Truffate due donne a Napoli, con la tecnica della “Sim Swap” (scambio della scheda sim). Questo tipo di truffa riguarda il furto di identità finalizzato a realizzare, con le sue credenziali, operazioni bancarie, in particolare bonifici. La banca Intesa Sanpaolo e Telecom Italia sono state condannate a risarcire il 50% dei 29 mila euro rubati.
Sim swap: donne truffate a Napoli
Le protagoniste di questa storia sono Anna D. e Maria Rosaria S. Alle due donne, sono stati sottratti in totale 29mila euro. Nelle indagini sono state evidenziati altri colpevoli oltre i truffatori. Alcune colpe le hanno anche le due vittime, oltre alla banca Intesa San Paolo ed a Telecom Italia.
Come riporta Il Mattino, Anna e Maria Rosaria erano titolari di un conto corrente presso la banca Intesa Sanpaolo. Il 24 maggio 2020, dal suddetto conto, sono partiti due bonifici sospetti. Il primo da 15 mila euro, diretto in Spagna. Il secondo da 14 mila euro, indirizzato invece verso l’Italia. Nessuna delle due operazioni è stata effettuata dalle due intestatarie del conto ma da un truffatore in possesso delle credenziali per accedere al conto.
La truffa
Il primo accesso all’account causa l’invio di una segnalazione, tramite la relativa app, ai due cellulari collegati a quel conto, per confermare l’identità. Il truffatore però, sfruttando la possibilità di aggirare l’accesso, fa inviare un sms a un numero di cellulare diverso rispetto a quello collegato all’app. Cosi il malvivente procede al furto dei dati anagrafici delle intestatarie del conto, accedendo facilmente alla sezione nell’app della banca.
Dopodiché, il truffatore imposta le tre cosiddette “domande segrete”. Un’ulteriore misura di sicurezza, che non erano stata impostate dalle correntiste. Anche in questo caso, ad entrambi i cellulari collegati al conto viene inviato un messaggio di avviso tramite l’app. Passano i tre giorni necessari per attivare le nuove “domande segrete” e qualcuno, utilizzando una denuncia di smarrimento della Sim e un documento contraffatto, si fa consegnare da un rivenditore Tim una sim sostitutiva del numero di cellulare, perfezionando così una truffa del tipo “Sim swap”.
Il documento presentato per il cambio sim però, stando a quanto si evince dalla sentenza e dalla Ctu, presenta almeno due evidenti errori. Il carattere del numero di serie è in grassetto e la data di scadenza è inferiore ai dieci anni prescritti.
Poco dopo, utilizzando gli sms pervenuti a tale numero “clonato” e le domande segrete appositamente impostate, l’aggressore entra nel conto ed effettua quattro bonifici. I primi due bloccati dal sistema antifrode della banca, poi altri due rispettivamente da 15.000 e 14.000 che vanno a segno. Anche, durante tali operazioni, ai due cellulari collegati al conto sono stati inviati messaggi push tramite l’app della banca, che segnalavano un accesso al conto e sollecitavano l’utente a contattare la filiale.
La sentenza
Stando alla sentenza finale, Intesa Sanpaolo deve ritenersi responsabile della truffa subita dalle sue clienti. “non basta possedere un sistema di sicurezza certificato secondo la normativa vigente, in quanto il sistema può sempre subire incidenti”. La banca avrebbe potuto adottare, ma non lo ha fatto, un sistema immune dal tipo di truffa di cui furono vittime Anna e MariaRosaria.
La banca avrebbe dovuto negare, in caso di mancanza di connettività, la possibilità di accedere temporaneamente al conto inviando un codice via sms e quella di reimpostare le credenziali d’accesso senza passare per la filiale. Ciò ha reso possibile l’accesso a malintenzionati al conto delle clienti tramite un cellulare che non fosse quello in possesso del titolare del conto stesso non solo, ma per il truffatore fu possibile leggere a video i dati del documento d’identità della correntista, il che non sarebbe dovuto accadere, perché consentì al truffatore di chiedere una nuova carta sim per quel numero di telefono.
Infine, il sistema antifrode della banca, in occasione delle operazioni fraudolente, pur attivandosi, non adottò misure radicali ma necessarie ed opportune, come bloccare l’account, il che avrebbe evitato le operazioni truffaldine.
