La protezione c’è

In fin dei conti bastano solo un po’ di accortezza e un comportamento in linea con i nostri consigli. Ecco quali sono le indicazioni più semplici per non cadere nei tranelli, che elenchiamo a seconda delle differenti tecniche.

- Phishing. Deriva dal verbo inglese to fish che significa pescare. Il metodo consiste nel raccogliere dati richiedendoli via email con messaggi contraffatti, che sembrano inviati dalle banche dove si ha un conto corrente o da cui si è ottenuta una carta di credito. La lettera elettronica  invita a compilare un modulo allegato o presente su una pagina Web. I dati richiesti, che sono poi quelli personali e riguardanti conto corrente e carta di credito, vengono così “pescati” dal truffatore che ha inviato l’email, e che se  ne servirà per acquistare merci ma soprattutto servizi via Internet. Se si ha qualche dubbio circa la provenienza di email del genere, è consigliabile contattare al telefono la propria banca e verificare se davvero da lì è partito il messaggio. Generalmente nessuna banca utilizza questo metodo, compresa Bancoposta, i cui correntisti proprio all’inizio di febbraio di quest’anno sono stati oggetto di un attacco di phishing, tramite una email trabocchetto che rimandava a un sito truffaldino la cui denominazione differiva dall’originale per una semplice vocale finale.

- Phishing via telefono. Si tratta di una vera novità nel campo delle truffe telematiche: il malcapitato riceve un sms sul cellulare che lo invita a chiamare un numero di telefono per verificare acquisti sospetti effettuati con la carta di credito. Una volta collegato a quel numero l’incauto utente si sente chiedere da un messaggio automatico il numero della carta di credito e il Pin. Se si obbedisce a quella richiesta, per il truffatore, il gioco è fatto. Poiché le società che rilasciano le carte di credito non richiedono mai via telefono i dati della carta, al massimo avvertono di transazioni di particolare entità, il consiglio è di non inviare mai numeri e codice d’accesso della propria carta. Chi riceve sms sospetti farà meglio a contattare l’ente emittente  o la propria banca.

- Skimming. Un piccolo apparecchio chiamato skimmer permette di carpire il numero della carta di credito e il suo codice segreto. Si tratta di uno strumento molto piccolo che però riesce a immagazzinare molti dati, che sono poi trasferiti tramite un Pc su tessere di plastica. Per riuscire a utilizzare l’apparecchio i truffatori devono  strisciare la banda magnetica della carta di credito originale e quindi devono potere mettere le mani, anche per pochi minuti, sul documento. Lo skimming infatti non viene perpetrato tramite Internet ma quando si utilizza in modo tradizionale la carta, per pagamenti fatti di persona nei negozi, nei ristoranti, dove con la scusa di procedere a qualche tipo di controllo la carta rimane per pochi minuti nelle mani di un malintenzionato, lontano dagli occhi del legittimo proprietario. Ci si protegge dallo skimming non lasciando mai a nessuno la possibilità di agire senza che ci sia il nostro controllo. Il pagamento con la carta di credito va effettuato davanti all’acquirente, anche al ristorante.

L’utilizzo fraudolento dello skimmer ha i giorni contati: presto la banda magnetica di tutte le carte di credito sarà cambiata con un chip. Anzi, la sostituzione doveva avvenire nel corso del 2005, ma solo alcune banche l’hanno realizzata.

C’è  tuttavia un altro metodo per carpire il codice segreto: attraverso una microtelecamera che i truffatori nascondono vicino al punto da  cui si preleva denaro sia con la carta di credito sia con il bancomat.

- Trashing. Deriva dalla parola inglese trash, spazzatura. I malintenzionati raccolgono i documenti cestinati, dai quali apprendono il numero delle carte  e altri dati personali.

Ci si difende facilmente dal trashing evitando di gettare nella spazzatura estratti conto e ricevute di pagamento, che contengono le informazioni tanto ambite dai truffatori.

- Sniffing. È il solo caso in cui i dati sensibili vengono intercettati durante gli acquisti online. I responsabili però sono esperti hacker.

Se i metodi per raccogliere i dati relativi alle carte di credito poco hanno a che fare con l’utilizzo di Internet, l’uso truffaldino che se ne fa è quasi esclusivamente online. Il motivo è facilmente intuibile: quando si acquista tramite Web, la firma che normalmente si è soliti apporre alla ricevuta quando si compra con carta di credito di persona, non ha il corrispettivo negli acquisti online. Quindi non vi è la certezza che chi sta utilizzando quella forma di pagamento sia davvero il titolare della carta. Il rischio di essere truffato lo corre però chi vende beni e servizi tramite Internet e accetta la carta di credito come mezzo di pagamento, che del resto è la forma più comoda per regolare la compravendita quando venditore e acquirente sono in contatto solo grazie a un computer. I titolari di carta di credito devono controllare periodicamente e attentamente l’estratto conto mensile in modo da accorgersi prontamente se qualcun altro ha effettuato acquisti con la loro carta di credito. Una volta contestati gli eventuali addebiti fraudolenti, il titolare della carta rientra in possesso del denaro, mentre il commerciante si vedrà addebitata la stessa somma dalla società emittente la carta.

Le banche si tutelano

Per limitare le possibilità di uso illecito di carte di credito altrui, le banche e le società che le emettono hanno sviluppato – e aggiornano continuamente – sistemi che dovrebbero garantire la sicurezza delle transazioni agli esercenti che accettano pagamenti online.

Questi sistemi spesso sono a pagamento, e non c’è motivo perché un titolare, che non ha alcuna responsabilità se la sua carta è utilizzata da altri in modo fraudolento, paghi per godere di questo sovrappiù di sicurezza.

Agli esercenti invece conviene, perché in caso di contestazioni – purtroppo anche questi sistemi possono essere aggirati – è l’emittente della carta ad accollarsi il danno.

Il sistema, chiamato 3D Secure, è stato adottato sia da Visa (Verified by Visa) sia da Mastercard (Secure Mastercard). Protegge gli esercenti e, in caso di contestazioni per uso fraudolento, le conseguenze del danno sono a carico di Visa o Mastercard.

- Verified by Visa. È un servizio gratuito a cui può aderire il titolare della carta tramite la sua banca. Per ora in Italia è disponibile solo per le carte Bankamericard, emesse da Deutsche Bank. Attualmente sono solo 44 i negozianti online che hanno aderito, un numero davvero esiguo.

- Secure Mastercard. È una procedura valida sia per carte Mastercard sia Maestro. I titolari ricevono una password a titolo gratuito che utilizzano per identificarsi quando effettuano pagamenti nei siti convenzionati.

Alcuni esercenti online – tra i quali le Ferrovie dello Stato nella sezione acquisto dei biglietti dei treni – accettano le carte di credito se accompagnate dalle ultime tre cifre del numero riportato sul retro della carta di credito, sulla striscia riservata alla firma del titolare. 

Il ruolo del legislatore

La soluzione del problema delle truffe perpetrate con carte di credito non può essere affidata esclusivamente alle banche o alle società emittenti. Anche il legislatore deve fare la sua parte, come infatti è accaduto lo scorso anno quando il Parlamento ha approvato una legge (n. 166 del 17 agosto 2005) con lo scopo di prevenire le frodi con carte di pagamento. Uno degli strumenti previsti dalla norma è un archivio informatizzato nel quale convogliare tutte le informazioni provenienti sia dalle società che emettono le carte di credito sia da quelle che convenzionano i punti vendita. In questo modo, incrociando i dati di tutti i gestori di carte, si avrebbe un quadro continuamente aggiornato, e salterebbero all’occhio situazioni sospette, come per esempio negozi dove le frodi capitano troppo di sovente. Purtroppo non è stato ancora approvato il decreto attuativo e la legge, buona nelle intenzioni, rischia di restare lettera morta. Per questo, Altroconsumo chiede a gran voce al nuovo Parlamento di rendere operativa quella norma, che potrebbe davvero limitare le frodi.

Inoltre Altroconsumo intende chiedere che sia recepita anche nei regolamenti delle tessere bancomat la Raccomandazione UE 489/97, che prevede in caso di furto/smarrimento il limite di responsabilità di 150 euro per il titolare (purché abbia fatto la comunicazione all’emittente) per gli utilizzi prima della denuncia e non prevede responsabilità per l’uso della carta dopo la denuncia. Infatti è provato che non è vero quello che sostengono le banche, e cioè che se il truffatore riesce a carpire il Pin la colpa è del titolare che non l’ha ben custodito. Grazie a telecamere ben nascoste nei pressi della tastiera, i truffatori sono in grado di accedere a quegli importanti dati, senza alcuna responsabilità da parte di chi sta digitando il proprio codice.

Difendersi dai ladri di dati

Ci sono accorgimenti da seguire quando si acquista via Internet per non cadere nelle trappole tese dai truffatori per carpire dati.

- Accertarsi che il venditore esista veramente e che non sia una invenzione virtuale e quindi nel sito ci siano tutti quegli elementi, compreso indirizzo e numero di telefono, che lo rendano rintracciabile.

- Digitare il numero della propria carta di credito solo nei siti dove in basso, sul lato destro dello schermo, appare un lucchetto, che sta a indicare la protezione attraverso un sistema di sicurezza internazionale.

- La strategia antiskimming, che riguarda non solo la carta di credito ma anche la tessera bancomat,  si attua non lasciando mai a lungo la propria carta di credito in mano a sconosciuti (attenzione anche quando si pagano al tavolo i conti del ristorante: meglio andare alla cassa, per controllare che la carta sia utilizzata solo sul Pos per pagare il conto). Mentre invece quando si fanno prelievi al bancomat fare in modo di nascondere il più possibile la tastiera, mentre digitate il codice segreto.

- La carta di credito rimane lo strumento per pagare su Internet che fornisce le maggiori tutele per il consumatore, quindi non c’è alcun bisogno di acquistare servizi a pagamento, come ad esempio il Bankpass Web, concepito per la sicurezza delle emittenti e dei commercianti.

- Chi non ha – né vuole avere - una carta di credito, può comunque regolare i propri acquisti via Internet tramite una carta prepagata, (i migliori acquisti sono Carta Viola di Carifirenze, Carta Jeans della BPM e Postepay di Poste Italiane).