CAMPANELLO DI ALLARME

Sapete che Intesa Sanpaolo ha restituito 77.000 euro ad una vittima di “SIM-swap”?

La banca non ammette le proprie responsabilità ma risarcisce il cliente… chissà perché?

Il fenomeno del SIM-swapping dilaga e – mentre la clientela bancaria vive con disperazione le pesanti frodi online – ecco arrivare una buona notizia che squarcia la diffidenza nei confronti degli istituti di credito spesso ritenuti insensibili dinanzi a certe tragedie.

Perdete 5 minuti e arrivate fino in fondo per capire cosa è successo e come si possono rappresentare educatamente le proprie ragioni. Può valerne davvero la pena.

cos’è il SIM swap?

L’operazione criminale particolarmente in auge di questi tempi sfrutta il passaggio dal “token” al telefonino del cliente. Le banche hanno incentivato i propri correntisti a restituire il piccolo congegno che generava i codici segreti per l’esecuzione delle diverse operazioni via Internet e hanno ritenuto di inoltrare quelle sequenze numeriche mediante SMS.

Se il token rimane a casa in un cassetto, il telefonino è sempre con l’interessato. Comodo, certo, se si deve fare un bonifico tanto inatteso quanto urgente. Pericolosissimo se si pensa alla possibilità che il cellulare venga smarrito o rubato. Il vero rischio, in realtà, è che qualcuno si presenti ad un punto vendita di un operatore telefonico, simuli la perdita o la sottrazione del proprio apparato e (conoscendo il numero telefonico e le generalità della vittima prescelta) chieda il rilascio di una SIM sostitutiva.

Pur ritenuta inverosimile da molti scettici (lo si vada a raccontare a chi è incappato in simile sventura), la sostituzione (“Swap” in inglese) non sembra affatto una operazione impossibile e le conseguenze sono facilmente immaginabili.

Il cliente si ritrova con il telefono che smette di funzionare e il bandito – che possiede il clone funzionante – riceve i codici via SMS che lo abilitano a gestire in piena libertà il conto del malcapitato…

la storia del signor Fabio

Il signor Fabio, piccolo imprenditore agricolo di Ventimiglia, ha un conto presso l’agenzia di Intesa SanPaolo di Ventimiglia da cui – il 6 ottobre 2020 – vengono eseguiti in maniera fraudolenta tre bonifici BEU (Bonifico Europeo Unico SEPA) e una ricarica telefonica.

Lo stesso giorno Fabio si accorge che il proprio telefonino è “inattivo”. Attribuisce la circostanza ad una presumibile “carenza di credito” perché ancora non sa di essere vittima di una operazione fraudolenta di “SIM Swapping”.

Martedì 7, siccome è stato danneggiato dall’alluvione che ha flagellato la zona quattro giorni prima, arriva a pensare che il mancato funzionamento del cellulare sia imputabile all’esposizione all’acqua e, rimossa la SIM dal dispositivo, la lascia ad asciugare.

L’8 ottobre il telefono non è ancora operativo, viene effettuata una ricarica ma la situazione non cambia. Sabato 10 Fabio si reca nel negozio TIM “Modesti srl” per avere spiegazioni e gli viene consigliato di lasciar asciugare ancora il telefonino.

Il lunedì successivo, torna al Centro TIM dove, confermatogli che il numero è attivo, viene fatta una chiamata di prova a tale utenza cui risponde uno sconosciuto presumibilmente da Roma che si qualifica con il nome e il cognome della vittima.

la fragilità del telefono nelle procedure di autenticazione e autorizzazione

La circostanza permette di appurare che il tizio – con il presumibile uso di documenti contraffatti o di indebita copia di quelli originali del signor Fabio – ha ottenuto il rilascio di una SIM sostitutiva con la probabile dichiarazione di aver smarrito il proprio telefono. Il tutto avviene agevolato dal discutibile operato del punto vendita dove non sono stati eseguiti controlli di sorta o non sono state rispettate le sicuramente dettagliatissime disposizioni che scrupolosamente TIM ha impartito alla rete commerciale e che senza dubbio sono oggetto di costante e attento audit da parte delle specializzate articolazioni interne.

Il fronte “telefonico” esorbita senza dubbio dalle responsabilità bancarie, ma alla luce di tale fin troppo evidente possibilità truffaldina chi si sente di consigliare o imporre l’uso del telefonino al posto del token?

torniamo al nostro Fabio…

Scoperto l’avvenuto furto di identità e appreso che qualcuno sta usando un telefonino con il “suo” numero, Fabio corre dai carabinieri a fare denuncia.

Con quel pezzo di carta torna al Centro TIM, blocca l’utenza clonata e chiede di poter attivare una nuova SIM recuperando finalmente il suo numero.

La riattivazione dell’utenza originaria gli permette di ricevere sul proprio dispositivo una serie di messaggi SMS (già recapitati a suo tempo sul telefono nella disponibilità dei ladri della sua identità) contenenti codici di sicurezza inoltrati da Intesa Sanpaolo per operazioni bancarie che l’interessato non aveva mai effettuato.

Fabio continua la sua maratona e raggiunge immediatamente l’agenzia di Intesa Sanpaolo (che – a seguito dell’alluvione – eroga i propri servizi in un camper sulla piazza del Comune di Ventimiglia). Rappresenta l’accaduto ed ha conferma delle operazioni fraudolente che disconosce contestualmente chiedendone la revoca e domandando che sia disposto il blocco del conto.

In termini pratici Fabio era stato alleggerito di 77.487 euro finiti addirittura in Perù e di altri 280 destinati a rimpolpare il credito di un telefonino che ovviamente non era il suo…

come nelle fiabe …e vissero tutti felici e contenti

L’Istituto di credito ha inizialmente sostenuto di dover accertare – secondo le procedure di rito – le possibili responsabilità del cliente (pare abbondino i correntisti distratti o comunque poco accorti).

Fabio, ben comprendendo l’importanza di certi riscontri, mi ha chiesto per il tramite di un conoscente comune di aiutarlo. Anzi di aiutare Intesa Sanpaolo con una relazione tecnica che sarebbe stata sicuramente apprezzata dagli informatici e dai legali dell’importante istituto di credito, che dalla mia quindicina di pagine avrebbero potuto trovare utili spunti per dirimere la questione.

E così è stato. La mia piccola consulenza (che qui è disponibile in formato pdf nella speranza che possa essere utile per chi – trovandosi alle prese con fastidiose esperienze di SIM swapping – voglia scaricarla e approfittare di una buona base di partenza) sembra aver funzionato.

Il 25 febbraio scorso la Direzione “SEPA e incassi commerciali” di Intesa Sanpaolo (che probabilmente ha fatto tesoro delle mie considerazioni) ha mandato a Fabio una lettera in cui dice che “all’esito dei menzionati controlli non è stata rilevata alcuna anomalia del sistema informatico della Banca, che risulta totalmente estranea all’accaduto e non ha responsabilità nella vicenda”.

Oh diamine! E adesso?!?

La lettera (scritta forse con il piglio di un magistrale autore di coup de theatre) continua con un rassicurante “Fermo quanto sopra, si dà comunicazione che il menzionato accredito è da ritenersi definitivo”, frase che – prima dei consueti “distinti saluti” – ha confermato che gli oltre 77 mila euro erano definitivamente stati restituiti sul conto del signor Fabio.

Tutto è bene quel che finisce bene. A volte – come in questo caso – basta saper spiegare alla banca quei piccoli dettagli che aiutano a comprendere meglio quel che è successo così da appianare ogni asperità, chiarire ogni dubbio, risolvere i problemi.

Back to top button