Le tecniche tradizionali
Il boxing e il trashing sono attualmente i più diffusi metodi di sottrazione
“fisica” dei dati delle carte. Il primo consiste nell’intercettare
le comunicazioni banca-cliente attraverso la posta tradizionale in modo da carpire
tutte le informazioni necessarie e, in alcuni casi, sottrarre letteralmente
le carte di credito inviate dalle banche ai loro clienti.
Il trashing, come è facile intuire dal nome, consiste invece nel recupero
dei dati presenti nei vecchi scontrini o estratti conto, spesso gettati via
dai clienti senza che questi si siano premuniti di oscurare o cancellare gli
elementi identificativi.
Per rimanere in ambito tecnico/informatico, occorre ricordare anche la tecnica
di clonazione delle carte attuata tramite skimmer, un lettore che acquisisce
i dati della banda magnetica con la semplice strisciata della carta di credito
su di esso.
Questo apparecchio (in grado di immagazzinare in memoria un gran numero di bande magnetiche) viene poi collegato a un PC con il quale si trascrivono i dati su una carta vergine. Per eseguire questo genere di frode è sufficiente che il malintenzionato riesca ad entrare in possesso, anche solo per alcuni attimi, della carta di credito del cliente. Per appropriarsi invece del codice PIN (dato non ottenibile attraverso la clonazione della banda magnetica) i truffatori utilizzano generalmente una piccola telecamera nascosta, che filma la sequenza digitata dal proprietario della carta.
Le frodi informatiche in ambiente “card
not present”
Non è certamente indispensabile impossessarsi fisicamente della carta
per poterne fare un uso illecito. Molte tecniche on line di sottrazione dati
mirano al furto dei dati sensibili necessari per la conclusione delle transazioni,
come il nome del titolare, il numero della carta, la scadenza della stessa e
il codice di sicurezza (il cosiddetto codice CSC o CVV2 - solitamente stampato
sul retro della carta).
Le tipiche tecniche utilizzate sono quelle di hacking, che consiste nella violazione dei database di società di servizi allo scopo di rubarne i dati immagazzinati, o di phishing, che consente di reperire i dati spingendo l’utente a fornirli spontaneamente grazie a vere e proprie esche (generalmente siti o e-mail trappola che richiedono di fornire i propri dati per attivare o ripristinare ipotetici servizi o concludere finte transazioni).
Come difendersi
Nonostante le apparenze e le difficoltà nel garantire una transazione
veramente sicura, il mondo virtuale offre attualmente più garanzie rispetto
a quello “reale”, in cui un semplice scontrino fotocopiato può
costituire un potenziale pericolo per la sicurezza dei propri dati.
Nel caso di transazioni on line, le società professionali interessate applicano di solito una particolare attenzione nella gestione e trattamento dei dati, facendo ricorso a strumenti di protezione che vanno dall’uso di sistemi di crittografia del numero identificativo della carta a sistemi che consentono all’esercente di individuare eventuali ordini fraudolenti.
Attualmente sono in fase di implementazione, oltre al già citato codice di sicurezza CSC o CVV2 (non ancora totalmente utilizzato nei gateway di pagamento), anche il sistema AVS (Address Verification System). Quest’ultimo sistema, non ancora applicato nel nostro Paese, esegue in pratica un controllo incrociato tra l’indirizzo utilizzato dall’utente in fase di ordine e quello associato effettivamente alla carta di credito, così come risulta nel database delle società emittenti.
Quanto alle normali cautele da adottare in caso di transazioni on line, si raccomanda sempre di valutare l’affidabilità del venditore (verificando soprattutto che abbia un indirizzo fisico presso cui sia possibile prendere contatti, e non un semplice numero di cellulare o e-mail). Assicurarsi poi che, al momento dell’acquisto, sia presente l’icona di transazione sicura indicata sul browser, e che sulla barra dell’indirizzo compaia la dicitura https:// invece di http://.
È buona norma, inoltre, conservare sempre le ricevute dei pagamenti e controllare periodicamente il proprio estratto conto, segnalando immediatamente eventuali spese non riconosciute.
A riguardo, è importante ricordare che l’art. 56 del Dlgs. 6 settembre 2005, n. 2006 (codice del consumo) prevede - a carico dell’istituto di emissione della carta di pagamento - il riaccreditamento delle somme illecitamente sottratte, qualora il consumatore dimostri l’uso fraudolento della propria carta di pagamento da parte del professionista o di un terzo.
*avvocato in Modena
