SUCCEDE IN ITALIA: Il phishing sta prendendo di mira i clienti del gruppo Intesa Sanpaolo
Sono cliente Banca Intesa. Il 25 gennaio ho ricevuto un sms del mittente Gruppo ISP (da cui solitamente ricevo i messaggi dalla banca) che riportava “In seguito a tentativi di accesso anomali al tuo conto Intesa clicca sul seguente link per confermare i tuoi dati http://gestionedelcontowebunaux.com/intesa”.
Il link mi ha portato ad una piattaforma che riproduceva perfettamente quella della banca e con i miei codici ho avuto modo di accedere al conto online.
In seguito venivo contattato da un operatore dall’utenza 0118019200 che si presentava come addetto alla sicurezza di ISP. Questo conosceva tutte le mie generalità e faceva riferimento a dei movimenti recentemente realmente effettuati presso alcuni esercizi commerciali.
Mi informava inoltre di un tentativo di bonifico anomalo a favore di un soggetto sconosciuto che si trovava nella città di Lugano.
Confermato che l’operazione non era stata disposta dal cliente, il centralinista mi diceva che si sarebbe attivato per bloccarlo e che sarei stato richiamato alle 15.00. Nel frattempo ho richiamato il numero per verificare e l’utenza da cui ero stato contattato e rispondeva proprio il centralino di Banca Intesa. Alle 15, il “centralinista”, che poi si è rivelato farlocco, ha richiamato (come da suo impegno) dicendo che avrebbe inviato un codice per bloccare il bonifico.
Contestualmente arriva un sms, sempre dal Gruppo ISP, riportante il codice che comunicavo in diretta all’operatore con l’intento di bloccare il bonifico (ma in realtà lo stavo autorizzando).
Alle 16,30 ricevo una telefonata dalla filiale (vera) che avvisava di movimenti sospetti sul conto che mi portano allo scoperto che la prima segnalazione era una frode.
Nel frattempo erano stati effettuati due bonifici: uno di 1.480 e un altro di 435 euro.
Dopo il blocco della carta, il giorno successivo, recatomi in filiale per attivarne una nuova ricevo, mentre ero ancora davanti a un addetto della filiale, il codice di sicurezza per completare l’operazione di primo accesso alla creazione del Pin, dalla stessa utenza da cui avevo ricevuto il messaggio fraudolento.
Quindi la frode s è verificata da un numero ufficiale della banca.
L’avviso di frode non è arrivato dalle solite mail farlocche o da un numero mai visto.
Come può allora la banca dire che non ne ha la responsabilità?
G.A. – via e-mail
=====
Sono cliente Banca Intesa Sanpaolo.
Il 1° febbraio ho ricevuto un sms dal mittente Gruppo ISP con il quale mi si avvisava che un dispositivo non autorizzato risultava connesso al conto online e che per disconoscerlo avrei dovuto cliccare subito un link http://www.conferma-dispositivo.com.
Il link mi ha indirizzato a una pagina identica a quella della banca (online Banking), che uso giornalmente. Con i miei codici ho avuto modo di accedere al conto online. Appena effettuato l’eccesso è apparso un avviso informandomi che sarei stata stata contattata da un operatore di Banca Intesa Sanpaolo.
In poco meno di 30 secondi sono stata contattata da una persona che si presentava come addetto alla sicurezza di Banca Intesa Sanpaolo di Torino, chiamando dal numero 011-8019200.
Questa persona conosceva tutte le mie informazioni.
Insospettita ho quindi immediatamente contattato il servizio clienti di Intesa Sanpaolo, che mi ha confermato che era una frode confermando che erano state eseguiote due transazioni: un pagamento Pos di 1.461 euro e 493 euro sulla carta di credito con il medesimo beneficiario. (con tanto di nome e cognome).
Alle mie richieste di spiegazioni, la banca ha declinato qualsiasi responsabilità, anticipando che probabilmente non riconosceranno il danno, non rimborsando.
K.B – via e-mail
RISPONDE INTESA SANPAOLO
Siamo dispiaciuti di quanto accaduto ai nostri clienti, entrambi vittime di frodi informatiche di cui Intesa Sanpaolo non è in alcun modo responsabile, non essendo stati violati i sistemi di sicurezza della banca.
Le operazioni oggetto delle truffe sono state disposte previa immissione delle correte credenziali affidate alla custodia esclusiva dei clienti, presumibilmente carpite secondo le modalità del fenomeno fraudolento genericamente denominato phishing.
Attraverso campagne informative alla clientela, Intesa Sanpaolo invita a non fornire in alcuna circostanza informazioni o dati personali che potrebbero essere utilizzati in modo fraudolento. La banca ricorda inoltre periodicamente ai clienti che non chiede mai dati già in suo possesso e che richieste di questo tipo sono sempre riconducibili ad azioni fraudolente. Il gruppo Intesa Sanpaolo è fortemente impegnato a garantire la sicurezza dei propri clienti e a tale scopo, oltre alle diverse campagne di sensibilizzazione lanciate anche attraverso i canali social, ha inviato comunicazioni ad hoc via e-mail e tramite App e Internet e Mobile Banking.
Intesa Sanpaolo ha inoltre dedicato un’ampia sezione del proprio sito Internet alla sicurezza informatica, così da tenere costantemente aggiornata la propria clientela offrendo tutte le indicazioni per proteggersi da fenomeni di questo tipo.
Al link https://www.intesa-sanpaolo.com/it/common/landing/antiphishing.html sono disponibili le descrizioni delle diverse tipologie di frode (phishing, smishing, vishing, swap sim etc.) e vengono forniti alla clientela importanti consigli su come riconoscerle e, possibilmente, evitarle. Sempre sul sito internet di Intesa Sanpaolo sono disponibili strumenti e informazioni sulle campagne internazionali di sensibilizzazione a cui la banca ha collaborato insieme ad Europool, l’agenzia dell’UE il cui obiettivo principale è quello di contribuire a realizzare un’Europa più sicura a beneficio di tutti i cittadini, tra cui citiamo “No More Ranson” e “Cyber-Scams”. Il Gruppo Intesa Sanpaolo supporta le principali istituzioni italiane e internazionali nel contrastare questo fenomeno anche attraverso il rafforzamento del quadro regolamentare e collabora costantemente con le forze dell’ordine per contribuire a ridurre e a mitigare gli impatti di questi reati. La collaborazione è essenziale per combattere le frodi online, per questo è necessario che tutti facciano la loro parte: i clienti stessi, custodendo con cura i propri codici, le banche, continuando a investire in sicurezza e prevenzione; gli operatori telefonici, verificando scrupolosamente l’identità dei clienti che chiedono un cambio sim e bloccando la manipolazione dei numeri mittenti di telefonate e sms; le istituzioni nazionali e comunitarie, semplificando la legislazione in materia e consentendo la velocizzazione dei tempi di reazione delle forze dell’ordine: Intesa Sanpaolo investe molto nella cybersecurity e sulla prevenzione delle frodi.
DA PLUS24 DEL SOLE 24 ORE DEL 6 MARZO 2021
Regole anti phishing
- Non comunicare mai a nessuno i codici personali di accesso o quelli ricevuti via sms per confermare le operazioni;
- Controllare che l’indirizzo del mittente delle e-mail sia corretto. Non cliccare su link nel testo e non aprire gli allegati;
- Se si ricevono sms a nome della banca con link e siti web si tratta di una frode non cliccare;
- Digitare direttamente l’indirizzo del sito web che si vuole visitare, senza cliccare sui link di comunicazioni ricevute;
- Cancellare tutte le comunicazioni che sembrano sospette. Nel caso si voglia contattare la banca, utilizzare i suoi canali ufficiali;
- Nel dubbio, le banche raccomandano di contattare subito e direttamente il servizio clienti della banca o la propria filiale di riferimento.
