13 Apr Importante pronuncia dell’ABF di Bologna in materia di phishing e responsabilità della banca
Importante pronuncia dell’ABF di Bologna, in materia di phishing e responsabilità bancaria, in favore di un cittadino riminese che si è visto sottrarre dal conto corrente bancario ben 130.000 euro nel giro di pochi giorni.
ll phishing consiste in una truffa mediante cui la vittima viene indotta a fornire informazioni personali, dati finanziari, numeri di cellulare o codici di accesso, in risposta a SMS, chiamate od email ingannevoli creati ed inviati dall’autore della truffa. La vittima fornendo le informazioni richieste, consente al malintenzionato di accedere ai suoi conti bancari.
Nel caso in esame, la vittima – difesa dall’Avv. Jessica Valentini dello Studio Legale Cedrini & Zamagni – esaminando la lista dei movimenti, si accorgeva che dal suo conto corrente erano stati effettuati ben cinque bonifici non autorizzati.
Pochi giorni prima, il malcapitato aveva risposto ad un SMS “esca”, che appariva inviato dal suo servizio di home banking. Cliccando in buona fede sul link, il riminese era entrato in un sito perfettamente identico a quello della sua banca, dove effettuava l’operazione richiesta, utilizzando l’ID e password del proprio conto.
Dagli accertamenti effettuati, risultava che il messaggio ricevuto dal riminese era stato veicolo del link ad un sito web clone di quello della sua banca, su cui era stata operata la captazione delle credenziali informatiche del cliente, poi utilizzate per prelevare indebitamente le somme dal suo conto corrente.
Il messaggio ricevuto e la pagina del sito web non presentavano nessuna anomalia che avrebbe potuto allarmare il correntista in merito all’autenticità e alla provenienza del messaggio né della pagina cui conduceva il link (non erano presenti i classici indizi del fake, come errori grammaticali, spazi fra le parole del testo ecc).
Inoltre, i tecnici consultati dall’avvocato rilevavano che l’SMS proveniva dalla stessa utenza telefonica utilizzata dalla stessa banca per le comunicazioni relative al servizio di home banking.
L’ABF ha ritenuto che i sistemi informatici utilizzati dalla banca non fossero in linea con gli standard del settore, in quanto per portare a termine le operazioni di pagamento erano richieste soltanto password statiche e non anche password dinamiche (come l’OTP inviato tramite sms).
Ritenendo sussistere una carenza sostanziale di autenticazione e ritenendo inadeguato il sistema di sicurezza predisposto dalla banca, l’ABF ha accolto il ricorso del riminese e ha disposto la restituzione da parte delle somme sottratte.