Sito, numero di telefono e app tutti “clonati”, dati sensibili di migliaia di clienti “carpiti”, ma Intesa S. Paolo se ne lava le mani

La Banca si rifiuta di riaccreditare le somme prelevate indebitamente a una commessa di Venezia, una delle tante vittime del phishing che ha colpito i suoi correntisti: “colpa sua”

Centinaia di clienti truffati nel solo Veneziano, alcuni per svariate migliaia di euro, e tutti “agganciati” per le evidenti “falle” del suo sistema di sicurezza informatico, ma per Intesa San Paolo la colpa è solo dei correntisti. Niente rimborso dei prelievi truffaldini. E’ una risposta disarmante quella ricevuta dalla “sua” Banca da una ventinovenne commessa che lavora in Centro Storico a Venezia, una dei tanti sventurati rimasti vittima di un colossale “phishing” che continua a registrare casi. La giovane, peraltro, ha subìto il raggiro a novembre, quando la truffa on-line stava cominciando, non si era ancora sparsa la voce e l’istituto non aveva messo in guardia i clienti.

Le modalità sono le solite, ora tristemente note. La donna venerdì 13 novembre 2020, alle 16.49, riceve un sms sul cellulare dal Servizio Intesa San Paolo in cui la si informa che stanno sospendendo i servizi sulle utenze on-line per mancato aggiornamento e si allega un link che riporta al sito dell’istituto, in tutto identico a quello originale, invitando ad accedervi. Operazione che la malcapitata effettua, dopodiché sul suo cellulare arriva un altro messaggio dove si spiega che ignoti hanno tentato di effettuare un accesso sull’Home Banking del suo conto corrente e le si chiede di aggiornare i dati. La cliente, senza comunicare in alcun modo le sue credenziali di accesso, tenta più volte di accedere alla sua Home Banking con i propri dati tramite l’App Intesa San Paolo, che però è bloccata. Sempre più preoccupata, apre nuovamente il link, che ora le chiede di verificare i dati di sicurezza personali. Solo allora inserisce le sue credenziali di accesso nel tentativo di sbloccare l’App, che effettivamente torna a funzionare.

Successivamente, sulla schermata le appare l’avviso che sarebbe stata chiamata da un operatore per la verifica dei dati inseriti. La correntista infatti viene contattata dal numero 800.303.303, associato al Servizio Clienti Intesa San Paolo, attraverso il quale le viene chiesta la conferma dei dati personali (nome, cognome, data di nascita e codice fiscale) e le viene fornito un codice sul telefono che poi la vittima ri-comunica, per verificare che tutto sia a posto. L’operazione-frode è compiuta. Pochi minuti dopo iniziano ad arrivarle svariati messaggi che la avvisano che sono stati effettuati pagamenti, da lei ovviamente non autorizzati. La giovane chiama subito il numero verde del servizio clienti della banca ma le risponderanno solo dopo 22 minuti di attesa, evadendo la pratica e bloccandole il conto. Nel frattempo però i prelievi truffaldini sono continuati: alla fine saranno 7, per complessivi 2.900 euro.

Il lunedì seguente la commessa si è recata nella sua filiale dove le hanno sbloccato il conto fornendole nuovi codici di accesso, e l’indomani ha sporto denuncia dai carabinieri, avviando una pratica di disconoscimento dei prelievi presso Intesa. L’istituto le ha provvisoriamente riaccreditato la somma spillata, ma alla fine dell’istruttoria, a febbraio, se l’è anche ripresa. La direzione centrale “Operations” della banca, pur dicendosi dispiaciuta per le modalità con cui si è perpetrata la frode e dichiarando di comprendere lo stato di disagio della cliente, le ha comunicato che “non è possibile accogliere la richiesta di rimborso in quanto il movimento disconosciuto risulta essere stato effettuato con l’utilizzo di un supporto elettronico al quale è stata associata la sua carta, escludendosi ogni forma di clonazione”. A quel punto la ventinovenne, per essere assistita e risarcita, tramite il responsabile delle sedi di Mestre, Riccardo Vizzi, si è affidata Studio3A-Valore S.p.A., società specializzata a livello nazionale nel risarcimento danni e nella tutela dei diritti dei cittadini, che segue anche altri clienti di Intesa rimasti vittima del medesimo raggiro e che, con i propri Servizi Legali, ha immediatamente presentato formale reclamo, contestando in toto la risposta dell’istituto.

Nella lettera si mettono in risalto le gravi falle nel sistema di sicurezza in uso a Intesa San Paolo, tali da consentire ai truffatori informatici la clonazione dell’intero sito web della banca e del numero telefonico del servizio clienti nonché l’intrusione nell’app Intesa San Paolo. Senza contare la responsabilità ancora più evidente per non aver adottato accorgimenti o sistemi idonei a prevenire l’illecita captazione dei dati dei correntisti, e della Banca stessa, il cosiddetto phishing, e gli accessi non autorizzati, e per non aver ritenuto sospetti sette bonifici eseguiti in pochi minuti, verificandone l’effettiva riconducibilità alla volontà della titolare del conto. Gravità delle lacune confermata anche dal fatto, incontestato, che migliaia di correntisti hanno subito l’identica truffa, la “prova delle prove” della negligenza della banca nel non aver posto tempestivo rimedio “all’attacco” hacker dei malviventi. Di qui la diffida all’istituto a riaccreditare subito le somme carpite alla propria assistita, ma con lettera del 21 luglio l’ufficio Reclami e “Qualità” di Intesa ha ribadito il suo diniego, non smuovendosi di un centimetro e negando anche l’evidenza: a questo punto si aprono le porte delle vie legali per quella che potrebbe diventare una corposa class action.