Si sente sempre più parlare di phishing, un fenomeno di ampia portata che agisce in modo subdolo, cioè facendo perno sulla “fiducia” dei malcapitati. Questo, infatti, è definito come un tipo di attacco informatico che fonda la sua efficacia nella fiducia degli utenti, grazie alla quale vengono estorte informazioni sensibili come username, password o dati finanziari.
Negli ultimi mesi sono sempre di più le persone che hanno scoperto, loro malgrado, di esser state truffate online da sms e comunicazioni che, superficialmente, sembravano “affidabili”. Tra l’altro, come riportano le infografiche di ExpressVPN sugli attacchi informatici in Italia, questo tipo di attacchi continua a mietere sempre più vittime, ponendo il nostro Paese tra i più colpiti in Europa e tra quelli che hanno riportato maggiori danni collaterali.
Non è questione di arretratezza del nostro Paese o di incapacità di gestire tali criticità, quanto piuttosto di un’obiettiva difficoltà nel divulgare le best-practice di gestione della sicurezza a tutti i livelli e, quindi, sino agli utenti finali. A tale proposito, oggi, vorremmo porre l’accento su una particolare tipologia di phishing, cioè quello finanziario: vedremo come le conseguenze di una gestione poco attenta di tutti quei dati sensibili che, in qualche modo, permettono ai malintenzionati di accedere ai nostri conti correnti.
La definizione di phishing
Il phishing è definito come la forma d’attacco più subdola che si conosca, perché avviene tramite mail, sms o telefonate che, ad un’occhiata superficiale, sembrano provenire da aziende, banche o istituzioni di cui ci si fida. Riconoscere un sms o una mail di questo tipo non è facile, soprattutto a un occhio poco attento, ed è per questo che tantissimi tentativi di truffa, alla fine, vanno a segno.
Gli attacchi possono presentarsi sotto varie forme: dalle campagne di massa indirizzate a un vasto pubblico a tentativi mirati contro specifici individui o aziende. I truffatori cercano di sfruttare la fiducia delle persone simulando comunicazioni legittime, ad esempio richiedendo l’accesso a account online o fornendo link malevoli.
Una delle tecniche comuni di phishing è l’utilizzo di URL contraffatti che mimano siti web autentici. Le vittime sono indotte a cliccare su questi link, per poi essere condotte su pagine web fasulle sulle quali viene loro chiesto di inserire username, password e persino OTP di accesso ai conti correnti online. Generalmente questo avviene dopo la ricezione di una comunicazione urgente, nella quale si esorta l’utente ad attivarsi per risolvere un problema.
Le comunicazioni di questo tipo, infatti, contengono spesso avvisi “gravi”, problemi da risolvere nell’immediato o richieste di azioni urgenti: in questo modo gli utenti non hanno tempo di realizzare che, in realtà, stanno per subire una truffa.
Le conseguenze di un conto corrente violato
La maggior preoccupazione di chi subisce una truffa phishing sul proprio conto corrente è quella di perdere il denaro in esso custodito, il che è legittimo. Il punto è che le conseguenze possono essere ancora più spiacevoli perché, a seguito di una recente sentenza della Corte di Cassazione, l’utente truffato potrebbe non aver diritto a un rimborso da parte della banca. In particolare la sentenza spiega che laddove la banca abbia adottato idonee misure di sicurezza, la responsabilità della violazione potrebbe essere addebitata all’utente. In particolare quando un correntista cede con disattenzione o negligenza i propri dati di accesso a terzi, la banca non può essere ritenuta responsabile del danno.
Con l’ordinanza n. 7214 del 13 marzo 2023, per l’appunto, la Cassazione ha respinto la domanda di risarcimento avanzata da due clienti di una banca per bonifici autorizzati senza consenso degli stessi. La Corte ha reputato il loro comportamento negligente, in quanto avevano concesso gli accessi a seguito della ricezione di una mail fraudolenta.
Come difendersi?
La sentenza ha fatto molto discutere, soprattutto perché rende difficile individuare le effettive responsabilità di banca e cliente truffato. Ciò nonostante ci offre un nuovo e interessante approccio e dimostra che il nostro Paese è consapevole delle nuove esigenze sociali, politiche e legislative di cui farsi carico in materia di sicurezza informatica. Nello specifico tale indirizzo segnala la volontà della Cassazione di responsabilizzare anche gli utilizzatori finali dei sistemi informatici e, quindi, chiunque immetta, gestisca o utilizzi dati sensibili in rete.
La miglior difesa, quindi, è la prevenzione. Innanzitutto non bisogna mai cliccare alcun link ricevuto, via sms, mail o chat, da parte di istituzioni che sono solite contattare i clienti in altri modi. Prima di cliccare, se si nutre qualche dubbio, conviene parlare con un operatore della banca per chiedere conferma circa la comunicazione ricevuta.
Infine è buona norma custodire gelosamente password e accessi del proprio homebanking, avendo cura di non trascriverli sullo smartphone e di tenerli lontani da occhi indiscreti. Per maggiori informazioni è possibile consultare il sito web dell’Agenzia per la Cybersicurezza nazionale, sul quale è possibile trovare tante informazioni utili in materia di sicurezza informatica.
Copywriter e SEO Specialist dal 2012. Appassionato di web marketing inizia a creare i primi siti web nel 2010. Nel 2017 decide di fondare il blog Mnews.it per il quale si occupa di realizzare guide all’acquisto su qualsiasi tipo di prodotti.