Roma
Clonano conto bancario e telefono: in un week end rapinata di 181 mila euro
Ecco la rapina perfetta: svuotano un conto bancario di 181 mila euro in un week endo dopo aver clonato il conto corrente e la sim telefonica
di Claudio Roma
Doveva pagare solo una tassa scolastica, e invece si è trovata il conto a zero: mancavano 181 mila euro, volati in Estonia durante il week end. E’ successo a Roma, ad una mamma di famiglia, A.S. andata in banca, per pagare una rata scolastica dei propri figli, di poche centinaia di euro.
Ma l’addebito non passa: eppure sul conto ci dovevano essere 181 mila euro: dall’estratto conto, l’assurda notizia: tutti i suoi risparmi, durante il week end, hanno “preso il volo” verso l’Estonia, a favore di una società sconosciuta: la CB Payments LTD (il cui Iban viene qui pubblicato, per bloccare presso tutti gli istituti bancari nazionali il trasferimento fondi a suo favore: EE 2977100771001961370).
Dietro al colpaccio, messo a segno nella Capitale, contro uno dei più solidi e noti istituti bancari nazionali, c’è uno studio sofisticato realizzato da parte della nuova generazione di rapinatori di banca-esperti hacker, che fanno dell’uso e abuso dei dati sensibili e delle credenziali d’accesso dei conti on line, il metodo ormai preferito per furti e rapine, minimizzando i rischi per i delinquenti.
Ecco il colpo spiegato in tre passaggi. Il metodo, ben noto agli inquirenti della Polizia Postale, è ben rodato: la vittima viene frodata dei propri dati personali e delle credenziali di accesso. Stranamente, la propria utenza telefonica, tace per almeno due giorni consecutivi – che cadono normalmente nel week end – così che non si possa immediatamente ripristinare facilmente, andando al negozio del gestore telefonico. Viene clonata anche la sim telefonica, per impedire che arrivino alla vittima gli alert, o le notifiche dei pagamenti avvenuti on line. Tre soli passaggi, per un colpo da 181 mila euro.Ed è così che si scassina oggi la cassaforte bancaria, senza il classico piede di porco.
Dunque, il primo passaggio è la frode dei dati sensibili del cliente (nome cognome, residenza, utenza telefonica, psw della posta elettronica). Il secondo, è la frode e la sostituzione personale presso la compagnia telefonica della vittima, che serve per disabilitarne la sim e appropriarsi di quella nuova. Se i primi due passaggi sono andati a buon fine, tutto è pronto: basta semplicemente collegarsi on line e servirsi. Nel caso di A.S. c’era un limite di spesa on line fissato dal suo contratto bancario, a 25 mila euro. Limite bypassato con l’artificio di ben 12 bonifici, di 15 mila euro l’uno, per arrivare alla cifra di 178 mila euro. Ma ai ladri non bastava ancora: hanno pensato di aggiungere al carrello della spesa altri 3000 euro, con un prelievo cardless, presso un Atm bancario (ABI 3069-ATM 5818). Così da raggiungere proprio il totale dell’importo presente sul conto, e lasciare la mamma di famiglia totalmente all’asciutto.
Così ad A. S., in un apparente normale e sonnecchiante week end invernale, a febbraio di quest’anno, veniva prosciugato il conto, tanto da non consentirle, di pagare, il lunedì, neppure la rata scolastica. Era rimasta stranamente isolata fino al lunedì, senza poter comunicare con nessuno, con il suo cellulare nuovo di zecca (un XR appena acquistato dal centro Apple, a cui aveva lasciato il suo vecchio 6 S, aderendo alla rottamazione). Un guasto telefonico a cui non aveva dato una spiegazione, se non quando si rendeva conto dell’accaduto: il servizio per la sicurezza del suo conto on line, era stato neutralizzato ed il codice di sicurezza via sms era arrivato direttamente in Estonia, bypassando il suo nuovo cellulare.
Come comportarsi per vedere restituiti i propri soldi?
“Il caso romano arriva dopo molti altri – spiegano gli avvocati dell’Adiconsum –. L’ultimo è stato deciso dal Tribunale di Ancona (sent. 1355/2019), che ha deciso un caso analogo di truffa contro due anziani signori, a cui era stato alleggerito il conto di 11 mila euro, e a cui l’Istituto bancario aveva opposto un muro di gomma. La sentenza di condanna non ha tardato ad arrivare. E con questa non soltanto la restituzione del maltolto, ma anche il risarcimento del danno al cliente, da parte sia della banca che della compagnia telefonica. Ciò perché la coppia aveva immediatamente sporto denuncia, disconoscendo le operazioni di prelievo, come prevede la legge (D. Lgs 11/10). Questo passaggio è fondamentale, perché per così dire, inverte l’onere della prova della trascuratezza rispetto alla tutela dei dati: dal momento che il cliente disconosce le operazioni bancarie, sarà l’Istituto bancario, in sede legale, a dover dimostrare che il cliente non li aveva tutelati correttamente”.
Cosa prevede la legge: contro la nuova truffa 2.0 è entrato in vigore da maggio 2018, anche in Italia , il regolamento europeo sulla tutela dei dati GDPR 2016/679
Il moltiplicarsi delle truffe 2.0 ha imposto al legislatore italiano di adeguarsi velocemente al resto d’Europa, per tutelare i consumatori e i clienti bancari sotto il cappello del GDPR 2016/679. Questo, secondo gli esperti legali di GDPR maggiormente accreditati, prevede che, se il cliente, appena si accorge delle operazioni bancarie truffaldine, si rivolge nell’immediatezza alle forze dell’ordine, l’Istituto bancario deve restituire i fondi sul conto corrente, oppure, deve essere in grado di dimostrare, carte alla mano, perché e in che modo il cliente è stato incauto nella conservazione dei propri dati sensibili. Inoltre, l’istituto stesso ha degli obblighi, dovendo denunciare la truffa subita dal cliente. Ciò perché i dati potrebbero essere stati hackerati direttamente presso il server bancario, e dunque, in assenza di una reazione immediata di denuncia dell’istituto, potrebbe doverne rispondere davanti alle autorità giudiziarie e dover risarcire il danno.
“In effetti, ad oggi è decrescente la casistica in cui gli istituti bancari oppongono il muro di gomma al cliente, per due ragioni principali: il primo è che la giurisprudenza segue in maniera consolidata il tracciato legislativo in merito, ormai da anni, anche prima del GDPR entrato in vigore nell’ultimo anno. Secondo, perché la normativa europea, indirettamente, tutelando i clienti, tutela anche le banche dall’onda anomala che si abbatterebbe su tutto il mondo creditizio, laddove i clienti non venissero tutelati dal proprio istituto”.