«Gentile cliente, il suo conto è stato bloccato. Per riattivarlo la invitiamo a cliccare su questo link e a seguire le istruzioni». Ormai è uno stillicidio: milioni di italiani ricevono ogni giorno email simili, inviate da fittizie banche, finanziarie e BancoPosta. L'email non arriva dall'istituto: è il phishing, il tentativo di truffa basato sul furto delle credenziali dei conti di internet banking o delle carte di credito. I tentativi aumentano perché calano gli italiani che "abboccano", grazie a un aumento della consapevolezza e al miglioramento nella sicurezza delle transazioni online che ha portato all'esplosione dell'uso del web banking. Come difendersi da questi untori? Cosa fanno le banche? Se si è caduti nella rete, quando si può chiedere il rimborso e come va gestita la richiesta?

A segno solo un "colpo" su 1,1 milioni
Spaventarsi non serve. Secondo i dati di AbiLab, il consorzio dell'Associazione bancaria italiana che studia la sicurezza delle transazioni informatiche, la sicurezza continua a crescere. Nel 2013 gli italiani hanno realizzato con l'internet banking oltre 1,1 miliardi di transazioni, 873 milioni la clientela retail (+18,4% sul 2012) e 281 milioni quella corporate. D'altronde dal 2011 è aumentato di un quarto il numero di istituti che offrono servizi di web banking anche sul canale mobile. I numeri derivano da un'indagine sul 2013 alla quale hanno partecipato 25 organizzazioni bancarie, per un totale di 153 istituti rappresentativi del 77% dei dipendenti del settore. Fatte 100 le frodi tentate, più del 90% sono bloccate dalla banca che si accorge che non è stato cliente a volere la transazione. Il dato cala all'80% per i clienti aziendali, dove è più difficile accorgersi di beneficiari sospetti. Il 10% sono per i clienti retail le perdite nette sul totale delle frodi tentate, il 14% per il corporate. Solo un caso su un milione e centomila accessi di clienti retail porta a segno la frode, cioé causa un danno economico reale, quando il denaro non viene bloccato o recuperato.

Il varco per le frodi è il pc degli utenti
Il furto dei dati dei clienti avviene sempre e solo dai pc dell'utente: nel 2013 non ci sono stati casi di sottrazione delle credenziali da device mobili (cellulare, tablet o palmare). Sul canale mobile solo in un caso è stata segnalata un'app clonata: qui la sicurezza quasi totale è garantita dalla funzione di controllo degli app store. Se il phishing "funziona" sempre meno, quando scatta rende di più ai criminali. Ora la nuova frontiera è il "man in the browser", versione 2.0 di quel "man in the middle" (l'uomo in mezzo) che fu usato come meccanismo del film "La stangata". La truffa è realizzata con virus o malware e crimeware, "software patogeni" distribuiti in rete che finiscono sui computer di clienti bancari o postali che hanno inavvertitamente scaricato file o aperto link "infetti".

Cosa fanno le banche e BancoPosta
Intanto banche e BancoPosta continuano ad aumentare i sistemi di sicurezza, sia per le contromisure fisiche ("chiavette" token) che per quelle virtuali, come anche la formazione ai dipendenti. Altro fronte caldissimo è la comunicazione ai clienti, per aumentarne la consapevolezza, spingerli a dotarsi di misure di sicurezza adeguate e illustrare le procedure corrette da seguire. Su questo e altri temi Plus24 ha condotto un'indagine tra alcuni grandi operatori i cui contenuti sono pubblicati nell'articolo che segue.

La sicurezza delle carte
Sul fronte delle carte, invece, uscirà a fine mese la rilevazione annuale del Tesoro sulle frodi su mezzi di pagamento elettronici. I dati indicano una continuità nel trend del 2012. Il continuo aumento degli acquisti online porta con sé un aumento dei tentativi di frode, sebbene per importi medi inferiori ai casi di carte rubate o contraffatte. I pagamenti, in particolare su siti italiani, sono sicuri. La buona regola è comunque sempre quella di sincerarsi dell'identità dell'esercente e della sua affidabilità e monitorare costantemente i propri estratti conto.

©RIPRODUZIONE RISERVATA