Truffa IBAN: Come riconoscerla e difendersi, il ruolo delle banche

In cosa consiste la truffa dell’Iban? Nel linguaggio tecnico truffe B.e.c. (business email compromise) consistono nell’accedere abusivamente nella posta elettronica, prelevare una fattura di transazione per il pagamento e sostituire l’iban corretto con quello dell’hacker. La mail così taroccata viene inviata al destinatario che, ignaro del sabotaggio, effettua il pagamento sul conto corrente dell’imbroglione.

Come nasce la truffa dell’IBAN manomesso

Una clinica privata riceve via email una fattura da un fornitore abituale: oltre 6.000 euro da pagare. La mail sembra autentica, il documento anche. Ma c’è un dettaglio invisibile: l’IBAN è stato manomesso. Dietro c’è una classica truffa da “business email compromise”: qualcuno ha intercettato le comunicazioni tra cliente e fornitore, ha modificato il numero di conto e ha rimandato tutto. La clinica, ignara, esegue il bonifico. Ma i soldi finiscono nelle mani sbagliate.

La scoperta del raggiro e il ruolo delle banche

Solo qualche giorno dopo, arrivano i solleciti del vero fornitore e la truffa viene scoperta. Troppo tardi. Il denaro è sparito. Ma la clinica non si arrende: presenta ricorso all’Arbitro Bancario Finanziario. Due le banche coinvolte: quella della clinica, che ha eseguito il bonifico, e quella del truffatore — che, per coincidenza, è anche la banca del vero fornitore.

L’identificativo unico e la normativa sui pagamenti

E qui viene il punto interessante. Le due banche si difendono invocando la normativa sui pagamenti, quella che prevede che l’IBAN sia l’“identificativo unico”. In pratica: se il cliente inserisce un IBAN, la banca non è tenuta a verificare a chi appartenga. Sembra semplice… ma forse troppo. Perché nella sua decisione del 25 marzo 2025, il Collegio di Roma dell’ABF ribalta la prospettiva: la responsabilità non è della banca che ha eseguito il bonifico, bensì di quella che ha ricevuto il denaro. Perché in questo caso quella banca conosceva entrambi i soggetti coinvolti: il cliente vero e il truffatore. Entrambi avevano un conto presso di lei. E quindi avrebbe potuto accorgersi che qualcosa non tornava.

La responsabilità della banca ricevente nella truffa IBAN

Secondo l’ABF, non servivano controlli approfonditi o indagini straordinarie. Bastava la normale diligenza professionale: verificare se il nome del beneficiario corrispondeva all’IBAN. In questo caso era evidente che non c’era corrispondenza, e che il bonifico era anomalo. Il Collegio ha chiarito che, quando una banca ha gli strumenti per prevenire un errore e non lo fa, non può nascondersi dietro il rispetto formale delle regole. Il principio è quello della responsabilità contrattuale: la banca deve agire con correttezza, buona fede e attenzione. Anche se il cliente ha sbagliato, la banca deve fare la sua parte. Se può evitare un danno, deve farlo. Ecco perché l’ABF ha condannato la banca del truffatore a risarcire la clinica per 3.000 euro, circa metà dell’importo perso. Non è tutto il danno subito, ma è un segnale forte: anche le banche che ricevono i fondi devono vigilare, soprattutto quando hanno tutti gli elementi per farlo senza sforzi eccessivi. La vera novità? È che per una volta la colpa ricade sulla banca di destinazione, quella del truffatore! E questo è un messaggio nuovo: le frodi digitali colpiscono tutti, e non è detto che siano sempre inevitabili.

Come difendersi dalle truffe dell’Iban?

  1. Seguire una procedura sicura per la comunicazione di cambio IBAN da trasmettere ai fornitori. Inviare una PEC quando si cambia IBAN, se possibile seguita da una telefonata o video call. Non affidiamoci a un solo canale come la Pec, la quale può essere anch’essa hackerata.
  2. Verificare sempre l’attendibilità delle informazioni ricevute attraverso altri canali ottenuti da comunicazioni affidabili precedenti o siti istituzionali. Non utilizzare mai i contatti citati direttamente nella richiesta in quanto probabilmente falsi;
  3. Impostare una policy sicurezza che impedisca l’attivazione dell’inoltro delle email della caselle di posta aziendali se non con l’autorizzazione da parte degli amministratori di sistema. I cyber criminali, impostano l’inoltro delle email della casella compromessa. Con questo meccanismo tengono traccia delle comunicazioni scambiate per la buona riuscita della truffa;
  4. Per i fornitori/clienti abituali, usare di default gli IBAN salvati in precedenza.
  5. Prestare molta attenzione alle coordinate bancarie provenienti da paesi extraeuropei, infatti, i malintenzionati utilizzano spesso conti internazionali.
  6. Controllare sempre tutto con la massima cura (email, Iban ecc.) in particolare a ridosso del week end. Infatti il livello di attenzione di solito si abbassa a fine settimana, con la stanchezza di cinque giorni di lavoro. Inoltre, nei giorni festivi non vi è la possibilità di controllare, e spesso al ritorno in ufficio , potrebbero esserci brutte sorprese.

Infine, per proteggere la propria posta elettronica è una buona abitudine creare password forti e originali. Come riportato dall’ultimo rapporto Clusit, l’Associazione Italiana per la Sicurezza Informatica, ben il 64% degli incidenti a livello globale hanno come causa azioni “maldestre” degli utenti. Evitare, dunque password banali come la sequenza di numeri 12345, oppure date di nascita, nomi dei figli e altre ricorrenze è già un buon inizio.

Una buona password deve essere un rebus difficile da decifrare. Ad esempio si possono alternare maiuscole e minuscole, lettere, simboli, numeri, solo consonanti o solo vocali e così via. Bisogna tener presente che l’accesso abusivo alla mail personale è violazione di corrispondenza, per cui costituisce un reato.

Fonte: Consumatori.it

Lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.

Blog su WordPress.com.

Su ↑