Diritto e Fisco | Articoli

Come riconoscere un sito di phishing e quando la banca deve il risarcimento

26 marzo 2014 | Autore:


> Diritto e Fisco Pubblicato il 26 marzo 2014



Ecco come prevenire lo svuotamento del conto corrente, della carta di credito prepagata, della postepay o del bancoposta: contro i reati informatici bastano un paio di semplici precauzioni; la banca è tenuta a risarcire, salvo dimostri la negligenza del proprio cliente.

La parola “Phishing” è ormai entrata nel vocabolario di tutti, sia in quello dei più esperti di informatica, che dei meno esperti. Questa tecnica – considerata attualmente la più insidiosa e utilizzata dai criminali informatici per svuotare i conti corrente e le carte di credito – è anche facilmente evitabile se solo si presta attenzione a un paio di facilissime precauzioni, che vi spiegheremo in questo articolo.

Cos’è il phishing

Ricordiamo che con questa tecnica il criminale informatico riesce ad acquisire i dati dei vostri conti correnti online, il numero di carta di credito, la password dell’home banking, i documenti di identità ecc.: dati che, ovviamente, utilizzerà per svuotarvi le tasche, effettuando bonifici a suo favore, ricaricando la propria prepagata oppure effettuando altre operazioni (come acquisti) sotto falsa identità.

Come avviene il phishing?

Il phisher vi invia una mail o un sms (nel qual caso è definito smishing). Nel testo, vi invita a consultare il vostro conto postale o bancario, per acquisire documenti o altre importanti informazioni. A volte vi chiede di accedere al vostro conto per sbloccare un pagamento a vostro favore. In verità, la mail contiene un link ad un sito terzo che, pur riproducendo in tutto e per tutto la home della vostra banca (tanto da essere quasi indistinguibile a prima vista), invece è un falso d’autore costruito appositamente dal criminale.

Chi ingenuamente inserisce la propria username e password su tale pagina web, in realtà non sta facendo altro che consegnare i propri dati al phisher. Quest’ultimo, così, potrà poi utilizzare tali credenziali per entrare nel “vero” sito della vostra banca, accedere al vostro conto e prelevare le somme.

La vera novità consiste in quella che viene definita la seconda generazione del phishing, quella che non ci chiede di digitare alcunché, ma si materializza in comportamenti che ci sembrano meno insidiosi, come aprire un file o cliccare su un link, gesto di per sé innocuo ma che innesca l’installazione di virus informatici sul pc, quelli sì insidiosissimi, che poi fanno tutto da soli.

Uno degli ultimi tipi di aggressione informatica è particolarmente pervasivo e si chiama ransomware, utilizza cioè un software che serve a chiedere un riscatto e “inietta” un virus che si presenta sotto forma di una falsa irruzione della Polizia postale che, fingendo la contestazione di un reato, blocca il pc del cliente fino a che non viene fatto un versamento su un conto indicato.

Come scoprire se il sito della banca in realtà è solo un falso del phisher?

L’unica differenza per verificare la correttezza del sito su cui si opera consta nell’acronimo del protocollo di trasferimento.

Per verificare questo dato bisogna fare una verifica estremamente facile. Controllate, sul vostro browser (Explorer, Chrome, Safari, Firefox, ecc.) la stringa con l’indirizzo della pagina che state consultando: si tratta di quella finestrella stretta e lunga dove inserite, di norma, l’indirizzo del sito da consultare e dove, di conseguenza, appaiono tutti gli url delle pagine visitate. In genere, gli indirizzi iniziano con www., http. oppure https.

Ebbene, il sito del phisher viene segnato come un normale http e non già come un https protetto. Solo gli https invece sono indirizzi protetti e autentici.

Per esempio: se accedo alla mia homebanking di Unicredit l’indirizzo url che compare sulla mascherina di Explorer è il seguente: https://www.unicredit.it/it/privati.html.

La presenza, dunque, del protocollo https è una garanzia di autenticità.

Basterebbe questa verifica per scongiurare già una gran parte di crimini informatici.

Se volete stare ancora più sicuri

Se poi siete distratti e non siete abituati a controllare l’url di destinazione delle pagine che consultate, avete una soluzione più radicale al problema: non aprite mai i link contenuti nelle email, ma digitate voi stessi, manualmente, l’indirizzo web della vostra banca online.

In caso di phishing come comportarsi per chiedere il rimborso alla banca?

La legge [1] tutela il consumatore vittima di phishing. Tutte le volte in cui il cliente dichiari di non aver autorizzato la propria banca al pagamento “fraudolento”, sarà quest’ultima tenuta a rimborsarlo. La banca deve provare la colpa del cliente se non vuole risarcirlo, dando prova che questi ha tenuto un comportamento imprudente.

Se però la banca che ha rimborsato immediatamente il cliente dimostra che l’operazione era stata autorizzata, allora la somma dovrà esserle restituita.

Inoltre, il cliente non sarà rimborsato se ha agito con imprudenza e imperizia particolarmente gravi e, pertanto, non scusabili; come per esempio se ha risposto alla falsa e-mail con la quale gli si chiede di digitare i dati della propria carta.

Il cliente bancario deve innanzitutto “prevenire“, mantenendo un alto livello di attenzione e controllo. Non si deve rispondere ad e-mail provenienti da soggetti che chiedono di digitare i propri dati, né aprire file dei quali non si conosce la provenienza.

Quando ci si accorge di qualche anomalia mandare subito una e-mail all’emittente della carta per bloccarla o per bloccare l’operatività online del conto.

Rinviamo il lettore all’articolo di approfondimento: Se l’hacker svuota la carta di credito ricaricabile: risarcimento della banca  

note

[1] Art. 10 e 11 D.lgs. n. 11 del 27 gennaio 2010.

Autore immagine: 123rf.com


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI