Vishing bancario: cos'è, come evitarlo e chiedere il rimborso - Borsa&Finanza
Cerca
Close this search box.

Vishing bancario: cos’è, come evitarlo e chiedere il rimborso

Un truffatore procede al vishing via telefono

Tra le tecniche più sfruttate dai malviventi per truffare i risparmiatori c’è il vishing bancario, un raggiro che avviene via telefono: il visher prima manda un messaggio e poi chiama la vittima da un numero sicuro, si finge una persona conosciuta (come un bancario del proprio istituto di credito) e ottiene i dati sensibili del conto corrente o della carta di credito procedendo ad una serie di addebiti non autorizzati. Sono frodi frequenti e più comuni di quanto si possa immaginare, alle quali tuttavia si può porre rimedio recuperando (ma non in tutti i casi) la cifra scucita.

 

Vishing: cos’è e come funziona

Insieme al phishing (la truffa che avviene sul web tramite e-mail e social) e allo smishing (il phishing che sfrutta gli SMS sul cellulare), il vishing (ovvero voice phishing) è una delle frodi più diffuse. Il truffatore contatta telefonicamente la vittima da un numero riferibile all’istituto di credito e all’apparenza ufficiale, si finge un operatore bancario fidato (ma anche un operatore della società emittente la carta di credito, un funzionario dell’Agenzia delle Entrate o di un ufficio antifrode, un consulente di un ente previdenziale o assistenziale) e induce la persona malcapitata a rivelare informazioni personali sul proprio conto corrente. A quel punto il visher, impossessatosi delle credenziali utili per accedere al conto o alla carta, sottrae somme significative predisponendo bonifici oppure facendo acquisti online.

Le vittime di vishing bancario cascano nel tranello per disattenzione o per scarsa cautela, per manipolazione psicologica e per il panico e terrore suscitati. La tecnica per mandare in confusione la vittima è semplice: il truffatore annuncia che sul conto ci sono movimenti sospetti e non autorizzati, che qualcuno sta tentando di accedere all’home banking o che stanno avvenendo anomalie nella gestione della carta. Senza lasciare respiro e dare tempo per riflettere sulla finta emergenza, il visher chiede alla vittima di attivare una procedura di sicurezza per sventare l’attacco: per farlo, occorrono i dati relativi all’accesso al servizio (username e password) o i codici supplementari.

Nel caso delle carte di credito, il truffatore è già entrato in possesso di numero, data di scadenza e codice CVV della carta grazie alla clonazione e induce la vittima a leggere ad alta voce il codice di conferma (l’OTP, la password temporanea per confermare le operazioni) che viene inviato sul telefono, autorizzando inconsapevolmente una transazione via web con conseguente sottrazione del denaro. Soltanto in un secondo momento il titolare della carta si accorge delle movimentazioni in uscita non autorizzate e procede a bloccare le carte e modificare la password dell’account. Ma a volte è troppo tardi.

Esistono diversi tipi di vishing, da quello VoIP (il finto operatore chiama al telefono la vittima con un sistema vocale automatizzato, spacciandolo per il call center di una banca) al wardialing, che consiste nell’invio di messaggi vocali automatici ad un numero ampio di persone per cercare di spaventarle, magari con la minaccia di pesanti sanzioni per tasse evase o multe non pagate. Tattiche informatiche più raffinate sono il dumpster diving (gli hacker rintracciano informazioni utili nelle memorie e nei cestini dei computer e penetrano abusivamente negli account) e lo spoofing, quando il truffatore nasconde la sua posizione reale e manda informazioni false presentandosi con l’ID di un altro utente, ad esempio un’organizzazione fidata come il proprio istituto di credito.

 

Il rimborso in caso di vishing bancario

È possibile chiedere alla banca il rimborso o il risarcimento dell’importo sottratto? Dipende da caso a caso, ovvero dal comportamento dell’istituto e del cliente. Il rimborso viene riconosciuto quando la banca ha una colpa semi oggettiva. L’Arbitro Bancario Finanziario precisa infatti che l’onere della prova ricade sempre sull’istituto, che deve dimostrare il comportamento fraudolento o gravemente colposo del truffatore e il dolo o la colpa grave della vittima nel fornire i propri dati d’accesso al visher.

L’ABF specifica che il rimborso o il risarcimento scattano se la banca non prevede un sistema di autenticazione forte per le transazioni e c’è quindi una falla nella sicurezza dell’home banking. La colpa ricade sull’istituto anche quando non rileva immediatamente una situazione anomala evidente come un malware nel numero, una difformità tra la data contabile e la data valuta del bonifico, un’espressione strana ed insolita inserita nella causale e non procede ad ulteriori controlli.

Viceversa, in caso di colpa grave del cliente, l’istituto non ha l’obbligo di procedere al rimborso. L’ABF sottolinea in un pronunciamento che “l’intrusione non autorizzata nel sistema – lungi dall’essere causata da un insufficiente grado di protezione informatica e dal servizio offerto dall’intermediario – appare piuttosto ascrivibile a colpa grave della ricorrente, che ha reso possibile l’operazione abusiva contestata dando credito ad una comunicazione anomala e inusuale da parte di un sedicente operatore dell’intermediario resistente, con ciò integrando una violazione gravemente colpevole degli obblighi di custodia dei dati identificativi e dispositivi del proprio conto che fanno carico al titolare”.

In questi casi si può segnalare il caso alla Polizia postale, sporgere denuncia contro ignoti sul form messo a punto online dal Commissariato per comunicazioni su comportamenti illegali e chiedere un risarcimento, ma è spesso difficile individuare il soggetto autore della truffa e il conto corrente su cui ha depositato la somma sottratta. Per difendersi dal vishing e dalle tecniche di ingegneria sociale, è sempre meglio mantenere la calma, non rivelare mai le password, i PIN e i codici di accesso e contattare subito l’ente coinvolto richiamando la banca, per verificare l’identità dell’interlocutore e assicurarsi che i millantati avvisi di sicurezza non siano un tentativo di frode.

Esistono numerose associazioni di tutela dei consumatori, dall’UNC (l’Unione Nazionale Consumatori) a CODICI (il Centro per i diritti del cittadino), che forniscono assistenza alle vittime di vishing bancario con gli istituti che rifiutano i rimborsi legittimi. Un caso emblematico è avvenuto nel giugno del 2024 e ha coinvolto un cliente romano di BNL, vittima di una truffa da 2.300 euro. La chiamata è arrivata da un numero riferibile in tutto e per tutto alla banca, che tuttavia ha riconosciuto soltanto un rimborso del 70% della somma. Grazie all’assistenza del CODICI e al ricorso positivo all’ABF, il cliente ha ottenuto anche il rimborso del restante 30%.

AUTORE

Picture of Alessandro Zoppo

Alessandro Zoppo

Ascolta musica e guarda cinema da quando aveva 6 anni. Orgogliosamente sannita ma romano d'adozione, Alessandro scrive per siti web e riviste occupandosi di cultura, economia, finanza, politica e sport. Impegnato anche in festival e rassegne di cinema, Alessandro è tra gli autori di Borsa&Finanza da aprile 2022 dove si occupa prevalentemente di temi legati alla finanza personale, al Fintech e alla tecnologia.

ARTICOLI CORRELATI

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *