Quella che segue è una storia che potrebbe riguardare chiunque, proprio per questo merita di essere raccontata con attenzione. Bastano pochi minuti al telefono, una voce credibile dall’altra parte e un numero che sembra affidabile per perdere il controllo del proprio conto corrente, senza nemmeno rendersene conto. È ciò che è accaduto a Bianca Maria, professionista che vive a Milano, vittima di una truffa sofisticata costruita nei minimi dettagli.
Il 27 novembre, alle 15.15, Bianca riceve una chiamata sul suo numero personale. Sul display compare un numero fisso di Milano con prefisso 02, apparentemente riconducibile alla sua banca, Unicredit. Decide di rispondere. Dall’altra parte non c’è una voce registrata, ma una persona che parla in modo naturale e sicuro, presentandosi come addetto dell’ufficio antifrode. Le viene detto che sono stati rilevati tre pagamenti sospetti a suo nome su eBay, provenienti da Taranto, città in cui non è mai stata. Gli importi sono precisi: 980, 970 e 860 euro. In contemporanea, sul telefono di Bianca arrivano gli sms che segnalano esattamente quelle transazioni.
«Mi dicono che avrei autorizzato queste operazioni Internet con la mia carta e mi citano anche i primi sei numeri della carta stessa», racconta. A quel punto la voce al telefono insiste: se non è stata lei, è necessario bloccare immediatamente la carta e avviare la procedura per sostituirla. L’interlocutore conosce il suo indirizzo di residenza e persino la domanda segreta. «Dunque mi fido», spiega Bianca. Le viene comunicato che stanno tentando di stornare gli importi e poco dopo riceve un sms che sembra provenire dall’ufficio antifrode di Unicredit, con scritto che la richiesta di storno è in corso. Gli storni sembrano riusciti, anche se le viene detto che l’aggiornamento definitivo richiederà 24 ore.
La conversazione prosegue. «Dobbiamo certificare il suo dispositivo affinché sia l’unico ad accedere all’app Unicredit di home banking», le viene spiegato. Subito dopo riceve un messaggio con la dicitura “avvio certificazione dispositivo” e altri due sms contenenti dei codici. Il mittente risulta Unicredit e i messaggi compaiono nello stesso thread degli sms autentici ricevuti in passato dalla banca. «Gli leggo i codici», racconta Bianca. Solo in seguito capirà che in quel momento l’hacker stava ottenendo l’accesso completo al suo telefono e all’app di mobile banking. Le viene poi detto di cancellare l’app e che sarebbe stata reinstallata il lunedì successivo. Le spiegano che nel fine settimana non potrà usare il conto e che avrà a disposizione solo 150 euro per le spese necessarie. La telefonata termina lì.
Nel fine settimana Bianca non effettua operazioni. Nel frattempo, però, chi prova a contattarla non riesce a parlarle: a sua insaputa, le chiamate sono state deviate verso un altro numero. Di fatto, il suo telefono non è più sotto il suo controllo. Il lunedì mattina, 1 dicembre, quando tenta di acquistare un pacchetto di sigarette, il pagamento viene rifiutato per superamento del limite. È in quel momento che capisce che qualcosa non va.
Contattando il numero verde di Unicredit, raggiungibile solo tramite il telefono aziendale, scopre l’entità del danno: in due giorni risultano spese per 28.010 euro. Una cifra che non ha mai avuto sul conto, visto che la sua giacenza reale era di circa 2.600 euro.
Le operazioni effettuate sono numerose e ravvicinate. Quattro prelievi bancomat per un totale di 9.660 euro, eseguiti a distanza di pochi minuti l’uno dall’altro tra il 27 novembre e il 1 dicembre, proprio nei giorni in cui era stato accreditato lo stipendio. Tutti i trasferimenti sono diretti verso una carta Revolut intestata a Dublino. A questi si aggiungono sei operazioni effettuate con carta di credito, sempre verso lo stesso conto Revolut, per un totale di 18.350 euro. Per riuscirci, i truffatori hanno aumentato il plafond mensile della carta da 1.500 a 9.500 euro, sfruttando sia il fido di novembre che quello di dicembre.
Come se non bastasse, il 1 dicembre viene disinvestito anche un fondo da 694 euro. Bianca si reca immediatamente a sporgere denuncia alla polizia. Racconta che la direttrice della sua filiale storica, quella di Umbertide in provincia di Perugia dove avevano i conti anche i nonni, le attribuisce la responsabilità dell’accaduto. Scopre inoltre che sono in corso accertamenti su di lei, perché sul suo conto è transitato anche un bonifico da 5.000 euro proveniente da un’altra azienda truffata, una società della provincia di Milano, il cui denaro è stato poi dirottato verso il conto Revolut in Irlanda.
Bianca presenta formale reclamo alla banca. La risposta arriva rapidamente, ma è per lei uno shock: secondo Unicredit tutte le operazioni risultano autorizzate dal cliente. Nella comunicazione si legge che c’è stata «una custodia della carta non conforme a quanto previsto dal contratto» e che, grazie alla «tecnologia 3 Ds dinamico», la responsabilità sarebbe direttamente attribuibile alla correntista. La banca si solleva così da ogni responsabilità.
Oggi Bianca è assistita da un avvocato dello Studio Legale Crosta & C., che ha già richiesto gli indirizzi IP da cui sono partite le transazioni. Resta però una domanda centrale, che alimenta amarezza e incredulità: come è possibile che in pochi secondi vengano autorizzati aumenti di plafond e operazioni per oltre 28mila euro su un conto che disponeva di appena 2.600 euro? Un interrogativo che, al momento, resta senza risposta.
