Cos’è il phishing bancario e come non cadere nel tranello

Con l’avvento delle nuove tecnologie digitali e la sempre più massiccia diffusione dell’home banking, il fenomeno delle truffe sul web è diventato particolarmente problematico. Difatti, i truffatori telematici si fanno sempre più scaltri e audaci, imponendo a banche, correntisti e semplici navigatori della rete un’attenzione costante.

Con questa breve trattazione, si cercherà di capire cosa si intende per phishing bancario, per poi analizzare le modalità di phishing più comuni, arrivando, infine, a fornire qualche utile consiglio per difendersi da questa pericolosa pratica.

Che cos’è il phishing

Phishing è un termine inglese che deriva dal verbo fishing, ossia pescare. Già l’etimologia della parola fa ben capire di cosa si tratta. Difatti, i truffatori gettano delle esche digitali, sperando che un utente distratto o poco informato abbocchi, così da carpirgli dati personali ed estorcergli denaro.

Contrariamente a quanto si possa pensare, gli impostori non sono hacker, ossia non infestano i computer delle vittime con virus o malware, ma operano in maniera ben più sibillina. Infatti, la tecnica di phishing più utilizzata è quella di inviare delle email per contenuto e forma molto simili a quelle che invierebbe un istituto postale, un servizio di pagamento digitale o, appunto, un istituto bancario, così da indurre l’ignaro utente a pensare di stare interagendo con un soggetto autorevole e affidabile.

La truffa può essere condotta anche tramite l’invio di sms o, come spesso accade negli ultimi tempi, per mezzo di WhatsApp o altri servizi di messaggistica istantanea.

Come funziona la truffa

Una volta preparato il messaggio, il malintenzionato lo invia alle potenziali vittime. Il messaggio è ben strutturato così da sembrare credibile e non si rivolge mai all’utente chiamandolo per nome, bensì utilizzando appellativi generici. L’email cerca di replicare con accuratezza delle situazioni comuni che possano attirare l’attenzione del destinatario, come, ad esempio, la scadenza di una password o di una sottoscrizione, proposte di lavoro particolarmente invitanti o il blocco di un conto corrente o di una carta di credito.

Spesso vengono utilizzate espressioni (come “urgente” o “ultimo avviso”) che spingano il destinatario ad attivarsi in fretta e senza riflettere. Per attirare l’utente nella propria rete, il truffatore inserisce nel messaggio un link o un allegato che riportano a un sito internet apparentemente ufficiale ed affidabile dove lo si invita a inserire password o altri dati personali e bancari.

Ad esempio, il destinatario può ritrovarsi su una pagina fotocopia di quella della sua banca ed essere spinto a divulgare i dati del proprio conto o altre informazioni personali e sensibili. Se il raggiro riesce, il malcapitato realizzerà presto che sono state effettuate delle operazioni sospette sul proprio conto o che sono stati prelevati dei soldi.

Come difendersi

Il phishing è una pratica estremamente subdola e insidiosa, ma alcuni piccoli accorgimenti possono costituire un’inscalfibile difesa contro ogni tentativo di truffa. Anzitutto, bisogna essere estremamente prudenti e razionali, e ricordarsi che mai nessun istituto di credito serio richiederà l’invio di dati personali per messaggio o per email.

Una volta ricevuto il messaggio, è fondamentale verificarne attentamente la provenienza e l’attendibilità, stando attenti alle piccole cose, come la presenza di banali errori grammaticali o un oggetto insolito.

Se si nutrono dei sospetti sulla provenienza del messaggio è bene contattare direttamente il presunto mittente tramite gli appositi canali ufficiali, ignorando il messaggio truffaldino. In ogni caso, la cosa più importante è evitare di cliccare sui link contenuti nell’email e di scaricare eventuali allegati.

Se si teme di essere caduti nella rete, il tempismo è fondamentale. Si deve correre ai ripari immediatamente, prima che i truffatori possano utilizzare i dati illecitamente carpiti. Quindi, è prioritario contattare l’istituto bancario, così che possa bloccare ogni attività sospetta.

Se il danno è già stato fatto, è bene raccogliere e conservare tutte le comunicazioni ricevute per sporgere denuncia presso la polizia postale. Si ricorda, infatti, che il nostro codice penale punisce severamente i responsabili della truffa, che potranno potenzialmente rispondere per frode informatica (art. 640 ter), sostituzione di persona (art. 494) e accesso indebito a sistema informatico o telematico (art. 615 ter).

In conclusione, la migliore difesa è la consapevolezza. Non solo ai cittadini, ma anche a imprenditori e aziende che trattatano dati personali è richiesta consapevolezza e responsabilità, in ossequio al più generale principio di accountability introdotto dal GDPR.

Proprio con riferimento a questa fondamentale normativa europea, per le aziende, le imprese e i liberi professionisti che vogliono implementare la propria conoscenza in materia di protezione dei dati personali e mettersi in regola con il Regolamento Europeo n.679/2016, il consiglio è quello di affidarsi al team 679.

La task force SeiSetteNove, composta da esperti in diverse aree di specializzazione, offre al cliente delle consulenze personalizzate, che, a partire da un’attenta valutazione delle esigenze aziendali e imprenditoriali, riescono a indirizzare ogni problema di natura tecnica e organizzativa e sviluppare un opportuno piano di azione.