Truffe: come difendersi

Pagare in internet con la carta è comodo e veloce. Lo è anche usare l'home banking, cioè fare bonifici e altre operazioni attraverso il sito o l'app della tua banca. Ma farlo è sicuro? Sì, se adotti alcuni semplici comportamenti che ti proteggono dalle truffe. La tua prudenza, unita alla tecnologia di sicurezza dei pagamenti digitali, rende la vita difficile ai malintenzionati. Inoltre, nel caso cadessi vittima di una frode, se ti sei comportato con diligenza sei comunque tutelato perché puoi chiedere il rimborso del denaro che ti è stato sottratto.

Vediamo come funzionano le truffe nei pagamenti online, qual è la tecnologia che ti difende, come proteggerti e cosa fare se un truffatore riesce lo stesso a causarti un danno.


Come funzionano le truffe nei pagamenti online

Possiamo cadere vittime di una truffa in tre modi, a seconda che il truffatore:

  1. emetta direttamente un ordine di pagamento (ad esempio, un pagamento con carta di credito) dopo che si è appropriato illecitamente delle tue credenziali o informazioni riservate (ad esempio, il numero della carta);
  2. modifichi un ordine di pagamento legittimo, intercettando la comunicazione elettronica tra il tuo dispositivo e quello di chi riceve il pagamento, ad esempio con malware o attacchi informatici;
  3. ti manipoli inducendoti a effettuare un pagamento a suo favore, ad esempio dicendoti che un tuo familiare è in difficoltà e ha bisogno di soldi.

Vediamo ora le singole truffe più nel dettaglio.

Un truffatore può utilizzare diversi metodi per appropriarsi delle tue informazioni ed emettere direttamente ordini di pagamento.

  • Phishing. Il truffatore ti manda un'email ingannevole per indurti a inviargli denaro, comunicargli i dati della tua carta o del tuo conto online o farti scaricare un malware (un virus che "infetta" il tuo dispositivo). Spesso ti chiede di cliccare su un link o scansionare un QR code contenuto nell'e-mail; se lo fai, il link può condurti a un sito in cui inserire dati riservati (di cui il truffatore si impossesserà) o farti scaricare un malware. Qualsiasi cosa il malintenzionato ti chieda di fare, di solito cerca di convincerti a farla con urgenza per farti agire d'impulso. I truffatori possono inviare un'e-mail di phishing a un gran numero di persone a caso, sperando che qualcuna "abbocchi all'amo" (phishing è un gioco di parole con l'inglese "fishing", pescare), ma può anche mirare a persone o organizzazioni specifiche;
  • Smishing. Funziona come il phishing, ma il truffatore ti invia un messaggio sul telefono anziché un'email;
  • Vishing. Funziona come il phishing, ma il truffatore ti telefona anziché inviarti un'email;
  • Pharming. È una tecnica per reindirizzarti verso siti web falsi ma simili a quelli ufficiali, come ad esempio il sito della tua banca. Lo scopo è indurti a inserire credenziali o dati sensibili che vengono così intercettati e rubati dal truffatore.

Spesso il truffatore combina questi metodi con lo spoofing, cioè camuffa l'origine dell'email, del messaggio o della telefonata ingannevole. Ad esempio, se si presenta come la tua banca, fa in modo che l'indirizzo email o il numero di telefono sembrino davvero quelli della tua banca. Lo spoofing rende il phishing e le sue varianti ancora più insidiosi.

Attenzione!

La banca non ti chiederà mai i dati che usi per i pagamenti online o l'home banking, né via e-mail né per telefono. Se ricevi questa richiesta ignorala, è una truffa!

Per modificare i dati di pagamento, invece, il truffatore può ricorrere ad altre strategie, ad esempio attraverso la truffa nota come man in the browser. In questo modo riesce a intercettare i dati con cui paghi online o usi l'home banking mentre li digiti e a modificare degli ordini di pagamento legittimi dirottandoli a suo favore. Per farlo usa un malware che s'infiltra nel browser (il programma che usi per navigare in internet) e può modificare i dati di pagamento o le pagine web in tempo reale: ad esempio, se stai facendo un bonifico online, può cambiare il destinatario del pagamento e la somma che paghi.

In altri casi ancora, il truffatore tenta di persuaderti a dargli denaro o a comunicargli i dati con cui paghi via internet o usi l'home banking (ingegneria sociale): può fingere di essere qualcuno di cui ti fidi, come un parente, la tua banca, un ente pubblico o un'azienda di cui sei cliente; può prospettarti un evento positivo, come una vincita o un rimborso, o un evento negativo, come una multa o il blocco della tua carta; può crearti, inoltre, un senso di urgenza, ad esempio dandoti una scadenza, per indurti a fare ciò che ti chiede senza riflettere. Questo tipo di truffa è la più subdola perché consente di eludere i sistemi di sicurezza che proteggono il tuo conto: sei, infatti, tu stesso a superarli e disporre l'operazione!

Phishing, smishing, vishing,pharming, spoofing,man in the browser,ingegneria sociale.

Anche sul posto di lavoro si può cadere vittima di truffe che sfruttano l'ingegneria sociale, ad esempio quando:

  • i truffatori si spacciano per dirigenti e inviano e-mail apparentemente legittime al reparto contabilità per chiedere trasferimenti urgenti di denaro (truffa del capo);
  • i truffatori si fingono fornitori di servizi energetici e contattano l'azienda via telefono o e-mail, chiedendo di modificare le coordinate bancarie per il pagamento delle fatture oppure fornendo direttamente fatture con nuove coordinate (truffa della fattura);
  • i truffatori contattano la vittima al telefono aziendale o via e-mail, fingendosi tecnici pronti a risolvere malfunzionamenti su un dispositivo aziendale e convincendo il lavoratore a installare un software per il controllo a distanza che poi utilizzano per rubare dati o installare malware (truffa del supporto tecnico).

Truffa del capo, della fattura, del supporto tecnico

In generale, la distinzione tra le diverse tipologie di truffa non è sempre netta e il truffatore può combinare diversi espedienti: ad esempio, può telefonarti (vishing) e tentare di persuaderti (ingegneria sociale) a cliccare su un link per farti scaricare un malware a tua insaputa.

La tecnologia che ti difende

Se paghi via internet o usi l'home banking l'hai già vista in azione: questa tecnologia si chiama autenticazione forte (SCA - Strong Customer Authentication).

Ti autentichi quando dimostri che sei proprio tu a voler pagare con la tua carta o usare il tuo conto online. In passato bastava dare una singola prova, ad esempio inserire una password; oggi, invece, ne servono almeno due tra le seguenti:

  • conoscenza (qualcosa che solo tu sai, come la password);
  • possesso (qualcosa che solo tu possiedi, come il cellulare);
  • inerenza (qualcosa che ti caratterizza, come la tua impronta digitale).

Ecco perché, ad esempio, quando fai acquisti online con la carta ti può essere chiesto di inserire un PIN (qualcosa che sai) e poi un codice inviato sul tuo cellulare (qualcosa che hai).

I rischi a cui fare attenzione

A causa delle truffe, quando paghi online rischi di vederti sottratti denaro o dati riservati. Per proteggerti è indispensabile che tu sia prudente. Anche se è efficace, infatti, l'autenticazione a due fattori è solo metà della tua barriera contro i truffatori: l'altra sei proprio tu, cioè come ti comporti. Ad esempio, se qualcuno riesce a convincerti a effettuare un pagamento a suo favore, l'autenticazione forte non è efficace perché sei tu stesso a superare i controlli di sicurezza.

Segui questi consigli per minimizzare il rischio di cadere in trappola.

Elenco suggerimenti

Cosa fare se hai subito una truffa

Se un truffatore è riuscito a sottrarti denaro, ad esempio ha pagato con la tua carta o ha fatto un bonifico dal tuo conto online, non è ancora tutto perduto perché puoi disconoscere le operazioni e chiedere il rimborso. Per farlo devi seguire i seguenti passi:

  1. segnala subito alla tua banca le operazioni del truffatore e chiedile il rimborso del denaro sottratto. Per legge, la banca deve risponderti per iscritto entro 15 giorni lavorativi;
  2. se la banca ti nega il rimborso, e ritieni di aver avuto un comportamento corretto, puoi mandarle un reclamo;
  3. se la banca respinge il tuo reclamo, o non risponde entro 15 giorni lavorativi, puoi inviare un ricorso all'Arbitro Bancario Finanziario (ABF) o un esposto alla Banca d'Italia.

Denunciare l'accaduto alle forze dell'ordine non è indispensabile per ottenere il rimborso, ma se lo fai puoi aiutare a combattere le truffe.

Attenzione!

Hai diritto al rimborso solo se hai agito in modo diligente, cioè hai adottato i comportamenti che ti proteggono dalle truffe. Non ne hai generalmente diritto, ad esempio, se il truffatore ti ha chiesto al telefono i dati per accedere al tuo conto online e tu glieli hai dati oppure se qualcuno ti ruba il portafoglio che contiene la carta di credito e il suo PIN.

Riguardo al ricorso all'ABF, ricorda che sono esclusi i pagamenti con il tuo consenso, ad esempio quelli che hai fatto per comprare da un venditore che si è rivelato essere un truffatore.

Vuoi saperne di più su come difenderti dalle truffe nei pagamenti online? Leggi la guida della Banca d'Italia sui pagamenti elettronici, guarda la webserie "I Navigati" e i video di "Cybersicuri - Impresa possibile".

Vedi altri articoli della categoria:

Hai trovato utile questo contenuto?

Contenuti correlati