Si invita a non inserire mai le proprie credenziali o codici dai canali deputati
Reggio Emilia, 30 marzo 2024 – Dal suo conto corrente i soldi, ben 50mila euro, hanno preso il volo per poi approdare a Malta: una ‘vacanza’ da cui non torneranno mai più. Facendogli credere di dover evitare un raggiro, un malvivente – ma potrebbe essere anche un gruppo – ha fatto cadere in trappola un giovane reggiano, derubandolo online. È la truffa che un 36enne ha segnalato di aver subito il 4 dicembre 2023, sporgendo ai carabinieri due denunce, in una delle quali si ipotizzava anche la possibile responsabilità di un dipendente dell’istituto di credito di cui è cliente: una possibilità, quest’ultima, che la banca dice svanita dopo le verifiche interne, mentre resta tutto da esplorare il ruolo di qualche hacker.
L’escamotage
Il 36enne racconta di aver ricevuto un sms di allerta da un’utenza telefonica che lui ha identificato nel numero della banca, dove gli veniva chiesto di verificare una frode in atto. Questa comunicazione perveniva a suo dire dal server automatico della banca, da cui al 36enne arrivano le autorizzazioni di pagamento. Il giovane aggiunge di aver chiamato subito il numero inserito nel messaggio, e di avere avuto risposta da un operatore che si è identificato con un numero collegato all’ufficio frode. Questa persona ha detto al 36enne che gli stavano prelevando 50mila euro e gli ha fornito un iban temporaneo, abbinato al nome e cognome del 36enne. Poi è scattata la trappola: l’operatore lo ha invitato a fare un giroconto della somma sulle nuove coordinate bancarie e il 36enne ha provveduto subito, spostando i soldi sull’altro conto a suo nome. Dopo due minuti, il giovane ha contattato il direttore della banca per verificare se fosse tutto a posto. Ma lui gli ha risposto che non risultava nulla di tutto ciò che aveva appena subìto e ha informato gli uffici dell’istituto di credito. A dire del 36enne, la stranezza stava nel fatto che la frode risultava avvenuta intorno alle 17, ma gli uffici bancari si sono mossi solo alle 18.30 nonostante, in base all’analisi dei tabulati telefonici, erano stati allertati solo due minuti dopo la ricezione dell’allerta sulla truffa. Da ulteriori verifiche, è emerso che il secondo conto corrente risultava effettivamente intestato al 36enne, ma era stato aperto a Napoli due anni fa, mentre i 50mila euro sono stati poi trasferiti a Malta.
La denuncia
Il giovane si è affidato all’avvocato Alessandro Occhinegro per tutelarsi: il legale ha avanzato una richiesta di accesso agli atti per verificare il funzionamento dei servizi di sicurezza, ma la banca ha trasmesso all’inizio solo la denuncia ai carabinieri sporta dal derubato nel giorno stesso della frode, facendo sapere che avrebbe negato il rimborso della somma. A causa di questa situazione, nei giorni scorsi il correntista ha sporto una seconda denuncia contro ignoti, in cui si tirava anche in ballo la banca.
Le verifiche bancarie
Dopo aver fatto approfondimenti interni, la banca, interpellata anche dal Carlino , ha fatto sapere di "non avere alcuna responsabilità nella truffa". Un concetto esposto anche in una lettera inviata il 19 febbraio al cliente, in cui l’istituto di credito afferma: "L’operazione disconosciuta risulta disposta e autorizzata da lui stesso, con l’inserimento di codici e credenziali a lui solo noti". Dalla banca "non si rilevano colpe nè a livello operativo nè per i sistemi informatici, che non hanno subito malfunzionamenti o interruzioni. La frode è stata interamente perpetrata al di fuori della nostra sfera operativa e di controllo ed è avvenuta solo grazie all’involontaria collaborazione del giovane". E si specifica che "né i messaggi né la telefonata provenivano dal nostro istituto".
Tecnica “spoofing"
I malviventi hanno usato la tecnica informatica dello ‘spoofing’, cioè manipolazione, che consente ai malviventi di contraffare l’identità di utenti o dispositivi: "Un tipo di falsificazione tecnologica usata per far credere alla vittima che l’identità del mittente o del contenuto siano attendibili". L’istituto fa sapere di aver avvertito la clientela con comunicazioni ad hoc per invitarla a non fornire mai dati personali e a non inserire credenziali o codici al di fuori dei canali deputati. E si specifica che questi accadimenti non sono coperti da polizza assicurativa e "non vi è responsabilità della banca che giustifichi la pretesa di rimborso". È stato fatto anche un tentativo per riavere il denaro: "Ci siamo attivati per recuperare il denaro, purtroppo con esito negativo".