Conti correnti svuotati attraverso SIM – home banking – carte di credito

L’attuale situazione di grave emergenza sanitaria non ferma purtroppo i grandi attacchi di cyber criminali che entrano in server nazionali ed internazionali al fine di rubare l’identità di numerosi utenti.

Si tratta di “data breach” che si aggiungono alle tecniche più classiche, phishing o malware utilizzati dai criminali per sottrarre dati dai pc o dai cellulari. I malintenzionati (phisher) contattano gli utenti tramite email (phishing), SMS (smishing), WhatsApp o addirittura telefonate (vishing).

I furti di identità avvengono spesso per gradi. Si parte dal furto della mail accedendo alla quale si possono ottenere le password di tutti i servizi collegati (con “recupero password”). Il criminale, avendo accesso alla casella di posta elettronica, riesce a monitorare la corrispondenza fra un’azienda ed un cliente e quando c’è un ordine di acquisto, trasmette al cliente una mail in cui chiede di effettuare il pagamento su di un altro conto corrente: avendo spiato la corrispondenza, il truffatore può fare riferimento a nomi, dettagli numero d’ordine esatti, rendendo la corrispondenza mail più credibile.

Le frodi più frequenti riguardano l’acquisto di oggetti a rate con finanziamento, l’acquisto di credito/servizi di telefonia, l’apertura di conti correnti per l’emissione di assegni a vuoto, oppure l’attivazione di una SIM a nome di colui al quale viene rubata l’identità. In tal caso è possibile registrarsi a tanti servizi, che usano quel numero di telefono come autenticazione ed attivare un finanziamento, a carico di altri oppure è possibile impartire a proprio vantaggio un bonifico.

Recentemente stanno aumentando le sottrazioni illecite di somme di denaro dall’home banking personale attraverso i dati della SIM telefonica. Tale truffa  nota come SIM SWAP viene realizzata quasi sempre nel tardo pomeriggio del fine settimana (es. venerdì o giorno festivo) quando cioè è più problematico contattare il proprio istituto di credito per bloccare l’operazione illecita. Quest’ultima inizia con il blocco del cellulare della vittima che si accorge di non poter effettuare più chiamate in quanto il cellulare risulta “stranamente” non abilitato al traffico entrante. L’ignaro utente segnala il disservizio al call center del proprio gestore telefonico che, dopo un controllo, riscontra di fatti che il suo numero è stato bloccato a seguito di una segnalazione di smarrimento del cellulare. Non solo. L’operatore telefonico conferma che qualcuno, evidentemente sostituendosi all’ignaro utente, ha richiesto l’emissione di una nuova SIM Card con il suo stesso numero. Dopo qualche ora la vittima riceve una notifica sull’applicazione della propria Banca, relativa all’accesso sulla propria home banking di un cellulare diverso dal proprio, accorgendosi di lì a poco che senza alcuna autorizzazione, sono stati illecitamente impartiti ordini di bonifici a perfetti sconosciuti. In alcuni casi vengono impartiti bonifici accedendo anche a due differenti home banking dello stesso utente (una personale e l’altra societaria) in favore di conti correnti bancari con iban differenti totalmente sconosciuti. In altri casi i pagamenti non autorizzati avvengono tramite carta ricaricabile (pure illecitamente ricaricata).

Successivamente le carte di pagamento e la home banking vengono bloccate a seguito del disconoscimento delle suddette operazioni. Spesso gli istituti di credito ritenendo la frode realizzata al di fuori degli ambiti controllati e controllabili dai propri sistemi di sicurezza, purtroppo, ri-addebitano le somme che, in un primo momento, avevano anticipato “salvo buon fine”.

Lo scenario rappresentato è davvero inquietante. E’ fondato il rischio di avere l’home banking svuotata? Ormai tutte le Banche hanno applicazioni e comunicano quasi essenzialmente loro tramite ; l’app infatti è gratuita e costa molto meno del vecchio token. Nella truffa denominata “SIM SWAP” il ruolo della SIM è strategico. Tutti i sistemi di autenticazione a due fattori (2FA), da Facebook, Instagram, Linkedin, fino a G-Mail usano il cellulare come sistema di verifica dell’identità del soggetto. Questo significa che se si dimentica la password di Facebook, di G-Mail, o dello SPID si può richiedere il recupero o il reset della password dal sito. Facebook ad esempio, trasmette un SMS con le istruzioni per il recupero o il reset. Nella truffa SIM Swap queste informazioni arrivano solo sulla SIM duplicata e non su quella della vittima che di fatti è disconnessa dalla rete e quindi non riceverà alcun avviso.

In tutto questo meccanismo, ci sono delle gravi responsabilità a carico:

a) del gestore telefonico che spesso con troppa facilità fornisce un duplicato della SIM, senza accertarsi della vera identità del soggetto richiedente (attraverso, per esempio, i dati di accesso e di login, un documento di identità oppure semplicemente copia della formale denuncia ai Carabinieri di smarrimento del cellulare);

b) della Banca che per censire un nuovo dispositivo non ha effettuato alcun controllo antifrode: sarebbe stato sufficiente usare le funzioni di geo-localizzazione e fare un profiling del tipo di operazioni svolte per accorgersi che i bonifici disposti con buona probabilità non erano “legittimi”.

Il furto d’ identità è conseguenza di una violazione dei dati personali, ossia di un data breach (Regolamento sulla protezione dei dati personali UE 2016/679), che attesta inequivocabilmente la mancata adozione di misure tecniche adeguate di protezione atte a prevenire questi gravi eventi ed i conseguenti gravi danni economici.

I provvedimenti dell’Autorità Garante della privacy richiamano espressamente l’obbligo di identificare la clientela nell’esecuzione delle diverse operazioni bancarie e ciò al fine di consentire di assumere ogni opportuna iniziativa idonea ad evitare azioni illecite.

C’è modo di incastrare il “truffatore”? Tutte le azioni che il malfattore ha posto in essere lasciano tracce indelebili sui sistemi a cui si connettono. Acquisendo i dati di accesso alle varie piattaforme e correlandole fra loro, potrebbe essere possibile individuare il malfattore e documentare la frode posta in essere. E’ necessaria molta attenzione prima di fare un bonifico: bisogna essere certi che l’iban del destinatario corrisponda al beneficiario corretto. Non è sufficiente che il nominativo sia giusto: le banche a volte tengono conto solo dell’iban per autorizzare il bonifico (anche se quello corrisponde a un nominativo diverso da quello inserito dall’utente).

Per prevenire il furto di identità creditizia è utile attivare un servizio di verifica delle operazioni finanziarie fatte con il nostro nome (attivazione finanziamenti o carte di credito).

E’ opportuno quindi attivare sia una doppia autenticazione, laddove possibile (per la mail ed i servizi social), sia un servizio di notifica che ci avverta sui movimenti dei conti correnti, sull’utilizzo della carta di credito o sull’inoltro di un bonifico, in modo da consentirci di controllare, in tempo reale, saldi, accrediti, addebiti, scadenze ed esiti di pagamento dei conti, delle carte e degli investimenti. Dovremmo poter scegliere più avvisi, anche via app ed email non solo quindi sul cellulare certificato.

Per aumentare la Nostra sicurezza dovremmo poter scegliere di ridurre il limite di spesa sulla carta, di ridurre l’importo dei bonifici on line (non tutte le Banche lo prevedono) e al tempo stesso limitare l’ambito geografico di utilizzo. Non dovremmo poi mai affidare la carta a terze persone, neanche a un familiare, per eseguire operazioni bancarie. Nonostante i siti e le apps delle banche online siano ormai iper-certificate e progettate con elevati sistemi di sicurezza, crittografia ed avanzate tecnologie, purtroppo ancora non riescono a garantire massimi livelli di sicurezza nell’utilizzo dei servizi bancari e dei sistemi di pagamento elettronici conseguentemente non riescono in assoluto a prevenire frodi.

Bisogna quindi procedere con tempestività a bloccare le carte, denunciando le frodi alle Autorità, al fine di acquisire in modalità forense, mediante esperti consulenti informatici forensi, i dati di accesso alle varie piattaforme da poter poi utilizzare in giudizio. Se è pur vero che il malfattore lascia tante tracce è anche vero che in molti paesi stranieri le leggi consentono la conservazione dei dati di accesso per poco tempo. L’adozione di metodologie scientifiche di digital forensics è quindi importante per acquisire un quadro probatorio fondato su elementi oggettivi e verificabili utili in sede giudiziaria

Maria Tamma

Maria Tamma