Cerca e trova immobili
«Mio padre è stato truffato per 5'500 franchi. Ma Sunrise pretende che paghi» Dei criminali sono riusciti a entrare nell’account di un 59enne del Luganese, acquistando quattro Iphone, più abbonamenti e carte SIM.
Sunrise, però, «non si assume alcuna responsabilità».
LUGANO - «Mio padre è stato truffato. Ma per Sunrise deve comunque pagare 5’500 franchi di fattura». A raccontarlo a Tio/20Minuti è un ticinese il cui padre, un 59enne del Luganese, è rimasto vittima di un attacco cybercriminale.
«A fine gennaio», spiega, «mio papà ha ricevuto delle conferme d’ordine di acquisti eseguiti online, tramite il suo account My Sunrise: quattro Iphone 15 pro, più abbonamenti e carte SIM. Stupito, mi ha chiamato e subito ho intuito che c’era sotto qualcosa di losco».
Il figlio accorre quindi in aiuto del padre, e incappa rapidamente nei primi segnali d’allarme. La password inserita, infatti, risulta non valida, e, una volta reimpostata, tra i dati del profilo MySunrise spicca, nero su bianco, la dispendiosa comanda. Padre e figlio contattano quindi Sunrise per segnalare la truffa e viene sporta denuncia penale.
«La responsabilità spetta al cliente» - «Qualche giorno dopo Sunrise ha cancellato gli abbonamenti attivati», spiega il giovane, «ma la fattura dell’acquisto dei telefoni e delle SIM non è mai stata sospesa o stralciata». E il perché lo spiega Sunrise stessa: «Si presume che una persona con intenzioni criminali sia riuscita a ottenere i vostri dati di accesso My Sunrise da una fonte sconosciuta, ad esempio in seguito a un attacco di phishing», ma «la responsabilità della protezione dell’account spetta al cliente, e non a Sunrise». Il colosso della telefonia «non si assume perciò alcuna responsabilità per i danni» e esorta il cliente a rivolgersi alla sua assicurazione privata.
Un boccone, questo, che per padre e figlio risulta decisamente amaro da mandare giù, soprattutto considerato che Sunrise ha nominativo e indirizzo della persona a cui sono stati consegnati gli Iphone, una donna residente nel canton Zurigo.
«Un sistema poco sicuro» - Ma non finisce qui. «Mio padre ha ricevuto le conferme d’acquisto, ma non è mai arrivata alcuna mail riguardante un cambio password», sostiene il figlio. «Questo per me significa che il sistema attualmente utilizzato da Sunrise è troppo sensibile e poco sicuro». Fare intervenire l’assicurazione non è inoltre un’opzione, perché tra i pacchetti stipulati dal 59enne non c’è una copertura cyber.
E quindi? Comprensibilmente, in quanto vittima conclamata di truffa, al momento l’uomo non intende pagare i 5’500 franchi di fattura. A preoccupare, però, «è il fatto che quest’ultima rischia di sfociare in un precetto esecutivo, il che andrebbe a macchiare il registro delle esecuzioni».
Dalla fuga di dati alla frode - Da noi contattata, Sunrise riferisce che «in seguito ai colloqui intrattenuti con la polizia e alle nostre analisi, siamo giunti alla conclusione che si tratta di un caso di frode in cui un autore sconosciuto è riuscito a entrare in possesso dei dati personali del signor A.V. (indirizzo e-mail, password, ecc.). Apparentemente, questi erano accessibili in passato a causa di una grave fuga di dati presso un fornitore di servizi di spedizione online o un altro operatore di telecomunicazioni». L’autore del reato «è stato quindi in grado di autenticarsi e ha avuto accesso al conto My Sunrise del cliente, dove sono stati effettuati gli ordini fraudolenti in questione».
«Dispositivi spediti in Africa» - Sunrise dichiara inoltre che «in base agli indirizzi di spedizione indicati dai truffatori e ai risultati della polizia, presumiamo che si tratti di una frode combinata a una cosiddetta “Romance Scam”: ciò significa che i destinatari degli iPhone sono stati indotti a complicità, hanno accettato i dispositivi e infine li hanno spediti in Africa occidentale, nello specifico in Ghana. Contro le persone interessate sono attualmente in corso procedure penali e varie indagini di polizia».
Viene inoltre precisato che «gli acquisti illeciti del 25 e 26 gennaio sono stati immediatamente comunicati al cliente tramite notifiche automatizzate inviate via e-mail ed SMS (conferme degli ordini). Tuttavia, il cliente ha contattato il servizio clienti solo il 29 gennaio, quando gli iPhone erano già stati spediti». Tutto vero, ma, non possiamo fare a meno di osservare, non tutti consultano le loro mail a cadenza quotidiana.
Sunrise: «Nessun errore da parte nostra» - «Comprendiamo il sentimento di collera del cliente in quanto vittima di un simile caso di frode», conclude Sunrise. «Cionondimeno, non essendo stato rilevato alcun errore commesso da parte di Sunrise, ci vediamo costretti a rifiutare la richiesta di risarcimento danni».
Il Ministero pubblico ticinese, dal canto suo, «conferma che a seguito dell’inoltro e della ricezione della querela lo scorso gennaio, ha aperto un procedimento penale contro ignoti per i reati di truffa e acquisizione illecita di dati. Sono quindi stati avviati i necessari passi istruttori per chiarire la fattispecie». L’incarto è però «successivamente stato integralmente assunto dalle autorità competenti del canton Zurigo».
Ma se la truffa è stata appurata e la giustizia, lentamente, si sta muovendo, la fattura da 5’500 franchi resta lì. Abbiamo quindi chiesto all’avvocato Rocco Talleri, esperto in cybersicurezza e protezione dei dati, se c’è una via di uscita.
Quell'ostacolo in più - «Premetto che non conosco i dettagli del caso e non ho visto i contratti in essere fra Sunrise e il cliente. Tuttavia, è vero, almeno in parte, che la responsabilità dei sistemi di accesso agli account è del cliente», ci dice. «Va detto, però, che questo tipo di truffa funziona soprattutto quando gli account sono protetti con dei sistemi molto rudimentali. Con un adeguato sistema a doppia autenticazione, ad esempio, diventa molto complicato portare a termine l’operazione criminale. Questo perché non basta inserire nome utente e password per ottenere l’accesso, ma viene chiesta una conferma su un altro dispositivo».
Certo, prosegue Talleri, «i sistemi a doppio fattore o multifattore non sono inviolabili, ma per aggirarli servono competenze, capacità e risorse che per una truffa di questa entità sarebbero ampiamente spropositate. Non escluderei dunque a priori una potenziale responsabilità di Sunrise, che potrebbe non avere in funzione, di default, un sistema a doppia autenticazione».
La legge - Un aspetto, questo, di importanza non trascurabile. L’avvocato ricorda infatti che «in base alla legge sulla protezione dei dati, la protezione dell’account del cliente rientra negli obblighi in capo a Sunrise. E la legge comprende l’obbligo di adottare misure di sicurezza adeguate».
Il fatto che Sunrise abbia cancellato gli abbonamenti stipulati dai truffatori, inoltre, «è un'indicazione che potrebbe essere sfruttata in sede giudiziale come un’ammissione implicita di responsabilità».
«Si spenderebbe ben più di 5'500 franchi» - Vi sarebbe insomma margine per farsi valere. Ma a che prezzo? «È chiaro che mettere in atto una battaglia legale è costoso, e posso dire che si finirebbe per spendere ben più di 5’500 franchi», spiega l’avvocato, sottolineando che «è un vero peccato che il signore non abbia una protezione giuridica o una copertura assicurativa cyber».
L’alternativa, in assenza di queste protezioni, «potrebbe essere quella di segnalare il caso all’incaricato federale della protezione dei dati, Adrian Lobsiger». Questo «perché anche se io sono poco accorto e utilizzo password che magari sono vecchie di diversi anni, il sistema dovrebbe essere protetto con sistemi di autenticazione più solidi», conclude Talleri.
