Si chiama vishing ed è una forma di truffa simile alla più nota phishing. Quella, cioè, effettuata su internet con l'invio di false email da parte di istituto postali o bancari. L'obiettivo dei truffatori, comunque, è sempre lo stesso: ottenere informazioni utili ad entrare nei conti dei malcapitati, ma non più tramite un click, bensì al telefono. E ad esserne rimasta vittima, a metà giugno, è stata una giovane coppia veneta che ha raccontato a Fanpage.it la propria disavventura. Un tranello che gli è costato ottomila euro di risparmi, ma con qualche presunta zona d'ombra sulla gestione di alcune informazioni personali e col numero verde dell'istituto utilizzato dai truffatori per ingannare i risparmiatori.

Tutto è cominciato lo scorso 25 giugno, poco prima delle 18. Sul telefonino di una donna arriva la chiamata proprio del numero verde della sua banca, Banca Sella. “Ce l'ho anche memorizzato, l'ho sentita altre volte, era normale per me ricevere una chiamata dalla mia banca” spiega la vittima. Dall'altra parte del telefono un uomo si presenta come un dipendente dell'istituto, ufficio frodi. Sostiene che ci siano strani movimenti segnalati a Lugano sul conto della coppia e che i risparmi vanno immediatamente messi in sicurezza su un'altra carta, per evitare truffe. “Hanno i suoi codici, i suoi dati sensibili, hanno tutto” dicono dal finto ufficio frodi, mettendo anche in evidenza una certa conoscenza della risparmiatrice. “Facevano riferimenti a movimenti passati -sottolinea la donna- e sapevano che qualche mese prima avevo bloccato una carta”. Dicono che proprio tramite questa carta bloccata i truffatori sono riusciti a mettere in pericolo i risparmi della coppia, che non c'è tempo da perdere. “C'era una voce molto agitata, diceva dobbiamo muoverci, quindi gli ho dato i codici -continua la vittima-. Evidentemente però i loro tentativi non andavano a buon fine e quindi hanno riprovato per sei volte in 25 minuti”. E in tutto questo tempo, raccontano i due, dalla banca non è arrivato “nessun alert, una chiamata, niente”.

Alla fine della telefonata, parte così un bonifico da ottomila euro, cioè tutto quello che c'era sulla loro carta di credito, intestato a tale Bruno Strazzullo, evidentemente un nome di fantasia, con causale “invio” e conto corrente su una banca digitale tedesca, la N26.  “Nessuno ci ha dato un minimo di tutela -aggiunge il marito della donna-, un minimo di garanzia, di sicurezza. Neanche una parola di conforto che magari un correntista si aspetta in un momento così delicato. Abbiamo cure da effettuare, tasse da pagare e non so come fare. Lo abbiamo fatto presente alla banca, ma ci è stato detto che non sono loro problemi”.

Seguendo anche le indicazioni dello stesso istituto, la giovane coppia ha così sporto denuncia contro ignoti, affidando le indagini alla Polizia Postale. “L'abbiamo poi inoltrata a loro per fare una richiesta di ritorno del bonifico, ma ci è stato detto che le possibilità sono scarse -aggiunge l'uomo- anche perchè noi potremmo essere in malafede. Quindi la banca non è tenuta a nessun rimborso, se non tramite un tentativo di recall”. In alcune circostanze, infatti, è possibile procedere con la revoca di un bonifico bancario già inoltrato, attraverso il recall, cioè lo storno, il richiamo del bonifico. Le modalità sono di volta in volta specificate nel contratto che si è firmato con l’ente creditizio e in particolare, in alcuni casi specifici, proprio come frode, errore tecnico o doppio bonifici, una volta ricevuto l’ordine di pagamento, gli istituti bancari possono tentare un “richiamo” ma solo con il consenso del beneficiario. “Figuriamoci se un truffatore è disposto a far tornare la somma a chi l'ha rubata: è passato più di un mese -dice ancora l'uomo- e ancora non abbiamo avuto alcun riscontro in merito”.

La leggerezza della giovane coppia truffata, sebbene il colpo fosse stato studiato molto bene dai malviventi, rimane comunque un dato di fatto. “La cosa che lascia più perplessi è che questi soggetti siano entrati in possesso di informazioni relative a dati personali che evidentemente i clienti non possono aver dato” sottolinea il legale della coppia, l'avvocato Massimiliano Briganti. Stessa dose di perplessità anche sul fatto che abbiano usato il numero verde della banca e sugli alert mai partiti per evitare il tentativo, poi riuscito, di vhishing. Con questa tecnica, “addirittura entrano, attraverso falsi account, in trattative commerciali con importi di 40, 50 e anche 200mila euro”, spiega l'avvocato, che a Banca Sella ha già mandato, nelle scorse settimane, una lettera di diffida. La risposta è arrivata qualche giorno fa. “È firmata dall'ufficio reclami -dice una delle due vittime-. Ammettono che i truffatori stanno usando quel numero verde da diverso tempo, che durante il lockdown le truffe sono aumentate e che non si tratta dell'unico istituto colpito da questo. Ma non hanno fatto alcun riferimento a eventuali dati sensibili e agli alert che non sono mai partiti. Io mi auguro che per la tutela dei risparmiatori ci sia anche un controllo da parte del Garante della privacy, perchè l'unica risposta che ci è stata data in merito è che la priorità della banca è la sicurezza dei risparmiatori e che quindi non c'è stata nessuna fuga di dati. Questo però è stato scritto con una riga, in una mail dell'ufficio reclami, senza uno straccio di prova. Senza un'attestazione -conclude l'uomo- che spero quanto meno siano in dover dare alla gente che è stata truffata”.

Banca Sella, tramite il suo ufficio stampa, fa sapere che “per riservatezza dei clienti, ovviamente, la banca non può parlare del caso specifico, però in linea generale si possono evidenziare alcuni aspetti. Il primo riguarda gli elevati standard di sicurezza con cui vengono fatte le operazioni come la disposizione di un bonifico, introdotti l'anno scorso dalla normativa europea Pds2: quando per ci si autentica all'internet banking ci sono sempre due livelli di sicurezza, cioè una password che conosce solo il cliente e una OTP, one time password, generate dall'app o tramite sms. Inoltre, per le operazioni applichiamo il requisito più stringente previsto dalla normativa, che si chiama Dynamic Linking, ossia: nel momento in cui si deve autorizzare un'operazione come un bonifico, mandiamo ai clienti o una notifica push oppure un sms sul cellulare, quindi su un dispositivo diverso rispetto a quello da cui si opera, con un testo in cui si chiede di autorizzare il bonifico verso un altro conto. In questo modo il cliente ha tutti gli elementi per capire cosa sta accadendo. Il secondo aspetto -fa ancora sapere la banca- è che proprio per evitare situazioni spiacevoli per i clienti stiamo facendo, e abbiamo fatto sempre in passato, molte campagne di informazione su tutti i canali su cui si collegano i clienti per spiegare che la banca non chiederà mai i codici per autorizzare un'operazione e che i clienti non devono assolutamente mai dare informazioni e codici al telefono o tramite qualsiasi altro canale”.

Sul numero verde dell'istituto utilizzato dai truffatori, “sappiamo che in quelle settimane ci sono stati dei tentativi di truffa tramite questa tecnica che hanno riguardato tutte le banche italiane, non solo noi. Poi sono scattate anche diverse denunce e operazioni di polizia”. Sulle informazioni personali dei clienti truffati, invece, la replica è che “i truffatori li recuperano tramite il database di altri siti, utilizzandoli per accreditarsi con le vittime come operatori della banca”. Riguardo gli alert che non sarebbero mai arrivati, infine, la banca ricorda che “nel momento in cui si dà l'ok, si autorizza il bonifico”. E quindi, a quel punto, la truffa è ormai riuscita.