Phishing: cosa e’, e come difendersi

Fino a qualche anno fa il termine “phishing” era sconosciuto ai più. Poi questo neologismo ha iniziato a invadere i giornali e i telegiornali di tutta Italia, finendo con il diventare uno dei timori più accesi tra i clienti bancari, e non solo.

Iniziamo con il ricordare che phishing si riferisce a una serie di modalità  illecite che consentono a chi esercita tale tecnica di ottenere in maniera truffaldina alcune informazioni personali e, in particolar modo, dei dati bancari riutilizzabili per compiere delle transazioni elettroniche a discapito della vittima.

Non è  un caso che il termine “phishing” ricordi da vicino il più noto “fishing” (pescare): effettivamente, sfruttando delle tecniche di ingegneria sociale, i truffatori fanno cadere nella propria rete le ignare vittime, con conseguenti pregiudizi economico finanziari anche potenzialmente ingenti per chi… abbocca alle trappole.

Ma come avviene il phishing?

La prima fase standard consiste nel contattare la vittima. Grazie alle odierne possibilità telematiche, il phisher può inviare dei messaggi massivi a una mailing list, invitando gli utenti a cliccare su alcuni collegamenti presenti nella lettera spedita, che generalmente ricalca nella forma e nella sostanza quanto potenzialmente inviabile da una banca di cui la vittima può essere cliente.

Convinto dell’attendibilità del messaggio e del suo mittente, la persona che clicca su tali collegamenti viene indirizzata a pagine fasulle, nelle quali gli viene richiesto (spesso, con le giustificazioni più banali quale quelle di evitare un blocco del conto corrente, o di confermare le password per l’applicazione di nuovi sistema di sicurezza) di inserire i propri codici identificativi in un c.d. fake login.

A questo punto la vittima che completerà i campi del form invierà inconsapevolmente al phisher i propri dati personali bancari, consentendo a quest’ultimo di poterli utilizzare furtivamente per compiere operazioni di natura illecita.

Molto spesso le transazioni truffaldine compiute dal phisher con i dati che la vittima gli ha comunicato attraverso il fake login avvengono in tempi rapidissimi e per cifre elevate (es. bonifico su un conto estero), non permettendo quindi all’utente frodato una pronta tutela attraverso le canoniche vie.

Una volta subito il danno, al cliente bancario non rimarrà che dimostrare la propria buona fede e domandare un risarcimento, tuttavia spesso molto arduo da ottenere, soprattutto in mancanza di una specifica previsione da parte dell’istituto di credito nei propri contratti di home banking.

Frequentemente (accade soprattutto con gli istituti di credito di maggiori dimensioni), la banca provvede tuttavia a contrarre delle polizze assicurative in favore della propria clientela, ritenendo così il correntista indenne dai danni subiti da queste operazioni illecite (altrettanto frequentemente, detraendo una franchigia dall’importo rimborsato).

Ma cosa fare per proteggersi dal phishing?

Innanzitutto è bene ricordare che gli istituti di credito non contattano MAI la propria clientela attraverso e-mail indirizzate agli indirizzi di posta personale, per domandare informazioni di carattere riservato (eventualmente, i contatti avverranno attraverso la pagina personale del servizio di home banking di riferimento). Pertanto, occorre diffidare da quelle comunicazioni che domandano l’inserimento di codici di accesso, e avvisare immediatamente l’istituto di credito di quanto ricevuto, inoltrando la stessa segnalazione alle autorità competenti.

Un altro utile consiglio è quello di attivare i servizi di alert sulle spese effettuate o sui bonifici eseguiti. Si tratta di servizi molto spesso gratuiti (es. quello offerto da CartaSì), che consentono al cliente di ricevere in tempo reale un sms di notifica su un’operazione effettuata attraverso le vie telematiche. Il cliente potrà così eventualmente annullare transazioni da lui non effettuate e oggetto di frode.

Altre regole di buona condotta sono invece relative alle tradizionali modalità  di memorizzazione e di conservazione dei propri codici di accesso. È pertanto consigliabile non diramare a terzi i propri dati, ed evitare che siano annotati in luoghi facilmente accessibili. Periodicamente, è inoltre utile modificare le proprie password al fine di incrementare il livello di sicurezza conseguito.

Per ogni dubbio, inoltre, gli istituti di credito sono inoltre a disposizione per tutelare il cliente da eventuali attacchi illeciti.