Truffato il 6 maggio con tecnica Call id spoofing (che a posteriore ho scoperto di cosa si trattasse), stranamente capita ai clienti di ING, forse perchè qualcuno ha accesso ai dati bancar? difficle da dimostrare ma sorge il dubbio. Chi mi ha mando il SMS sapeva che ero un cliente ING perchè mi capita di ricevere mail a "tentativi" da parte di sedicenti istituti di credito con i quali non ho nulla a che fare ma mai SMS.

Poi riguardo i sistemi di sicurezza, il servizio antifrode mi deve spiegare come mai nel 2024 è possibile installare l'app di ING in un dispositivo senza certificare il numero di telefono, spiegatemi come sia possibile effettuare delle operazioni solamente tramite token (che si imposta sempre dalla app) in assenza un secondo fattore di autorizzazione (ad esempio OPT inviato sul cellulare, come fanno tante banche).

Di tutti i conti bancari che ho avuto ING è sempre e solo l'unico sul quale sono stato truffato.

 

Semper riguardo i sistemi di sicurezza: mi spieghi l'ufficio antifrode come sia possibile, registrare due accessi insoliti a distanza di pochi minuti, cambiore il token dopo due minuti, effettuare circa 15 operazione a raffica  utilizzando carta di credito e di debito, alcune autorizzare, altre no (sulla base di cosa) e non aver il minimo dubbio chelutenza sia stata  manomessa?

Mastercard, Nexi e ING, mai più

ING non fa tutto quello che può, se evesse implementato un sistema di autenticazione a due fattori, non mi avrebbero truffato

@benjo77  ha scritto:

ING non fa tutto quello che può, se evesse implementato un sistema di autenticazione a due fattori, non mi avrebbero truffato

*****

 

Scusami se mi permetto di contestare questa affermazione, ma tutte le banche, anche per normativa europea sono tenute ad assicurare l'autenticazione a due fattori e ING non fa eccezione alla regola.

Primo fattore di autenticazione sono i dati solo a conoscenza del cliente: cod. cliente, dati anagrafici, PIN (3 cifre random)/ secondo fattore (non a conoscenza dell'utente) smsOtp o Token mediante app su singolo smartphone.

Il problema è che i frodatori on-line sono (a volte) - con elaborate techiche di phishing - in grado di aggirare questi 2 fattori.

Oggi come oggi è facilissimo far comparire numeri di telefono di altri e spacciarsi quindi magari proprio per gli Uffici antifrodi degli istituti finanziari che spingono ad effettuare delle operazioni proprio facendo leva sul timore che il proprio account sia stato violato.

Regola di difesa assoluta: mantenere la calma non clickare o tappare su link mandati appositamente per carpire tutti i dati dell'utente!

Riagganciare e chiamare noi il call center della banca per avere maggiori informazioni.

A beneficio della Community invito alla lettura di questo articolo

Considero, infine, questa risposta quale contributo alla mia chiamata in causa di @MIRKOSARA sull'argomento, anche se nel primo caso si era ipotizzato un coinvolgimento di dipendenti della banca che potevano verificare il saldo del conto.

Ipotesi assolutamente da verificare e da dimostrare.

Che ben venga la contestazione delle mie affermazioni, sta di fatto però che sul primo fattore, alcuni dei miei dati, sono stato fregato perchè ho effettuato il login su un sito contraffatto, e mi permetto anche bene, protocollo di comunicazione https://, certificata indentificato da google "safe", con tanto di lucchetto chiuso, sul secondo fattore avrei da ridire; chi mi ha truffato si è installato l'app sullo smarthpone di sua proprietà e questo passaggio è avvenuto in maniera indisturbata (unicredit ha certificato il dispositivo tramite SMS, anche Findomestic),  successivametne due accessi dallo stesso, con tanto di notifica mail da parte di ING che segnala due accessi insoliti, alle 20.36 ed alle 20.38, alle 20.40 si creava il Token, sempre indisturbato e successivamente spendeva quanto possibile, utilizzano sempre il Token che si era creato sulla APP, un'autenticazione forte prevede due fattori indipendenti, in questo caso il log tramite APP e l'autorizzazione tramite Token creato dall'app, non mi sembrano tanto indipendenti, un SMS sulla mia utenza telefonica a mio giudizio lo sarebbe stata, in quel caso mi sarei accorto della truffa, non avrei inserito nessun codice monouso ad autorizzare le operazioni, ho il con BBVA ed utilizza questo metodo, nessuno mi convincerà al telefono che devo autorizzare un acquisto per mettere in sicurezza le mie carte.....

A questo punto ritorno a carta e penna, guardarsi negli occhi ed andare avanti. Comunque quanto ho sottoscritto il conto arancio,  tanti anni addietro, veniva consegnata una scheda con dei codici, ogni qualvolsta effettuvo un'operazione mi chiedeva 3 cifre random prese da gruppi differenti con una pressochè inifinita serie di combinazioni, posso dire che quel sistema era più sicuro. 

Altro dilemma, perchè alcune operazioni autorizzare ed altre negate? di questo ING non risponde.

Poi mettetevi nei miei panni, poco prima delle 22 blocco le carte, nottetempo vedo dove sono stati spesi i soldi, Netlfix, Ebay e due negozi online, mando mail, chiamo il servizio clienti, spiego l'accaduto e chiedo quantomento di verificare le mie affermazioni:

- L'operatrice di Neflix scopre che è stato sottoscritto un abbonamento con la carta intesta a mio nome ma il titolare dell'abbonamento non è a me riconducibile, blocca l'account e mi restituisce immediatamente i soldi.

- Ebay dice che non può farci nulla, scopre che è stata acquistata una macchinetta del caffè da un account a me non riconducibile, tuttavia non può (a detta loro) bloccare la spedizione nè avvisare il venditore

- Gli store online hanno parto uina segnalaziole.

Mi fossi svegliato dal coma dopo settimane, potrei capire ma considerato che di notte non vengo evasi gli acquisti, perchè non sospendere il pagamento in attesa di verifiche?

Mi sento truffato due volte, in ogni quanto ho scritto lo presento lunedì all'ABF ed eventualmente in tribunale, voglio che un giudice mi spieghi dove ho sbagliato, premettendo sempre che sono stato truffato, se qualcuno scippa la borsa ad una persona anziana è colpa sua perchè è anziana?

@benjo77 se qualcuno scippa una vecchietta la colpa certamente non è del'anzisns ma, in questo caso,nessuno le rimborserà il denaro. Quando si richiede un rimborso o un risarcimento come nel tuo caso, ad un soggetto che non è il truffatore, bisogna dimostrare di aver posto in essere le precauzioni "del buon padre di famiglia" affinché il fatto non si generasse. Alla banca è richiesta una diligenza maggiore (la diligenza professionale o dell'accorto banchiere). Avrai certamente modo di motivare le tue ragioni all'abf (o alla giustizia ordinaria ove una delle parti non accettasse l'esito dell'arbitrato). Purtroppo, da clienti come te,non possiamo esprimere giudizi non avendo contezza assoluta di quanto accaduto ne tantomeno abbiamo modo di ascoltare la repliche della banca. Posso dire comunque che questo genere di truffe colpisce i clienti di tutte le banche e se si è convinti che ing sia più fragile in sicurezza rispetto ad altri istituti è perché questo istituto (unico nel panorama bancario) offre la community sulla quale è possibile postare i propri problemi o reclami in libertà (i clienti soddisfatti non postano, postano coloro che lamentano comportamenti ritenuti censurabili). Facci sapere, se lo riterrai, come andrà a finire il ricorso Abf

Sinceramente ho quattro  conti bancari tutti online e con la finalità di limitare i danni relativi ad un eventuale uso fraudolento. Ho la percezione che ING sia più debole perchè è l'unico conto che più di una volta mi ha dato problemi. In ogni caso dato che l'ufficio dispute e l'ufficio antifrode non possono essere contattati per un confronto, ho inviato una segnalazione alla banca d'italia con richiesta di giudicare "efficaci" o "deboli" i dispositivi di sicurezza applicati dalla banca e presentata una richeista all'ABF con la speranza di recuperare i soldi.  Lamento anche il comportamento degli esercenti che essendo stati avverti per tempo, e questo è ampiamente documentato, potevano intervenire sospendendo la compravendita.

In ogni caso apprezzerei avere delle risposte su quesiti specifici:

1) perchè il dispositivo sul quale viene installata l'app non viene certificato? (ad es. come fa Unicredit)

2) perchè le operazioni non vengono autorizzate da un Token? (ad es. come fa BBVA)

3) perchè l'ufficio antifronde dopo aver registrato due accessi da un dispositivo mai utilizzato prima ed aver cambiato il token non ha ritenuto opportuno bloccare il conto?

4) perchè alcune operazioni sono state autorizzate ed altre negate?

Non posso accettare la risposta implicita "ti sei fatto fregare i codici e le operazioni sono state effettuate in qualche modo e da qualcuno che non sei tu ma rispettando i nostri sistemi di sicurezza".

Spero di ricevere un commento di risposta a qualunque titolo ma che consideri questi quattro quesiti; nel frattempo di seguito qualche sentenza a favore di alcuni correntisti ai quali è accaduta la mia stessa disavventura:

 

"

Nella giornata di ieri il Tribunale di Genova ha pubblicato un provvedimento, a firma del Giudice Chiara Russo, che riguarda la frode subita da un cliente di Ing Bank, protagonista di un caso di SMS spoofing. Si tratta di una tecnica che prevede l’invio di SMS trappola, facendolo risultare spedito da un mittente certificato, come ad esempio la propria banca. In questo modo il messaggio appare sullo smartphone della vittima nella chat di quel mittente, con cui esiste già uno scambio di messaggistica più o meno rilevante, facendo cadere immediatamente in errore il destinatario. Il Tribunale di Genova ha disposto il rimborso del cliente, che è riuscito a recuperare circa 12mila euro, aggiungendo un elemento di novità importantissimo nelle truffe bancarie, ovvero stabilendo che le vittime di questo tipo di frodi sono oggetto di attacchi mirati. Una sentenza che l’associazione Codici evidenzia per mettere in guardia i consumatori e richiamare l’attenzione di Bankitalia.

La truffa ed il rimborso 

“La vicenda risale al giugno 2021 – spiega l’avvocato Carmine Laurenzano, legale di Codici –, quando il nostro assistito riceve un SMS, proveniente da un numero riferibile allo stesso istituto, in cui viene informato di tentativi di accesso al conto. Questo avviso è accompagnato dall’invito a collegarsi all’App della banca, confermando i propri dati attraverso un link. L’SMS era in coda a tutti quelli ricevuti in precedenza, motivo per cui il cliente si è fidato della comunicazione ed ha cliccato sul collegamento, inserendo i propri dati per sventare la truffa. Tempo pochi minuti ed arriva la chiamata di un sedicente operatore di Ing Direct, che conferma l’accesso fraudolento da un dispositivo sconosciuto. Dopo un nuovo SMS, sul medesimo thread di messaggi da cui riceve comunicazioni da parte della banca, che conferma il blocco delle operazioni indesiderate, una nuova chiamata dal sedicente operatore Ing, sempre dalla stessa utenza telefonica, comunica il buon esito dei blocchi sulle operazioni indesiderate. All’apparenza tutto risolto, ma in realtà è l’ultimo atto della truffa, che si concretizza nel giro di poche ore in un bonifico di 14.900 euro a favore di un conto corrente intestato ad un soggetto sconosciuto. Da qui il disconoscimento dell’operazione, che ha innescato una serie di azioni che hanno permesso di arrivare a recuperare quasi l’intera somma rubata. È bene sottolineare che l’operazione che ha innescato la truffa non è stata autorizzata né tramite invio di codici PIN né Token. Il nostro assistito non ha rilasciato nessun codice di autenticazione cosiddetto ‘forte’. Le presunte operazioni per bloccare gli accessi fraudolenti, invece, sono state fatte sulla App ufficiale di Ing Bank, in seguito a SMS ricevuti sul thread riferibile al numero ufficiale dell’istituto. Dal canto suo la banca non ha notificato né bloccato i movimenti sospetti. Come rilevato dal giudice del Tribunale di Genova, aprendo finalmente un nuovo scenario nella tutela del consumatore, l’istituto non ha adottato tutti i migliori accorgimenti della tecnica per scongiurare il rischio di impiego fraudolento degli strumenti di pagamento e del comportamento fraudolento o gravemente colposo dell’utilizzatore, tale da escludere la sua responsabilità”.  

Dati personali a rischio 

Il nodo centrale della questione, che emerge in maniera netta dalla sentenza del Tribunale di Genova, sono le modalità con cui avvengono le truffe. La vittima non è stata oggetto di una comunicazione massiva, ma di un attacco mirato, in questo caso fatto con SMS e chiamate specifiche e precise. Il truffatore ormai sa perfettamente chi contattare. Questo significa che, come rilevato dal Giudice, i malviventi riescono ad impossessarsi di dati personali e contatti non attraverso il cliente-vittima, ma sfruttando le lacune dei sistemi di sicurezza delle banche. Ed è qui che l’associazione Codici ritiene si debba intervenire. Bankitalia deve prendere atto che si devono garantire i clienti con misure maggiori e gli istituti devono migliorare gli strumenti di difesa. Le campagne informative sono senz’altro preziose, ma purtroppo da sole non bastano a mettere al riparo i clienti dalle truffe, sempre più difficili da riconoscere e, come dimostra questa vicenda, soprattutto mirate, volte a colpire bersagli specifici."

 

"

La Corte di Cassazione ha determinato con una sentenza che, in determinati casi, il cliente di una banca che ha subito danni economici a causa di una truffa tramite il metodo del phishing attuato con mezzi che imitano comunicazioni dell’istituto di credito stesso deve essere risarcito.

Saranno proprio le banche stesse o, come nel caso specifico, le Poste o altri istituti che propongono prodotti simili al conto corrente, a doversi fare carico del risarcimento. La sentenze segue alcune decisioni di arbitrato finanziario che avevano dato ragione alle vittime di truffa e avevano costretto gli istituti di credito a pagare un risarcimento.

La sentenza della Cassazione: i clienti vanno risarciti in caso di phishing

La sentenza 3780/2024 della Corte di Cassazione sancisce che le banche sono obbligate ad adottare “soluzioni idonee a prevenire o ridurre l’uso fraudolento dei sistemi elettronici di pagamento”, o potranno essere costrette a risarcire i propri clienti che hanno subito una truffa tramite il metodo del phishing.

La Suprema Corte ha respinto in questa specifica situazione il ricorso presentato da Poste Italiane contro un uomo che era stato truffato tramite una email. Poste è stata quindi condannata, come da sentenza di appello, al pagamento di 2.900 euro sottratti alla vittima da alcuni hacker.

Ciò che la sentenza sottolinea, come riportato attentamente nella motivazione, non è la colpa a priori dell’istituto bancario, in questo caso le Poste, ma un altro tipo di negligenza. Secondo quanto deciso, la banca non avrebbe fatto tutto il possibile per prevenire quanto accaduto, sia a livello informativo che a livello di precauzioni di sicurezza informatica.

Di conseguenza, in casi futuri, soltanto quando il collegio difensivo riuscirà a dimostrare la grave colpa dell’utente nello sviluppo della truffa, potrà svincolarsi dal dovere di ripagare quanto è stato rubato dal suo conto corrente grazie al phishing."