[NEWS] Truffati dal phishing? Ecco come chiedere i rimborsi, ma attenti ai furbi

[c.m.g]

10.01.2008



Farsi rimborsare è possibile, ad alcune condizioni. Un articolo de Il Sole 24 ore dello scorso 8 gennaio spiega come fare. Ad ogni modo la scelta di rimborsare o meno il proprio cliente truffato varia da istituto in istituto, ma una regola è comune per tutti: se il cliente è inconsapevolmente vittima del proprio raggiro, non vedrà un soldo.


«Soltanto cinque attacchi di phishing su 10mila vanno in media a bersaglio. Eppure, nonostante le statistiche ridimensionino il fenomeno, l'invio di email fasulle atte a carpire codici, password e altri dati sensibili allo scopo di utilizzare conti correnti o carte di credito di altri utenti, è in costante crescita. Secondo l'associazione Anti-Phishing ogni giorno si registrano 2,5 nuovi attacchi che prendono di mira in particolare gli oltre sette milioni di italiani che dispongono di una piattaforma di home banking (stime Abi-Banca d'Italia).

I due casi possibili
Quali strumenti ha a disposizione un utente per difendersi dopo aver subito un furto d'identità digitale? Si possono verificare due casi. Se questi si accorge subito di aver abboccato all'esca fornendo i dati sensibili ai malintezionati può immediatamente contattare telefonicamente l'istituto e modificare i codici. Nella seconda ipotesi, quando cioè il cliente è ignaro di essere vittima di phishing, molto dipende, affinché la frode vada a buon fine o no, dalla tipologia di codici che gli sono stati sottratti e dal livello di protezione garantito dalla banca. La maggior parte delle email di phishing si limita, infatti, a chiedere di inserire solo i dati di accesso al sito di home banking. Mentre, per compiere le operazioni (bonifici, giroconti, trading online), gran parte degli istituti di credito utilizza una protezione di secondo livello (password dispositiva, firma digitale, etc.).

In questo caso, difficilmente gli hacker riescono nell'impresa di rubare il denaro trasferendolo telematicamente presso altri conti. Anche perché gli attacchi di phishing hanno vita breve. Dal 2005 l'Abi, l'Associazione bancaria italiana, ha attivato una centrale rischi (il cui accesso è facoltativo per le banche) attraverso la quale gli istituti di credito si scambiano informazioni sulle operazioni sospette. Le banche, inoltre, collaborano a stretto giro con la Polizia Postale che, non appena individuato il sito fasullo (solitamente alloggiato in un server straniero), si interfaccia con la Polizia postale del Paese da dove è partito l'attacco per disporne l'immediata chiusura (attualmente il tempo medio di rilevazione e chiusura di un sito clone è di circa 12 ore nel 60% dei casi, di 24% nell'80%).

Come ottenere il rimborso
Se però dovesse verificarsi la peggiore delle ipotesi (i frodatori riescono a trasferire somme di denaro in un altro conto) il diritto o meno ad ottenere il rimborso dipende al contratto firmato con l'istituto. Va tenuto presente, però, che la maggior parte delle banche si tutela includendo una clausola in cui si precisa di non rilevare a terzi i codici. In presenza di tale clausola il cliente non può pretendere il rimborso delle somme frodate. "Molti istituti tuttavia – spiega Roberto Fonso, responsabile Information technology di We@bank, la banca online del gruppo Bipiemme che a metà novembre ha superato con successo anche l'ultimo attacco in ordine cronologico di phishing – hanno un'apposita copertura assicurativa e vengono incontro al cliente se qualcuno effettua operazioni al suo posto, rimborsando gli importi derubati".

In ogni caso, il cliente che ambisce alla restituzione delle somme mancanti deve attendere la contabilizzazione dell'operazione, denunciare il furto presso un'autorità di pubblica sicurezza e compilare un modulo di contestazione in cui "non riconosce alcun addebito a partire dalla tal data". E' la strategia adottata anche da Fineco. La banca web del gruppo Unicredit precisa che "escludendo gravi disattenzioni e analizzando ogni situazione particolare risponde di eventuali danni che subisce il cliente. Inoltre non bisogna dimenticare che ogni transazione viene registrata ed è quindi facile risalire al beneficiario della stessa". Mentre Poste italiane - il principale bersaglio di attacchi di phishing nel 2007 con una quota dell'87% del totale nazionale – ha recentemente realizzato, in collaborazione con l'università Statale di Milano, il software Phishing forensic analyzer.

Il programma aiuta gli esperti del gruppo a indirizzare il cliente vittima nella risoluzione dei problemi di sicurezza informatica della propria postazione, in modalità non invasiva. Come funziona? Quando si verifica un caso di frode da phishing, Poste Italiane contatta il cliente al telefono e cerca di capire con lui, tramite questo software (senza bisogno di istallazione sul pc), le anomalie sul pc. In particolare il software analizza se ci sono virus, keylogger (virus che intercettano i caratteri digitati sulla tastiera) o similari che rubano le credenziali per accedere ai conti online del cliente. Tratto da Il Sole 24 Ore.it »


Fonte: Anti-Phishing Italia