Frodi bancarie e “sim swap”

Le contromisure introdotte dalla direttiva europea UE 2015/2366 sui servizi di pagamento (c.d. “direttiva PSD2”, recepita con D.Lgs. n.218/2017) garantiscono maggiore protezione nelle transazioni elettroniche, attraverso l’adozione di stringenti misure di autenticazione (obbligatorie dal 14 settembre 2019) che prevedono l’uso contestuale di più fattori di riconoscimento. Da qualche anno in Italia – e più in generale in Europa – il furto d’identità è stato associato ad una particolare tipologia di truffa informatica, identificata col nome di “frode sim swap”. Sul sito istituzionale della Polizia Postale e delle Comunicazioni – in relazione ad operazioni investigative di esito positivo – ne viene fornita una sintetica descrizione: “una avanzata tipologia di frode informatica articolata in vari passaggi. Una volta individuata la vittima si procede alla acquisizione dei suoi dati e delle credenziali di home banking tramite tecniche di hacking ovvero di ingegneria sociale e, successivamente, utilizzando documenti falsificati ad hoc, si sostituisce la sim card della vittima e, attraverso lo stesso numero telefonico, si ottengono dalla banca le credenziali per operare sul conto corrente on-line”. Si tratta dunque di una frode complessa, strutturata in fasi progressive con lo scopo di sottrarre somme di danaro dal conto corrente del malcapitato. Nel primo step criminoso, finalizzato a carpire i dati personali della vittima, vengono utilizzate tecniche di phishing e di social engineering, che si concludono con la sottrazione delle sue chiavi di accesso al servizio di home banking. Ottenute le credenziali, i criminali agiscono rapidamente per ottenere la sostituzione della sua carta sim, per poi procedere alla richiesta, verso la banca, del codice temporaneo di autorizzazione (c.d. OTP, “One Time Password”) alle operazioni dispositive sul conto. Per prima cosa viene chiamato il call center dell’operatore, al quale i criminali, fingendosi intestatari della sim, dichiarano il furto o lo smarrimento della carta, così da ottenerne il blocco. Subito dopo si recano presso un negozio del gestore telefonico e – grazie all’uso di documenti falsi – procedono al trasferimento della numerazione della vittima su una nuova sim. Da questo momento i malfattori sono in grado di ricevere, via sms, il codice temporaneo necessario ad eseguire online le operazioni dispositive sul conto della vittima. Va da sé che l’assenza di abilitazioni dispositive sul conto mette al riparo il correntista da possibili bonifici fraudolenti effettuati con tecnica sim swap, qualora il servizio di home banking venga utilizzato dall’utente ai soli fini informativi (es. verifica dei movimenti sul conto corrente o del portafoglio titoli). Una vigilanza costante sul proprio conto corrente può permettere di sventare in tempo la frode, bloccando eventuali bonifici illeciti non ancora consolidati. Dal punto di vista dell’utente, la frode si manifesta attraverso un’improvvisa interruzione della linea telefonica, dovuta al blocco della sua carta. Tale interruzione – quando non sia dovuta ad un down della rete mobile, evento peraltro poco frequente – dovrebbe suscitare allarme nel correntista, stimolandolo ad una immediata verifica presso il gestore telefonico e presso la banca, ed eventualmente disponendo una temporanea sospensione cautelare delle operatività sul conto. È frequente purtroppo che la vittima prenda consapevolezza dei fatti solo dopo la scoperta degli ammanchi bancari, per poi sporgere denuncia confidando negli esiti favorevoli delle successive attività investigative. La preoccupante capillarità del fenomeno, diffuso da tempo sull’intero territorio nazionale, ha spinto l’Authority italiana delle comunicazioni (AGCOM) – dopo una fase di consultazione pubblica cui hanno preso parte gli stessi operatori – ad approvare nel luglio scorso una delibera (n. 86/21/CIR) che interviene sui processi di sostituzione delle sim, introducendo meccanismi di prevenzione che assicurino al cliente notifiche immediate sullo svolgimento delle procedure di sostituzione, in modo da garantire il consapevole assenso dell’utente alla prosecuzione delle attività di sostituzione della carta. La procedura, infatti, si interrompe laddove manchi la conferma della richiesta di sostituzione da parte del titolare della sim. La prevenzione si conferma, come sempre, elemento fondamentale, da attuarsi prestando la massima attenzione ad ogni attività – sia online che offline – che possa mettere a rischio la sicurezza dei propri dati personali. Ogni istituto bancario, come anche i gestori telefonici, dedicano da tempo al tema un ampio spazio di informazione, con specifiche campagne di public awareness. CERTFin, consorzio dedicato alla prevenzione del crimine informatico – la cui presidenza è condivisa tra Bankitalia ed ABI – fornisce, nella sezione Educational del sito www.certfin.it, preziose indicazioni su come gestire e soprattutto su come prevenire eventuali frodi sim swap. Andrà pertanto limitata la condivisione di informazioni personali diffuse sui social network, come è anche opportuno diffidare di link o di allegati sospetti ricevuti tramite e-mail, sms o messaggistica whatsapp: pertanto massima cautela ogni qualvolta si riceva un messaggio che richieda di cliccare su un link, anche quando sembri provenire da fonti affidabili. È bene diffidare anche di eventuali richieste telefoniche di dati personali, quand’anche sembrino provenire da funzionari della propria banca. L’impegno nelle attività di prevenzione e contrasto profuso dalle Autorità, dalle banche, dagli operatori telefonici e dall’Authority di settore, ha richiesto e richiede tutt’ora un grande spirito di collaborazione fra queste istituzioni, che devono però poter contare anche su quello degli utenti, attraverso queste semplici, ma efficaci, regole di prudenza.

Le contromisure introdotte dalla direttiva europea UE 2015/2366 sui servizi di pagamento (c.d. “direttiva PSD2”, recepita con D.Lgs. n.218/2017) garantiscono maggiore protezione nelle transazioni elettroniche, attraverso l’adozione di stringenti misure di autenticazione (obbligatorie dal 14 settembre 2019) che prevedono l’uso contestuale di più fattori di riconoscimento. Da qualche anno in Italia – e più in generale in Europa – il furto d’identità è stato associato ad una particolare tipologia di truffa informatica, identificata col nome di “frode sim swap”. Sul sito istituzionale della Polizia Postale e delle Comunicazioni – in relazione ad operazioni investigative di esito positivo – ne viene fornita una sintetica descrizione: “una avanzata tipologia di frode informatica articolata in vari passaggi. Una volta individuata la vittima si procede alla acquisizione dei suoi dati e delle credenziali di home banking tramite tecniche di hacking ovvero di ingegneria sociale e, successivamente, utilizzando documenti falsificati ad hoc, si sostituisce la sim card della vittima e, attraverso lo stesso numero telefonico, si ottengono dalla banca le credenziali per operare sul conto corrente on-line”. Si tratta dunque di una frode complessa, strutturata in fasi progressive con lo scopo di sottrarre somme di danaro dal conto corrente del malcapitato. Nel primo step criminoso, finalizzato a carpire i dati personali della vittima, vengono utilizzate tecniche di phishing e di social engineering, che si concludono con la sottrazione delle sue chiavi di accesso al servizio di home banking. Ottenute le credenziali, i criminali agiscono rapidamente per ottenere la sostituzione della sua carta sim, per poi procedere alla richiesta, verso la banca, del codice temporaneo di autorizzazione (c.d. OTP, “One Time Password”) alle operazioni dispositive sul conto. Per prima cosa viene chiamato il call center dell’operatore, al quale i criminali, fingendosi intestatari della sim, dichiarano il furto o lo smarrimento della carta, così da ottenerne il blocco. Subito dopo si recano presso un negozio del gestore telefonico e – grazie all’uso di documenti falsi – procedono al trasferimento della numerazione della vittima su una nuova sim. Da questo momento i malfattori sono in grado di ricevere, via sms, il codice temporaneo necessario ad eseguire online le operazioni dispositive sul conto della vittima. Va da sé che l’assenza di abilitazioni dispositive sul conto mette al riparo il correntista da possibili bonifici fraudolenti effettuati con tecnica sim swap, qualora il servizio di home banking venga utilizzato dall’utente ai soli fini informativi (es. verifica dei movimenti sul conto corrente o del portafoglio titoli). Una vigilanza costante sul proprio conto corrente può permettere di sventare in tempo la frode, bloccando eventuali bonifici illeciti non ancora consolidati. Dal punto di vista dell’utente, la frode si manifesta attraverso un’improvvisa interruzione della linea telefonica, dovuta al blocco della sua carta. Tale interruzione – quando non sia dovuta ad un down della rete mobile, evento peraltro poco frequente – dovrebbe suscitare allarme nel correntista, stimolandolo ad una immediata verifica presso il gestore telefonico e presso la banca, ed eventualmente disponendo una temporanea sospensione cautelare delle operatività sul conto. È frequente purtroppo che la vittima prenda consapevolezza dei fatti solo dopo la scoperta degli ammanchi bancari, per poi sporgere denuncia confidando negli esiti favorevoli delle successive attività investigative. La preoccupante capillarità del fenomeno, diffuso da tempo sull’intero territorio nazionale, ha spinto l’Authority italiana delle comunicazioni (AGCOM) – dopo una fase di consultazione pubblica cui hanno preso parte gli stessi operatori – ad approvare nel luglio scorso una delibera (n. 86/21/CIR) che interviene sui processi di sostituzione delle sim, introducendo meccanismi di prevenzione che assicurino al cliente notifiche immediate sullo svolgimento delle procedure di sostituzione, in modo da garantire il consapevole assenso dell’utente alla prosecuzione delle attività di sostituzione della carta. La procedura, infatti, si interrompe laddove manchi la conferma della richiesta di sostituzione da parte del titolare della sim. La prevenzione si conferma, come sempre, elemento fondamentale, da attuarsi prestando la massima attenzione ad ogni attività – sia online che offline – che possa mettere a rischio la sicurezza dei propri dati personali. Ogni istituto bancario, come anche i gestori telefonici, dedicano da tempo al tema un ampio spazio di informazione, con specifiche campagne di public awareness. CERTFin, consorzio dedicato alla prevenzione del crimine informatico – la cui presidenza è condivisa tra Bankitalia ed ABI – fornisce, nella sezione Educational del sito www.certfin.it, preziose indicazioni su come gestire e soprattutto su come prevenire eventuali frodi sim swap. Andrà pertanto limitata la condivisione di informazioni personali diffuse sui social network, come è anche opportuno diffidare di link o di allegati sospetti ricevuti tramite e-mail, sms o messaggistica whatsapp: pertanto massima cautela ogni qualvolta si riceva un messaggio che richieda di cliccare su un link, anche quando sembri provenire da fonti affidabili. È bene diffidare anche di eventuali richieste telefoniche di dati personali, quand’anche sembrino provenire da funzionari della propria banca. L’impegno nelle attività di prevenzione e contrasto profuso dalle Autorità, dalle banche, dagli operatori telefonici e dall’Authority di settore, ha richiesto e richiede tutt’ora un grande spirito di collaborazione fra queste istituzioni, che devono però poter contare anche su quello degli utenti, attraverso queste semplici, ma efficaci, regole di prudenza.

Pubblicitàspot_img
Pubblicitàspot_img

Ultimi articoli