Smishing: quando i cybercriminali utilizzano gli sms

La truffa informatica attraverso gli sms viene definita smishing: vediamo quando il cliente è vittima di una colpevole credulità.

Che cos’è lo smishing?

Sappiamo che il phishing è la truffa informatica che avviene attraverso email che contengono un allegato o un link dannoso.

Lo smishing è la truffa che avviene attraverso l’utilizzo di sms.

Infatti il nome deriva dall’unione dei termini SMS e phishing .

L’arbitro Bancario Finanziario sullo smishing

Nella Decisione N. 5481 del 01 marzo 2021 il Collegio di Roma dell’Arbitro Bancario Finanziario affronta il caso di una truffa avvenuta attraverso l’invio di sms con cui si richiedevano le credenziali di autenticazione ed i codici di autorizzazione di operazioni fraudolente.

Cliente vittima di credulità

Già nella decisione n. 3498/2012  venivano evidenziati i metodi attraverso i quali può realizzarsi la truffa informatica ove si afferma che, nei metodi “tradizionali” di phishing (o di smishing), “il cliente è vittima di una colpevole credulità [in quanto] portato a comunicare le proprie credenziali di autenticazione al di fuori del circuito operativo dell’intermediario e tanto più colpevole si rivela quell’atto di ingenuità quanto più si consideri tali forme di “accalappiamento” .

Tecniche ormai note anche al non espertissimo navigatore di Internet.

Nel caso affrontato dall’ABF invece, il subdolo meccanismo di aggressione ha luogo attraverso un sofisticato metodo di intrusione caratterizzato da un effetto sorpresa capace di spiazzare l’utilizzatore, grazie alla perfetta inserzione nell’ambiente informatico originale e nella correlata simulazione di un messaggio che a chiunque non potrebbe apparire che genuino.

LEGGI ANCHE: Hacker e Cracker. “Lo strano caso del Dottor Jekyll e del signor Hyde”.

Obbligo del prestatore di servizi di pagamento

In tali casi appare invocabile anche l’art. 8, comma 1, d.lgs. n. 11/2010, ai sensi del quale “il prestatore di servizi di pagamento che emette uno strumento di pagamento ha l’obbligo di: a) assicurare che le credenziali di sicurezza personalizzate non siano accessibili a soggetti diversi dall’utente abilitato a usare lo strumento di pagamento”.

Si tratta di un obbligo a contenuto organizzativo gravante in capo all’intermediario, a sua volta precisato dal  Provvedimento attuativo della Banca d’Italia del 5/07/2011.

A giudizio del Collegio, l’intermediario non ha fornito la prova della frode, del dolo o della colpa grave dell’utente, richiesta dall’art. 10, comma 2, d.lgs. n. 11/2010 .

Alla luce degli elementi di fatto e tenuto conto delle previsioni richiamate del d.lgs. n. 11 del 2010, ha ritenuto che la responsabilità delle operazioni di pagamento, oggetto di contestazione, gravi sull’intermediario e che la parte ricorrente abbia diritto ad ottenere il rimborso dell’importo complessivo ad esse corrispondente, al netto della franchigia di cui all’art. 12, comma 3, d.lgs. 11/2010.