Utilizzi fraudolenti: l’intermediario è responsabile in caso di “SMS spoofing”



ABF Bari, Decisione n. 16662 del 08 luglio 2019 

di Pierpaolo Verri

 

 


La decisione in commento del Collegio ABF di Bari attiene ad una particolare tipologia di utilizzo fraudolento degli strumenti di pagamento, denominata “SMS spoofing”.

Nel caso di specie, il ricorrente afferma di aver ricevuto un SMS proveniente dal medesimo profilo di messaggistica ufficiale dell’intermediario convenuto, dal quale riceveva abitualmente messaggi in merito alle modifiche di username e password del proprio conto. L’SMS in questione, riportava un messaggio relativo al conto e conteneva un link. Facendo affidamento sull’identità del mittente del messaggio, che appariva riconducibile all’intermediario, il ricorrente apriva il link, che lo rimandava sul sito dell’intermediario, laddove appariva una schermata che lo informava di una necessaria modifica dei propri dati per mettere al sicuro il conto dal rischio frodi. Il ricorrente affermava di aver provveduto ad abbandonare la procedura, ma successivamente riceveva un ulteriore SMS con il quale gli veniva comunicato che sarebbe stato contattato da un consulente dell’intermediario per completare la procedura. Dopo pochi minuti, riceveva la telefonata di un soggetto che, presentandosi come operatore dell’intermediario, gli comunicava che era necessario completare la procedura e che gli sarebbe stata inviata una nuova password dispositiva via SMS, sempre dal medesimo mittente. Durante la telefonata, il ricorrente riceveva tale password e successivamente si avvedeva di una spesa di euro 2.893,99 addebitata sul proprio conto per compiere un acquisto online. Il ricorrente sottolinea che la gravità della truffa risiede nel fatto che gli SMS sono stati inviati dal profilo di messaggistica ufficialmente riconosciuto dall’intermediario, il quale probabilmente è stato vittima di un attacco hacker.

L’intermediario, costituitosi, afferma che da sue verifiche è stata accertata la legittima esecuzione e sostanziale regolarità dell’operazione. Quest’ultima, peraltro, è stata eseguita con sistema dinamico di autenticazione, pertanto dichiara di aver messo a disposizione del ricorrente uno strumento di pagamento rispondente agli attuali standard tecnologici.

In diritto, il Collegio rileva che dalle informazioni fornite dal ricorrente, le modalità della truffa perpetrata sembrano riconducibili al c.d. “SMS spoofing”, che consiste nella manipolazione dei dati relativi al mittente di un messaggio per far sì che il messaggio appaia provenire da un soggetto differente, rimpiazzando il numero originario con un testo alfanumerico (ossia quello utilizzato dall’intermediario per i propri messaggi genuini). In tal modo, il truffatore può inviare SMS-civetta che sembrano provenienti da numeri o contatti legittimi. Questa particolare tipologia di truffa è stata esposta dall’European Payments Council (EPC), la quale, nel “Payments Threats and Fraud Trends Report” del 2018, ha evidenziato come questo tipo di attacco abbia molto successo in quanto molti utenti credono che un SMS sia più sicuro di una e-mail. Sempre nello stesso report, l’EPC delimita l’ambito dello spoofing precisando come in questi casi i truffatori inviano messaggi SMS che sembrano provenire dal prestatore di servizi di pagamento, nel tentativo di sottratte alla vittima informazioni personali o finanziarie. Tali messaggi incoraggiano i malcapitati a chiamare un numero o visitare un sito web, i quali, tuttavia, sono controllati dal truffatore, che utilizza dei software per modificare l’identificativo del mittente dei messaggi per far sì che appaiano inviati dal prestatore dei servizi di pagamento. Ciò significa che il messaggio c.d. civetta viene visualizzato dal cliente insieme ai precedenti messaggi legittimi provenienti dall’intermediario, facendo sì che il cliente lo reputi pertanto genuino e riconducibile all’intermediario.

Sulla base di tali rilievi, il Collegio evidenzia che nel caso di specie il ricorrente è stato tratto in inganno in considerazione delle particolari modalità che hanno caratterizzato la frode, quali appunto una intromissione nel canale di comunicazione solitamente utilizzato dall’intermediario, che ha consentito la visualizzazione del messaggio di frode insieme ai precedenti messaggi legittimi. Trattasi, pertanto, di una truffa ben distinta dalle classiche tipologie di phishing, la cui conoscenza da parte della clientela è ormai ritenuta nota. Per questo motivo il Collegio ritiene di accogliere il ricorso, riconoscendo al ricorrente il rimborso integrale della somma illegittimamente prelevata.

Questo il testo della Decisione: ABF Bari, Decisione n. 16662 del 08 luglio 2019

Ricerca avanzata


  • Categorie

  • Autori


  • Seleziona il periodo

Copy link
Powered by Social Snap