- Sicurezza
- Le 10 cose da sapere sulla cybersecurity
Cybersecurity la conosci davvero?
Ti forniamo le domande e le risposte più frequenti in collaborazione con le 14 Associazioni dei Consumatori partner del Programma Noi&UniCredit.
Le informazioni personali, in particolare quelle bancarie, sono una risorsa per i malintenzionati del web, tanto da aver generato un mercato nero in cui si scambiano ad esempio dati rubati relativi a carte di credito e/o conti correnti. Per ottenere tali dati spesso il truffatore invia una falsa comunicazione via mail/sms, oppure contatta la vittima via telefono e fnge di parlare a nome di una banca o di un noto marchio. Utilizzando argomentazioni pretestuose (il blocco della carta o del conto online, presunte vincite, vantaggi o premi) o dimostrando di essere a conoscenza di alcuni dati bancari, tenta di conquistare la fducia della vittima inducendola a comunicare o digitare sul pc/telefono codici d’accesso, password, dati personali che saranno poi utilizzati per effettuare acquisti e transazioni all’insaputa del titolare.
ATTENZIONE
In caso di operazioni di pagamento non autorizzate, la direttiva PSD2 prevede che la banca debba rimborsare al cliente l’importo dell’operazione stessa previa richiesta di rimborso corredata dalla documentazione necessaria (ad es. denuncia alle forze dell’ordine). Il rimborso deve avvenire immediatamente o, al più tardi, entro la fine della giornata lavorativa (secondo il calendario operativo degli intermediari finanziari) successiva a quella in cui l’intermediario ha preso atto della segnalazione da parte del cliente. Il rimborso verrà effettuato salvo buon fine. Questo significa che la banca - qualora dimostri la colpa grave, il dolo o l’utilizzo improprio dei servizi di pagamento da parte del consumatore - potrà successivamente addebitare l’importo inizialmente rimborsato. Inoltre la banca non risponderà dei danni nel caso in cui il cliente, cadendo nella trappola di un truffatore, abbia fornito tutti i dati necessari a violare i sistemi di sicurezza previsti.
Si tratta di una truffa realizzata tramite e-mail. La vittima riceve un’e-mail, apparentemente inviata dalla propria banca o da altra nota società, in cui è presente un link attraverso il quale accedere direttamente al sito internet del mittente. In realtà nei casi di phishing il link rimanda ad un “sito clone” appositamente creato riproducendo grafica e contenuti del sito ufficiale così da farlo apparire identico a quello vero. Attraverso il sito clone vengono raccolti dati personali, codici di accesso o dati delle carte al fine di utilizzarli fraudolentemente.
ATTENZIONE
Esistono alcuni accorgimenti per difendersi dal phishing: diffidare delle e-mail che nell’intestazione non riportano nome, eventuale codice cliente e altri dati in possesso della società o della banca. Controllare sempre che i link portino effettivamente all’indirizzo ufficiale del mittente, a tal proposito ricordate che i truffatori sono esperti e spesso indicano indirizzi molto simili a quelli ufficiali. In caso di dubbio contattare ad esempio via telefono la propria banca utilizzando i numeri ufficiali (non quelli eventualmente riportati nella mail sospetta) per chiedere informazioni.
Esistono alcuni elementi che aiutano ad identificare un possibile sito clone/truffa: mancanza di indicazione dei dati del venditore (sede, telefono, partita IVA, iscrizione al registro delle imprese, etc.), errori grammaticali o di ortografia nei testi del sito, mancanza di informativa privacy o di condizioni generali di vendita, modalità di pagamento insolite (ad es. accettazione del solo bonifico bancario), utilizzo di un nome per il sito non attinente all’attività svolta (ad es. un nome legato al cibo per un sito che vende scarpe), vendita di prodotti di marca (specie nel settore abbigliamento) a prezzi estremamente vantaggiosi/fuori mercato. Si tratta di semplici indizi, che devono però mettere in allerta sulla correttezza del venditore.
ATTENZIONE
Anche se suggerito da un noto sito o personaggio, prima di fare acquisti per la prima volta è opportuno controllare sui social e su siti di opinione i commenti di altri utenti che hanno già utilizzato il sito. Focalizzandosi in particolare su forum che offrono feedback di acquirenti verificati (ovvero per i quali il sito che li ospita certifica l’effettivo acquisto del bene) e su commenti non generici, a conferma di una reale esperienza di acquisto. Meglio non fermarsi alla media dei voti degli utenti ma controllare da cosa deriva, diffidando di venditori che hanno, contemporaneamente, solo commenti molto positivi e molto negativi.
Purtroppo sì, in questo caso si parla di smishing. La vittima riceve un SMS, apparentemente inviato dalla propria banca o da altra società, in cui il truffatore falsifica il nome del mittente. Nell’SMS è presente un link che sembra consentire al cliente di accedere direttamente al sito del mittente; in realtà il link reindirizza la vittima ad un “sito clone”. In altri casi invece l’SMS invita la vittima a contattare un numero telefonico al quale risponde un operatore che richiede dati personali e bancari per utilizzarli in maniera fraudolenta.
ATTENZIONE
Diffidare di SMS che contengono link e mancano di riferimenti personali come il nome o numero identificativo del cliente o della presunta operazione. Diffidare anche di messaggi che promettono vincite e sconti a fronte dell’inserimento di dati personali o riservati.
Questa tipologia di frode nota come vishing si verifica quando la vittima riceve una telefonata da un sedicente operatore del servizio clienti, dell’ufficio antifrode della banca o da un risponditore automatico. L’operatore fa riferimento a problemi di varia natura (funzionamento del servizio di home banking, tentativi di accesso da parte di terzi, registrazione di movimenti sospetti sul conto o sulle carte, mancato recapito della carta, etc.) per la risoluzione dei quali chiede a voce o tramite digitazione sulla tastiera del telefono informazioni riservate quali: codici di accesso al servizio, password, numeri di carte di credito/bancomat/prepagate o il PIN ad esse collegato.
ATTENZIONE
In caso di telefonate sospette, contattare immediatamente la vostra banca per segnalare l’accaduto. Non comunicare informazioni bancarie o personali all’interlocutore anche se il numero da cui chiama sembra familiare, infatti anche il numero di telefono potrebbe essere contraffatto.
I malware sono programmi dannosi che vengono installati, all’insaputa dell’utente, sul pc, telefono o tablet: navigando in siti oggetto di pirateria informatica (cosiddetto hackeraggio), configurando software provenienti da fonti non sicure o aprendo allegati infetti (ovvero contenenti virus informatici) arrivati via e-mail. Il malware, una volta installato, agisce ad es. nel momento in cui l’utente digita l’indirizzo del sito della propria banca mostrando anziché il sito ufficiale un “clone” che consentirà ai truffatori di entrare in possesso dei codici di accesso e della password inseriti dalla vittima.
ATTENZIONE
La presenza di un malware può essere segnalata da una connessione internet particolarmente lenta. Qualora il sito mostrato presenti visualizzazioni anomale (ad es. mancato caricamento di tasti normalmente presenti) ovvero richieste inusuali (ad es. inserimento di password tramite pop up) è opportuno non inserire dati e contattare attraverso canali ufficiali il servizio clienti della propria banca. Per evitare che i propri dispositivi vengano infettati si raccomanda di utilizzare antivirus e sistemi operativi aggiornati, ai più esperti si consiglia inoltre di utilizzare un firewall per controllare il flusso di informazioni del computer e verificare se dal Task Manager risultano processi sconosciuti in esecuzione.
Questa truffa informatica si verifica quando si installa inconsapevolmente un malware sul proprio dispositivo che agisce bloccandone il funzionamento o rendendo indisponibili i dati in esso salvati. La vittima viene quindi invitata a contattare un finto numero di assistenza per sbloccare il device. I sedicenti tecnici richiederanno a questo punto un compenso per l’assistenza o per un abbonamento ad un servizio. In taluni casi, per rendere nuovamente disponibili i dati, può essere richiesto il pagamento di un vero e proprio “riscatto” (spesso in criptovaluta).
ATTENZIONE
Diffidare delle offerte di assistenza e non consentire che qualcuno prenda il controllo del dispositivo da remoto anche se l’operatore offre aiuto per risolvere un problema, a meno che non si tratti di un operatore di fiducia contattato autonomamente.
In questi casi la vittima, tramite siti di compravendita, entra in contatto con il sedicente venditore con cui inizia la trattativa via telefono. Raggiunto l’accordo, il venditore richiede il pagamento del bene tramite assegno ed invita la vittima ad inviargli (solitamente tramite whatsapp o e-mail) una foto dell’assegno compilato come prova della sua volontà di concludere l’acquisto. A quel punto il truffatore riproduce “un clone” dell’assegno e prova ad incassarlo presentandolo allo sportello.
ATTENZIONE
È sconsigliato far circolare immagini di assegni bancari o circolari. Nel caso in cui fosse assolutamente necessario, è opportuno fotografare una fotocopia dell’assegno oscurando il numero di serie e il QR Code. Il venditore avrà ugualmente la prova dell’intenzione di concludere l’affare ma non disporrà degli elementi necessari per falsificare l’assegno.
La clonazione consiste in una vera e propria duplicazione (digitale o fisica) di una carta di credito, che consente di utilizzarla ad es. facendo acquisti su siti di e-commerce, anche se la carta originale è ancora in possesso del titolare. Ci sono diverse tecniche con cui i truffatori possono ottenere i dati della carta per realizzarne una “copia”. Ad esempio attraverso un malware inconsapevolmente installato sul pc, un’e-mail di phishing, acquisti su siti non sicuri fatti dalla vittima stessa, consegna senza sorveglianza della carta per pagamenti, etc.
ATTENZIONE
Per evitare la clonazione della carta di credito si possono seguire alcune accortezze:
- privilegiare gli acquisti su siti che adottano sistemi di pagamento con elevati standard di sicurezza ad es. Verifed by Visa, Visa Secure/MasterCard Secure code, MasterCard Identity Check e il protocollo 3D secure;
- comprare su siti affdabili e già sperimentati da altri utenti controllando preventivamente le recensioni;
- evitare, se possibile, di utilizzare la funzione memorizza dati carta;
- non comunicare, specialmente via mail o telefono, i dati della carta o il PIN ad essa collegato.
Inoltre per avvedersi tempestivamente di eventuali frodi in atto sulla propria carta è opportuno controllare frequentemente i movimenti e mantenere aggiornati i propri dati personali per poter essere contattati facilmente dalla propria banca e ricevere eventuali sms alert o notifche push che segnalano l’utilizzo della propria carta.
Le nuove tecnologie e le nuove abitudini di acquisto/vendita dei consumatori aprono la via a nuovi scenari fraudolenti. Ad esempio quando si mettono in vendita prodotti su internet occorre fare attenzione a non cadere in una truffa ormai piuttosto diffusa. La frode prevede che il venditore venga contattato da una persona che si finge interessata all’acquisto. L’acquirente si offre di pagare subito tramite “ricarica” di una carta prepagata del venditore da effettuare ad un ATM. La vittima inserisce la propria carta nell’ATM e viene guidata inconsapevolmente nel fare una ricarica verso la prepagata del frodatore. In pratica il frodatore guida telefonicamente la vittima nel menù dell’ATM, indicandogli di effettuare l’operazione di ricarica della carta prepagata, mentendo sul fatto che tale operazione comporterà l’accredito della somma sulla carta della vittima, quando invece nella realtà accrediterà la carta del frodatore.
ATTENZIONE
In caso di vendite on-line chiedere il pagamento della merce con metodi tradizionali e sicuri (ad es. bonifico bancario) e diffidate da chi invita ad andare su un ATM a fare operazioni di ricarica o accredito.
Le informazioni sono aggiornate a Luglio 2022
Questo Sito utilizza Cookie tecnici, Cookie analytics e Cookie di profilazione, anche installati da soggetti terzi (cd. Cookie di Terza Parte).
I Cookie di profilazione sono utilizzati, previo tuo consenso e, se del caso, anche insieme ad altre informazioni che UniCredit S.p.A. già detiene, al fine di proporti messaggi pubblicitari in linea con le tue preferenze.
Ulteriori informazioni sui Cookie installati mediante il Sito sono disponibili accedendo alla Cookie Policy, resa sempre diponibile all’interno del Sito.
Cliccando sulla X in alto a destra la tua navigazione continuerà in assenza di Cookie di profilazione.