rimborsate.