Le truffe tramite SMS, note anche come “smishing”, rappresentano una minaccia crescente per i titolari di conti correnti e carte di pagamento. Attraverso messaggi ingannevoli che sembrano provenire dalla propria banca, i truffatori riescono a sottrarre somme significative. Tuttavia, i consumatori non sono senza tutele: in molti casi, la responsabilità ricade sull’istituto di credito, che è tenuto a rimborsare il cliente se non può dimostrare di aver adottato tutte le misure di sicurezza necessarie.
Come funziona la truffa dell’SMS bancario
La tecnica utilizzata dai criminali informatici è sempre più sofisticata. Il cliente riceve un SMS che sembra autentico, spesso inserendosi nella stessa cronologia delle comunicazioni ufficiali della banca. Questo fenomeno, noto come “SMS spoofing”, rende il messaggio estremamente credibile. Il testo solitamente segnala un presunto accesso anomalo o un’operazione sospetta, invitando l’utente a cliccare su un link per verificare o bloccare l’attività.
Il link, però, non conduce al sito ufficiale della banca, ma a una pagina clone perfettamente identica. Qui, la vittima viene indotta a inserire le proprie credenziali di accesso, come nome utente, password e codici di sicurezza. In alcuni casi, alla ricezione dell’SMS segue una telefonata da parte di un finto operatore bancario che, con la scusa di aiutare a risolvere il problema, guida il cliente nel completare le operazioni che autorizzano i pagamenti fraudolenti.
La responsabilità della banca e l’autenticazione forte
Molti istituti di credito, di fronte a una frode, tentano di attribuire l’intera colpa al cliente, accusandolo di negligenza grave per aver comunicato i propri dati. Tuttavia, la normativa europea e nazionale in materia di servizi di pagamento (PSD2) stabilisce principi chiari a tutela degli utenti. L’onere della prova spetta alla banca: è l’istituto che deve dimostrare che l’operazione contestata è stata autenticata in modo corretto, registrata e non ha subito anomalie tecniche.
Per essere considerata sicura, un’operazione deve essere validata tramite un sistema di “autenticazione forte del cliente” (Strong Customer Authentication – SCA). Questo processo richiede l’uso di almeno due dei seguenti tre elementi:
- Conoscenza: qualcosa che solo l’utente sa (es. password, PIN).
- Possesso: qualcosa che solo l’utente possiede (es. smartphone su cui riceve un codice OTP, token).
- Inerenza: qualcosa che caratterizza l’utente (es. impronta digitale, riconoscimento facciale).
L’Arbitro Bancario e Finanziario (ABF) ha più volte chiarito che sistemi basati su dati statici della carta (come numero e codice di sicurezza stampati sul retro) combinati con un codice temporaneo (OTP) ricevuto via SMS potrebbero non essere sufficienti a costituire un’autenticazione forte. Se la banca non riesce a provare l’adozione di un sistema di sicurezza robusto e a norma, è tenuta a rimborsare integralmente il cliente, indipendentemente da una possibile disattenzione di quest’ultimo.
Cosa fare in caso di truffa e come proteggersi
Se si sospetta di essere caduti in una trappola di smishing, è fondamentale agire con rapidità. La prima cosa da fare è contattare immediatamente la propria banca attraverso i canali ufficiali per bloccare il conto, le carte e disconoscere le operazioni fraudolente. Successivamente, è indispensabile sporgere denuncia presso le forze dell’ordine.
Dopo aver bloccato tutto, si deve inviare un reclamo formale scritto alla banca, allegando la denuncia, per richiedere il rimborso delle somme sottratte. Se l’istituto nega il risarcimento, è possibile rivolgersi all’Arbitro Bancario e Finanziario, un sistema di risoluzione stragiudiziale delle controversie semplice ed economico. Per prevenire queste truffe, è utile seguire alcune semplici regole:
- Non cliccare mai sui link contenuti in SMS o email sospette.
- Ricordare che la banca non chiede mai le credenziali complete (password, PIN, codici OTP) via email, SMS o telefono.
- Accedere al proprio home banking solo digitando l’indirizzo del sito ufficiale nel browser o utilizzando l’app ufficiale.
- Diffidare di qualsiasi comunicazione che trasmetta un senso di urgenza o minaccia la chiusura del conto.
- In caso di dubbi, contattare direttamente la banca tramite il numero verde o recandosi in filiale.
Essere informati sui propri diritti e sulle modalità con cui operano i truffatori è il primo passo per proteggere i propri risparmi e far valere le proprie ragioni in caso di frode.
Per assistenza o per segnalare il tuo caso, contatta Sportello Consumatori.
Per assistenza contatta Sportello Consumatori
Via Fratelli Cervi 64, 00053 Civitavecchia
Segreteria telefonica e WhatsApp: 0766036164
Email: contattaci@sportelloconsumatori.org
