Cerca e trova immobili

CANTONE«Mio padre è stato truffato per 5'500 franchi. Ma Sunrise pretende che paghi»

05.06.24 - 08:31
Dei criminali sono riusciti a entrare nell’account di un 59enne del Luganese, acquistando quattro Iphone, più abbonamenti e carte SIM.
Imago/Screenshot fattura Sunrise
«Mio padre è stato truffato per 5'500 franchi. Ma Sunrise pretende che paghi»
Dei criminali sono riusciti a entrare nell’account di un 59enne del Luganese, acquistando quattro Iphone, più abbonamenti e carte SIM.
Sunrise, però, «non si assume alcuna responsabilità».

LUGANO - «Mio padre è stato truffato. Ma per Sunrise deve comunque pagare 5’500 franchi di fattura». A raccontarlo a Tio/20Minuti è un ticinese il cui padre, un 59enne del Luganese, è rimasto vittima di un attacco cybercriminale. 

«A fine gennaio», spiega, «mio papà ha ricevuto delle conferme d’ordine di acquisti eseguiti online, tramite il suo account My Sunrise: quattro Iphone 15 pro, più abbonamenti e carte SIM. Stupito, mi ha chiamato e subito ho intuito che c’era sotto qualcosa di losco».

Il figlio accorre quindi in aiuto del padre, e incappa rapidamente nei primi segnali d’allarme. La password inserita, infatti, risulta non valida, e, una volta reimpostata, tra i dati del profilo MySunrise spicca, nero su bianco, la dispendiosa comanda. Padre e figlio contattano quindi Sunrise per segnalare la truffa e viene sporta denuncia penale.

«La responsabilità spetta al cliente» - «Qualche giorno dopo Sunrise ha cancellato gli abbonamenti attivati», spiega il giovane, «ma la fattura dell’acquisto dei telefoni e delle SIM non è mai stata sospesa o stralciata». E il perché lo spiega Sunrise stessa: «Si presume che una persona con intenzioni criminali sia riuscita a ottenere i vostri dati di accesso My Sunrise da una fonte sconosciuta, ad esempio in seguito a un attacco di phishing», ma «la responsabilità della protezione dell’account spetta al cliente, e non a Sunrise». Il colosso della telefonia «non si assume perciò alcuna responsabilità per i danni» e esorta il cliente a rivolgersi alla sua assicurazione privata.

Un boccone, questo, che per padre e figlio risulta decisamente amaro da mandare giù, soprattutto considerato che Sunrise ha nominativo e indirizzo della persona a cui sono stati consegnati gli Iphone, una donna residente nel canton Zurigo.

«Un sistema poco sicuro» - Ma non finisce qui. «Mio padre ha ricevuto le conferme d’acquisto, ma non è mai arrivata alcuna mail riguardante un cambio password», sostiene il figlio. «Questo per me significa che il sistema attualmente utilizzato da Sunrise è troppo sensibile e poco sicuro». Fare intervenire l’assicurazione non è inoltre un’opzione, perché tra i pacchetti stipulati dal 59enne non c’è una copertura cyber.

E quindi? Comprensibilmente, in quanto vittima conclamata di truffa, al momento l’uomo non intende pagare i 5’500 franchi di fattura. A preoccupare, però, «è il fatto che quest’ultima rischia di sfociare in un precetto esecutivo, il che andrebbe a macchiare il registro delle esecuzioni». 

Dalla fuga di dati alla frode - Da noi contattata, Sunrise riferisce che «in seguito ai colloqui intrattenuti con la polizia e alle nostre analisi, siamo giunti alla conclusione che si tratta di un caso di frode in cui un autore sconosciuto è riuscito a entrare in possesso dei dati personali del signor A.V. (indirizzo e-mail, password, ecc.). Apparentemente, questi erano accessibili in passato a causa di una grave fuga di dati presso un fornitore di servizi di spedizione online o un altro operatore di telecomunicazioni». L’autore del reato «è stato quindi in grado di autenticarsi e ha avuto accesso al conto My Sunrise del cliente, dove sono stati effettuati gli ordini fraudolenti in questione». 

«Dispositivi spediti in Africa» - Sunrise dichiara inoltre che «in base agli indirizzi di spedizione indicati dai truffatori e ai risultati della polizia, presumiamo che si tratti di una frode combinata a una cosiddetta “Romance Scam”: ciò significa che i destinatari degli iPhone sono stati indotti a complicità, hanno accettato i dispositivi e infine li hanno spediti in Africa occidentale, nello specifico in Ghana. Contro le persone interessate sono attualmente in corso procedure penali e varie indagini di polizia».

Viene inoltre precisato che «gli acquisti illeciti del 25 e 26 gennaio sono stati immediatamente comunicati al cliente tramite notifiche automatizzate inviate via e-mail ed SMS (conferme degli ordini). Tuttavia, il cliente ha contattato il servizio clienti solo il 29 gennaio, quando gli iPhone erano già stati spediti». Tutto vero, ma, non possiamo fare a meno di osservare, non tutti consultano le loro mail a cadenza quotidiana.

Sunrise: «Nessun errore da parte nostra» - «Comprendiamo il sentimento di collera del cliente in quanto vittima di un simile caso di frode», conclude Sunrise. «Cionondimeno, non essendo stato rilevato alcun errore commesso da parte di Sunrise, ci vediamo costretti a rifiutare la richiesta di risarcimento danni».

Il Ministero pubblico ticinese, dal canto suo, «conferma che a seguito dell’inoltro e della ricezione della querela lo scorso gennaio, ha aperto un procedimento penale contro ignoti per i reati di truffa e acquisizione illecita di dati. Sono quindi stati avviati i necessari passi istruttori per chiarire la fattispecie». L’incarto è però «successivamente stato integralmente assunto dalle autorità competenti del canton Zurigo». 

Ma se la truffa è stata appurata e la giustizia, lentamente, si sta muovendo, la fattura da 5’500 franchi resta lì. Abbiamo quindi chiesto all’avvocato Rocco Talleri, esperto in cybersicurezza e protezione dei dati, se c’è una via di uscita. 

Quell'ostacolo in più - «Premetto che non conosco i dettagli del caso e non ho visto i contratti in essere fra Sunrise e il cliente. Tuttavia, è vero, almeno in parte, che la responsabilità dei sistemi di accesso agli account è del cliente», ci dice. «Va detto, però, che questo tipo di truffa funziona soprattutto quando gli account sono protetti con dei sistemi molto rudimentali. Con un adeguato sistema a doppia autenticazione, ad esempio, diventa molto complicato portare a termine l’operazione criminale. Questo perché non basta inserire nome utente e password per ottenere l’accesso, ma viene chiesta una conferma su un altro dispositivo».

Certo, prosegue Talleri, «i sistemi a doppio fattore o multifattore non sono inviolabili, ma per aggirarli servono competenze, capacità e risorse che per una truffa di questa entità sarebbero ampiamente spropositate. Non escluderei dunque a priori una potenziale responsabilità di Sunrise, che potrebbe non avere in funzione, di default, un sistema a doppia autenticazione». 

La legge - Un aspetto, questo, di importanza non trascurabile. L’avvocato ricorda infatti che «in base alla legge sulla protezione dei dati, la protezione dell’account del cliente rientra negli obblighi in capo a Sunrise. E la legge comprende l’obbligo di adottare misure di sicurezza adeguate».

Il fatto che Sunrise abbia cancellato gli abbonamenti stipulati dai truffatori, inoltre, «è un'indicazione che potrebbe essere sfruttata in sede giudiziale come un’ammissione implicita di responsabilità».

«Si spenderebbe ben più di 5'500 franchi» - Vi sarebbe insomma margine per farsi valere. Ma a che prezzo? «È chiaro che mettere in atto una battaglia legale è costoso, e posso dire che si finirebbe per spendere ben più di 5’500 franchi», spiega l’avvocato, sottolineando che «è un vero peccato che il signore non abbia una protezione giuridica o una copertura assicurativa cyber». 

L’alternativa, in assenza di queste protezioni, «potrebbe essere quella di segnalare il caso all’incaricato federale della protezione dei dati, Adrian Lobsiger». Questo «perché anche se io sono poco accorto e utilizzo password che magari sono vecchie di diversi anni, il sistema dovrebbe essere protetto con sistemi di autenticazione più solidi», conclude Talleri.

Entra nel canale WhatsApp di Ticinonline.
COMMENTI
 

M70 6 mesi fa su tio
boicottare Sunrise..

Elisa_S 6 mesi fa su tio
Ma dai Sunrise...cosa sono per te 5000 franchi...invece per il malcapitato sono tanti. Il guadagno di immagine non ha prezzo. La perdita di immagine invece si...e che prezzo. Pensare ... pensare...

Andy 82 6 mesi fa su tio
SUNRISE??? MIGA TANT....

pegis 6 mesi fa su tio
Gli smartphone dovevano essere un benessere per l'umanità invece ci accorgiamo tutti i giorni che non sono altro che morte e distruzione per vecchi, adulti e soprattutto un malessere generale per i giovani e bambini.

sctaquet 6 mesi fa su tio
Risposta a pegis
Assolutamente d'accordo con te ( se posso darti del tu ) .

MrBlack 6 mesi fa su tio
Risposta a pegis
Moriremo tutti :-))

Kelt 6 mesi fa su tio
Viviamo nell'epoca delle app...Ogni operatore/fornitore di servizi, sopra una certa cifra, dovrebbe richiedere obbligatoriamente, un'autenticazione mediante impronta o riconoscimento facciale. Altro che psw! Sembra ovviamente non ci sia la volontà di farlo.

Not A Human 6 mesi fa su tio
Appena successo una cosa simile a me, Mi rubano l’account di Salt e rinnovano l’abbonamento con un iPhone 15 pro. Spedito a Nyon con tanto di nome e cognome con indirizzo corretto della persona ( verificato personalmente su local.ch) fortuna vuole che il cellulare non viene ritirato visto che al momento del ritiro bisogna presentare un documento di identità al Postino. Cellulare ritorna a salt. Io reclamo e dicono che qualcuno è entrato e ha fatto tutto. Chiamo il servizio clienti e cancellano l’account ecc ecc, cosa divertente? Che mandano le mail di conferma del reclamo e notifiche alla mail del truffatore e sul suo numero ( che aveva sostituito durante la truffa. Servizio clienti scandalosa che basta sapere nome e cognome e data di nascita e puoi ottenere tutto anche via telefono facendoti spedire il cellulare dove vuoi.

vulpus 6 mesi fa su tio
Nebiulosa la procedura che è indicata. Questi account sono rilasciati e gestiti dalla compagnia telefonica con la quale hai l'abbonamento. Se il sistema funziona correttamente , la doppia autentificazione serve a poco. Bisognerebbe approfondire la questione del cambio password: è impossibile che quando fai la richiesta di cambio, non ricevi il codice necessario. O l'utente è distratto e non si è accorto, oppure più facilmente il furto dei dati è avvenuto tramite la banca di SUNRISE.

Koblet69 6 mesi fa su tio
la compagnia telefonicha ha fatto il suo guadagno e nn gli importa un fico secco del proprio cliente( che ovviamente perderà)

sWiSs_PiRaTe 6 mesi fa su tio
Risposta a Koblet69
io non ne sarei così certo.
NOTIZIE PIÙ LETTE