Shopping on line, trading on line, home banking: le vite di tutti, con l’accelerazione della digitalizzazione e la presenza capillare della tecnologia in ogni ambito, sono sempre più connesse e le scelte economiche sono sempre più digitali. E con esse, la sicurezza digitale è diventata parte integrante della nostra cultura finanziaria: la rete internet, infatti, offre grandi opportunità ma può anche esporre a gravi pericoli. È necessario quindi saper riconoscere, prevenire e proteggersi da tali rischi. La Banca d’Italia ha raccolto una serie di casi di possibili truffe online e i metodi per difendersi dai rischi nei pagamenti elettronici, i trucchi per riconoscere le frodi e più in generale i pericoli ai quali ci si espone sul web. La raccolta completa è disponibile sul sito internet Bancaditalia.it.
Partiamo dai dati: ogni giorno, circa 37 milioni di italiani navigano sul web, in media per due ore e mezza al giorno. Su Internet le persone lavorano, acquistano prodotti, organizzano viaggi. Tra siti e social network, si condividono – spesso inconsapevolmente – dati personali che possono diventare merce preziosa per le organizzazioni criminali specializzate in reati informatici. Alla base delle truffe online c’è quasi sempre un furto d’identità digitale, cioè dati anagrafici e sanitari, utenze telefoniche, account bancari, carpiti dai cybercriminali che sondano la rete proprio alla ricerca di queste informazioni.
Tra i dati più richiesti per rubare un’identità e sostituirsi a un’altra persona, ci sono ovviamente tutti quei dati che permettono al criminale di prendere il posto della vittima come nome, cognome, numero di telefono, numero della carta d’identità digitale, numero della patente ecc.
In secondo luogo, le credenziali d’accesso ai diversi servizi online come il nome utente e la password dell’indirizzo mail o degli account dei social network, o ancora dello Spid.
Infine, i dati più sensibili che i cybercriminali ricercano maggiormente, ovvero i codici bancari e le coordinate che consentono l’accesso a conti correnti o a carte di credito.
I dati statistici mostrano come la maggioranza dei furti d’identità nell’ambito delle frodi informatiche avvenga attraverso precise tecniche e pratiche. In tutti i casi, il criminale finge di essere un operatore di aziende fornitrici di beni e servizi finanziari e bancari e, con l’inganno, estorce informazioni personali all’interlocutore. Le più comuni tecniche usate dai truffatori sono le seguenti.
Innanzitutto, il phishing ovvero l’utilizzo di una mail con la quale si chiede alla vittima di inviare dati personali come nome utente, password, data di nascita, ecc., che vengono usati per violare account o fare operazioni bancarie non autorizzate. Il messaggio ha tutte le caratteristiche di una richiesta legittima da parte di una fonte apparentemente attendibile e credibile come un istituto di credito: se in passato questa tecnica era facile da individuare in quanto di solito i testi erano pieni di strafalcioni grammaticali, oggi è più complicato perché i raggiri sono diventati più sofisticati.
In secondo luogo, lo smishing cioè l’uso di un sms che arriva sullo smartphone della vittima e col quale si chiede, anche con la promessa di uno sconto o di un’offerta, di contattare un certo numero di telefono o di collegarsi a un certo sito tramite un link molto simile al dominio dell’istituto di credito. Il link rimanda a un sito graficamente quasi identico a quello della banca ma che altro non è che un clone del tutto simile a quello dell’istituto finanziario.
Infine, il vishing vale a dire una telefonata con la quale il truffatore finge di essere un operatore dell’istituto bancario allertando la potenziale vittima che è stata oggetto di un tentativo di truffa a scapito della sua carta di credito e, con questa scusa, cerca di ottenere informazioni e dati riservati. Una volta inseriti i codici, per i truffatori è facile prelevare somme di denaro dal conto corrente.
Ma i furti d’identità posso avvenire anche tramite malware: è quello che una volta si definiva come virus installato sul pc dopo che, per esempio, la vittima ha scaricato inconsapevolmente un software infetto sul proprio dispositivo. La particolarità di questi virus è che riescono ad aggirare i più comuni antivirus e restano silenziosamente attivi nel computer colpito: ogni volta che si inseriscono informazioni personali e sensibili sul pc, il virus è in grado di registrarli e girarli ai criminali online. Il caso più classico è quello delle combinazioni di mail e password necessarie per accedere all’online banking. Da lì il cybercriminale può sfruttarli in svariati modi, telefonando alla vittima e spacciandosi per un operatore della banca e dichiarare che c’è stato un movimento sospetto sul suo conto online. Poi il criminale si fa consegnare i codici univoci di accesso al conto corrente, sottraendolo completamente al controllo della vittima.
I dati dell’Osservatorio sulle Frodi Creditizie rivelano che gli importi frodati vanno dai 1.500 euro fino a superare i 10.000 euro per acquisti di elettrodomestici, auto e moto, abbigliamento e dispositivi elettronici. Contrariamente a quello che si potrebbe pensare, le vittime più colpite dai cybercriminali hanno meno di 30 anni e scoprono circa sei mesi dopo l’evento di essere state raggirate: probabilmente ciò accade per il modo spesso superficiale con il quale gli utenti più giovani interagiscono sulla rete e condividono dati su internet.
Contro i criminali informatici, però, oltre all’attenzione da parte delle potenziali vittime, anche gli istituti di credito hanno iniziato a prendere le necessarie contromisure. Banca d’Italia, Abi – Associazione Bancaria Italiana e Polizia di Stato hanno promosso campagne di sensibilizzazione sulla cybersecurity e proprio alla Banca d’Italia sono state affidate le funzioni di tutela nell’ambito dei servizi bancari anche in materia di utilizzi fraudolenti di strumenti e servizi di pagamento.
In questo senso, la ratio condivisa è quella di allocare sull’intermediario, come rischio d’impresa, il rischio riconducibile all’impiego fraudolento di carte e strumenti di pagamento. Infatti, sul piano normativo (D.Lgs. 11/2010), il cliente è tenuto al tempestivo semplice disconoscimento delle operazioni di pagamento contestate: in pratica, se il cliente comunica formalmente di disconoscere un’operazione come non autorizzata, l’intermediario deve – entro la fine della giornata operativa successiva al ricevimento della comunicazione – riaccreditare l’importo, salvo rivalersi sul cliente, anche in un momento successivo, dimostrando che l’operazione era stata regolarmente autorizzata.
Quando il cliente nega di aver autorizzato un’operazione è, infatti, l’intermediario che deve provare sia la regolare autenticazione ed esecuzione dell’operazione, sia la colpa grave dell’utilizzatore, vale a dire un comportamento abnorme e non scusabile e non semplicemente una condotta contraria ai presidi minimi normalmente richiesti. È precisato, peraltro, che per l’intermediario non è sufficiente dimostrare che l’operazione è stata compiuta con la regolare attivazione di tutti i presidi di autenticazione previsti (compresi Otp e Ots) per dedurne la prova della colpa dell’utente. Solo a queste condizioni l’intermediario potrà chiedere all’utente di sopportare tutte le perdite.
In generale, comunque, tali truffe possono essere evitate da parte delle potenziali vittime, prestando la massima attenzione e seguendo delle semplici regole:
1) usare sempre username e password che contengano lettere maiuscole, minuscole, numeri e simboli;
2) evitare di utilizzare le stesse password per più servizi e cambiarle periodicamente;
3) non aprire email, sms e WhatsApp con allegati e non cliccare mai su link sospetti;
4) diffidare di qualunque richiesta di dati relativi a carte di pagamento, chiavi di accesso all’home banking o altre informazioni personali;
5) proteggere i propri dispositivi con antivirus affidabili e riconosciuti e utilizzare browser sicuri per la navigazione su Internet;
6) per i social network e i servizi di acquisti online attivare la funzione di autenticazione a due fattori e il sistema di alert (ad esempio un sms con un codice utilizzabile una sola volta e la notifica ogni volta che vengono prelevati soldi dal conto, come avviene con i servizi di home banking);
7) controllare regolarmente l’estratto conto bancario;
8) non pubblicare mai dati e informazioni personali sui social network.
Angelo Laudiero