Spett.le Vinted,
Con la presente intendo denunciare formalmente una gravissima pratica commerciale scorretta, derivante da un'inaccettabile falla nei Vostri sistemi di integrazione del tracciamento e da un'assoluta mancanza di misure di sicurezza a tutela dei consumatori. Tale negligenza ha permesso a terzi di sottrarmi illecitamente l'importo di € 919,45.
In data 26/05/2026 ho acquistato uno smartphone da un utente terzo sulla piattaforma, indicando come indirizzo di consegna un punto di ritiro a Molfetta (BA). Il giorno 29/05/2026, ho subito un attacco informatico le cui dinamiche evidenziano chiare responsabilità oggettive della Vostra infrastruttura. I fatti si sono svolti secondo questa cronologia:
Ore 15:02 (La Falla di Sistema): Il sistema riceve un input manipolato e mi vengono recapitate comunicazioni indicanti la falsa consegna del pacco a Roma.
Ore 15:22 (La Vostra Negligenza): Il Vostro sistema ufficiale, recependo questo tracciamento palesemente anomalo e fallato, mi invia in automatico l'e-mail "Iphone 17 pro max - È tutto a posto?". Sottolineo che in questo momento il mio account era ancora inviolato. Vinted ha di fatto certificato una consegna mai avvenuta.
Ore 15:33 e 15:35 (L'Attacco): Sfruttando questa anomalia preesistente, sono stato contattato tramite spoofing telefonico e phishing da un soggetto che si spacciava per la Vostra assistenza al fine di risolvere il "blocco dell'etichetta" causato dal Vostro sistema, riuscendo così a sottrarmi le credenziali.
Minuti successivi (Account Takeover): Un dispositivo/IP sconosciuto ha effettuato l'accesso al mio account. Nonostante l'evidente anomalia, i Vostri sistemi non hanno attivato alcun blocco di sicurezza (es. autenticazione a due fattori). L'attaccante ha potuto premere il tasto "Tutto a posto", sbloccare i fondi e cancellare definitivamente il mio account (davide5922) per occultare le prove, il tutto senza il minimo controllo da parte Vostra.
A gravare su questa situazione vi è il comportamento inaccettabile della Vostra Assistenza Clienti. Ho ripetutamente contattato il supporto spiegando la dinamica dell'attacco informatico e allegando prove fotografiche inoppugnabili (falsi tracciamenti, discrepanza evidente tra l'indirizzo di Molfetta e quello di Roma, richiesta di analisi dei log IP e della chat eliminata).
Tuttavia, l'esito è stato costantemente negativo. Ho ricevuto esclusivamente risposte preimpostate in cui si ribadiva superficialmente che la transazione risultava "completata da me", rifiutandosi di prendere atto della palese compromissione dell'account. Paradossalmente, in seguito a una mia segnalazione, mi è stato risposto che l'account della controparte non presentava violazioni ai Vostri standard, dimostrando una grave debolezza nei controlli di sicurezza.
Consentire la manipolazione del tracking logistico e ignorare deliberatamente prove documentali fornite da un utente configura una gravissima culpa in vigilando.
RICHIESTA E COMUNICAZIONI:
Vi invito e diffido a provvedere, entro e non oltre 15 giorni dal ricevimento della presente, al rimborso integrale di € 919,45 sul metodo di pagamento originario.
Vi comunico formalmente che ho già provveduto a inoltrare formale segnalazione all'AGCM (Autorità Garante della Concorrenza e del Mercato - Pratica in corso) per pratica commerciale scorretta. Allego a questa segnalazione l'intera documentazione probatoria, i log delle conversazioni con la Vostra assistenza e la formale Denuncia/Querela presentata all'Arma dei Carabinieri, riservandomi di adire le vie legali in sede civile e segnalare l'accaduto al Garante Privacy.
In attesa di un Vostro riscontro risolutivo.
Davide Cirilli
