Fin da bambini ci sono stati trasmessi consigli e raccomandazioni per la nostra sicurezza. Attraversare sulle strisce, non aprire la porta senza accertarsi di chi è dall’altro lato dell’uscio, persino il proverbiale “non accettare caramelle dagli sconosciuti”. Sono utili precetti che ormai abbiamo appreso e che ci aiutano anche da adulti ad interagire in sicurezza nel nostro ambiente fisico.
Non altrettanto però è stato fatto per aiutarci a muoverci in sicurezza nell’altro grande ambiente nel quale quotidianamente operiamo: quello digitale.
Ormai siamo connessi a questo secondo mondo in migliaia di modi diversi e attraverso decine di strumenti di uso comune (pc, cellulare, persino il vecchio telefono di rete fissa). Ne consegue che il rischio di venir approcciati e truffati è sempre più elevato. Alcuni termini usati per descrivere queste truffe digitali sono ormai diventati di uso comune, come phishing, variazione dall’inglese fishing, che significa pescare e richiama l’idea di abboccare all’esca e rimanere prigionieri di una truffa che invece sembrava una allettante offerta.
Il sottobosco delle truffe online è in continua evoluzione1 e ogni giorno si modifica per cercare di oltrepassare i sistemi di sicurezza che cerchiamo di mettere in campo. Facciamo quindi chiarezza su quali sono le truffe più comuni e su come è possibile riconoscerle e difendersi.
Phishing, occhio all’esca!
Il phishing è una forma di attacco informatico in cui i truffatori cercano di ingannare le persone facendosi passare per entità legittime, come istituti bancari o aziende famose, al fine di ottenere informazioni personali e sensibili come username, password, o dati finanziari. Questi tentativi avvengono generalmente tramite email, messaggi di testo o siti web contraffatti che sembrano autentici. Il phishing sfrutta l'ingenuità o la distrazione delle vittime, e può portare a gravi conseguenze come il furto d'identità o la perdita di denaro. L’esca è rappresentata il più delle volte dalla somiglianza del mittente con nostri reali contatti e dalla promessa/minaccia di bloccare i nostri account, conti o carte di credito se non condividiamo e confermiamo i dati che ci vengono richiesti.
È bene sapere che nessun istituto bancario o creditizio chiede mai questi dati ai propri clienti. È un principio del decalogo ABI a cui non è possibile derogare.
Cosa fare: non cliccare su nessun link, né rispondere alla mail, non comunicare mai a nessuno i dati personali per accedere all’area clienti della propria banca. Segnalate la ricezione della mail alla vostra banca o istituto di credito.
Vishing, il canto delle sirene
Il vishing, abbreviazione di "voice phishing", è una forma di truffa telefonica (la versione “vocale” del phishing, insomma) in cui i malintenzionati cercano di ottenere informazioni personali o finanziarie da individui, fingendosi rappresentanti di istituti finanziari, governativi o aziende legittime. Utilizzando chiamate telefoniche o messaggi vocali, i truffatori cercano di indurre le vittime a condividere dati sensibili come numeri di carta di credito, codici PIN o informazioni personali. Il vishing sfrutta la manipolazione psicologica e la persuasione per ingannare le persone, ed è essenziale essere vigili e non condividere informazioni sensibili con sconosciuti al telefono. È proprio l’aver all’altro capo del telefono una persona – che si qualifica come attendibile – a far vacillare le nostre difese e indurci a condividere dati preziosi. Pratiche di sicurezza, come la verifica dell'identità dell'interlocutore, sono cruciali per proteggersi da questa forma di truffa. E ricordiamo: nessuna banca o altro istituto di credito chiede mai dati sensibili e codici di sicurezza telefonicamente.
Cosa fare: non condividere alcuna informazione sensibile (PIN, numeri di carta di credito, CVC) con nessuno e segnalare immediatamente al proprio istituto di credito di aver ricevuto una telefonata sospetta.
Smishing e truffa romantica, la mozione degli affetti
Lo smishing è una forma di truffa che combina il termine "SMS" con "phishing". In questo tipo di attacco, i truffatori inviano messaggi di testo fraudolenti o SMS alle vittime, fingendosi spesso istituti finanziari, organizzazioni governative o aziende fornitrici di servizi di cui siamo soliti usufruire. Il messaggio può chiedere alle vittime di fornire informazioni personali o finanziarie, di cliccare su link dannosi o di scaricare applicazioni malevole. Lo smishing sfrutta l'inganno e la persuasione per ottenere dati sensibili, ed è importante essere cauti e non rispondere a tali messaggi sospetti. Per proteggersi, è fondamentale verificare attentamente la fonte dei messaggi e non condividere dati personali attraverso SMS non verificati.
Fra le più recenti forme di truffa online, vi è poi il cosiddetto “smishing emotivo”, una forma di truffa romantica che sfrutta subdolamente la nostra parte più emotiva. Si tratta di una forma di smishing in cui il malintenzionato di turno si spaccia per un nostro parente, amico, stretto conoscente e – attraverso WhatsApp o con semplici SMS – ci chiede aiuto e….denaro. Il denaro richiesto può essere giustificato di volta in volta con la motivazione di una ricarica telefonica urgente o per altre motivazioni che richiedono somme di piccola entità. Al solito viene inviato un link ad un sito, in cui inserire i propri dati (numeri di carte di credito e PIN) che vengono copiati e poi sfruttati per prelevare denaro al truffato. Molto di più di quello richiesto in un primo momento.
Cosa fare: non condividere in alcun modo dati e credenziali di accesso e provare a richiamare l’istituto/banca/azienda che ci ha contattato denunciando il tentativo di smishing. Infine, se siete stati contattati da una persona di vostra conoscenza, richiamatela attraverso i canali consueti e verificate. In ogni caso: mai condividere via SMS o WhatsApp nessun dato sensibile.
Cosa fanno banche e istituti di credito seri per contrastare le truffe online
Iniziamo con il ribadire ciò che banche e istituti di credito NON fanno: non richiedono mai PIN e numeri di carte di credito dei loro clienti. Così come non chiederanno mai l’OTP (vedremo poco più sotto cosa significa). Veniamo alle contromisure tecnologiche.
HTTPS non è uno scioglilingua, ma l’acronimo di "HyperText Transfer Protocol Secure": un protocollo di comunicazione Internet che garantisce la sicurezza e la privacy delle informazioni scambiate tra un utente e un sito web. Utilizza il protocollo HTTP come base ma aggiunge uno strato di crittografia per proteggere i dati durante la trasmissione. Quando un sito web utilizza HTTPS, significa che la comunicazione tra il tuo browser e il server del sito è cifrata, impedendo a terze parti di intercettare o manipolare i dati. Questo è particolarmente importante per proteggere informazioni sensibili come dati di accesso, informazioni personali e transazioni finanziarie online. La presenza del lucchetto verde o dell'indicazione "https://" nella barra degli indirizzi del browser è un segno visibile di una connessione sicura.
OTP, un altro acronimo che sta per One Time Password, ovvero quella password “usa e getta” che viene generata per autorizzare una singola operazione online e che permette (sempre sei si naviga su un sito con crittografia HTTPS) di procedere con un acquisto sicuro. Compass richiede poi una seconda password (statica) per autorizzare ogni acquisto in e-commerce.
STANDARD: gli standard applicati per le carte di credito sono altrettanto importanti per garantire la sicurezza delle operazioni. Compass applica gli standard Mastercard e Visa, che appunto richiedono l’autorizzazione delle operazioni tramite OTP.
PSD2 è l'acronimo di "Payment Services Directive 2," una direttiva europea introdotta dall'Unione Europea per regolamentare i servizi di pagamento e promuovere la concorrenza e l'innovazione nel settore finanziario. Tra le principali disposizioni di PSD2 vi è l'obbligo per le istituzioni finanziarie di adottare misure di autenticazione a due fattori per l'accesso ai conti online. Inoltre, PSD2 ha aperto la strada ai "prestatori di servizi di pagamento terzi" consentendo loro di accedere ai dati finanziari dei clienti e di effettuare pagamenti in loro nome, previa autorizzazione dei titolari dei conti. Questo ha favorito l'emergere di nuove soluzioni di pagamento e servizi finanziari innovativi nell'Unione Europea.
Questi sono i requisiti tecnologici necessari perché possiate operare online in sicurezza tramite la vostra banca o istituto di credito.
Ricapitolando, i consigli di sicurezza da tenere a mente sono:
-
Non rispondere a mail che richiedono PIN o altre informazioni personali.
-
Non fornire mai l’OTP per autorizzare un’operazione online. Nemmeno la vostra banca ve lo chiede
-
Non comunicare dati personali via telefono, né a voce, né via SMS, né via WhatsApp
-
Non inviare copia della vostra carta di credito (e meno che mai del CVC, il numero che si trova sul retro della carta).
-
Assicuratevi che il sito su cui state procedendo per acquisti online sia dotato delle misure di sicurezza necessarie (imprescindibile l’HTTPS)
-
Quando vi è possibile segnalare sempre al vostro istituto di credito che avete ricevuto mail, SMS, messaggi, sospetti da qualcuno che si spaccia per l’istituto stesso.