Un
saldo drasticamente basso, il controllo della lista dei movimenti e
scatta il panico: le frodi online sono dolorose, fanno male e si ha la
sensazione di combattere un nemico invisibile.
Non riconoscendo gli addebiti si punta immediatamente a denunciare l'accaduto alle autorità e ad interpellare la propria banca sull'accaduto.
Vale la pena, a mio avviso, soffermarsi sulla risposta che è stata fornita dall'ufficio reclami di BancoPosta ad un amico, vittima della frode. Impeccabile, trasparente e corretta anche da un punto di vista tecnico. Riassumo e stralcio...
Gentile Cliente,
con riferimento alla sua richiesta d'informazioni riguardante le operazioni online diposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.
Leggi "non ci sono errori tecnici o contabili a noi imputabili: le transazioni sono avvenute nel rispetto delle modalità previste".
Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato in furto d'identità online può essere vario.
Leggi "Sei in
buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto
anche a capire come può essere successo tanto...".
Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d'accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.
Leggi "Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?"
Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all'insaputa dell'utente "programmi spia", in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.
Leggi "Il personal computer è un problema tuo, non della tua banca: dovevi "proteggerti adeguatamente" "
Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.
Chiusura con applauso: in altre parole, è colpa tua quindi Poste non può fare nulla a riguardo.
Per la massima correttezza e trasparenza, nel caso in questione gli ammanchi erano riconducibili a transazioni online che prevedevano, oltre ad utente e password anche l'inserimento di un pin dispositivo. Anche la comunicazione agli utenti è stata chiara e costante, come segnalato anche nella lettera stessa al cliente.
Nella fattispecie, le probabili cause sono entrambe altamente verosimili.
Volendo escludere che sia stato carpito qualche dato di troppo nell'ultimo attacco ai server di posteitaliane, così come ci piace sperare che non sia andato a buon fine uno dei tanti tentativi di phishing ai danni di Poste Italiane e dei suoi clienti, resta altamente probabile la presenza sul personal computer dell'utente di qualche malware e/o rootkit e/o keylogger.
Per una volta mi voglio togliere dai panni di chi i sistemi di sicurezza li disegna e governa e voglio mettermi nei panni dell'utente che si avvicina timidamente al cosiddetto home banking.
Oggettivamente
gli interrogativi esistono.
Siamo sicuri che in questo scenario l'istituto di credito abbia messo in
campo tutte le possibili accortezze per eliminare, abbattere o
semplicemente mitigare a sufficienza il rischio che una frode possa
andare a buon fine?
A questo punto, l'ignaro utente truffato come può essere tutelato?
Le associazioni di consumatori possono essere d'aiuto in questi casi?
Non è pensabile dotarsi di una copertura assicurativa per il
trasferimento del rischio residuo (come mi risulta succeda in altri
istituti di credito)?
Perchè non adottare una notifica diretta dell'imminente transazione
(telefono, mail, sms)?
Perchè non dotare i propri clienti di un certificato digitale per il
riconoscimento?
Perchè non verificare la presenza a bordo del dispositivo client di un
antivirus/malware aggiornato prima di garantire l'accesso alle
operazioni online?
Possibile che bastino informative, disclaimer e bacheche per demandare completamente all'utente la verifica della auspicata "adeguata protezione" ?
Forse
qualche attenzione in più sull'offerta ai clienti è lecito ipotizzarla.
Riflettere e condividere come sempre mi sembra la strada maestra.
________
Taccuino
Commenti