Transazioni virtuali, i pericoli di frode e le tecniche di difesa

Leggi e consigli per comprare in libertà su Internet.

febbraio 2007 La diffusione ancora limitata delle transazioni on line
è dovuta principalmente alla comprensibile diffidenza dell’utente
nel fornire i propri dati personali a persone o aziende non fisicamente presenti
al momento del perfezionamento dell’acquisto. A tutto ciò non contribuisce
la pessima fama che vuole il Web come il regno incontrastato delle frodi informatiche.
Queste preoccupazioni sono certamente giustificate ma, in alcuni casi, anche esagerate.
Non tutti sanno, infatti, che il pericolo di sottrazione indebita di dati sensibili
è molto più consistente nel mondo reale, piuttosto che in quello
virtuale.

Le tecniche tradizionali
Il boxing e il trashing sono attualmente i più diffusi metodi di sottrazione
“fisica” dei dati delle carte. Il primo consiste nell’intercettare
le comunicazioni banca-cliente attraverso la posta tradizionale in modo da carpire
tutte le informazioni necessarie e, in alcuni casi, sottrarre letteralmente
le carte di credito inviate dalle banche ai loro clienti.

Il trashing, come è facile intuire dal nome, consiste invece nel recupero
dei dati presenti nei vecchi scontrini o estratti conto, spesso gettati via
dai clienti senza che questi si siano premuniti di oscurare o cancellare gli
elementi identificativi.
Per rimanere in ambito tecnico/informatico, occorre ricordare anche la tecnica
di clonazione delle carte attuata tramite skimmer, un lettore che acquisisce
i dati della banda magnetica con la semplice strisciata della carta di credito
su di esso.

Questo apparecchio (in grado di immagazzinare in memoria un gran numero di
bande magnetiche) viene poi collegato a un PC con il quale si trascrivono i
dati su una carta vergine. Per eseguire questo genere di frode è sufficiente
che il malintenzionato riesca ad entrare in possesso, anche solo per alcuni
attimi, della carta di credito del cliente. Per appropriarsi invece del codice
PIN (dato non ottenibile attraverso la clonazione della banda magnetica) i truffatori
utilizzano generalmente una piccola telecamera nascosta, che filma la sequenza
digitata dal proprietario della carta.

Le frodi informatiche in ambiente “card
not present”

Non è certamente indispensabile impossessarsi fisicamente della carta
per poterne fare un uso illecito. Molte tecniche on line di sottrazione dati
mirano al furto dei dati sensibili necessari per la conclusione delle transazioni,
come il nome del titolare, il numero della carta, la scadenza della stessa e
il codice di sicurezza (il cosiddetto codice CSC o CVV2 - solitamente stampato
sul retro della carta).

Le tipiche tecniche utilizzate sono quelle di hacking, che consiste nella
violazione dei database di società di servizi allo scopo di rubarne i
dati immagazzinati, o di phishing, che consente di reperire i dati spingendo
l’utente a fornirli spontaneamente grazie a vere e proprie esche (generalmente
siti o e-mail trappola che richiedono di fornire i propri dati per attivare
o ripristinare ipotetici servizi o concludere finte transazioni).

Come difendersi
Nonostante le apparenze e le difficoltà nel garantire una transazione
veramente sicura, il mondo virtuale offre attualmente più garanzie rispetto
a quello “reale”, in cui un semplice scontrino fotocopiato può
costituire un potenziale pericolo per la sicurezza dei propri dati.

Nel caso di transazioni on line, le società professionali interessate
applicano di solito una particolare attenzione nella gestione e trattamento
dei dati, facendo ricorso a strumenti di protezione che vanno dall’uso
di sistemi di crittografia del numero identificativo della carta a sistemi che
consentono all’esercente di individuare eventuali ordini fraudolenti.

Attualmente sono in fase di implementazione, oltre al già citato codice
di sicurezza CSC o CVV2 (non ancora totalmente utilizzato nei gateway di pagamento),
anche il sistema AVS (Address Verification System). Quest’ultimo sistema,
non ancora applicato nel nostro Paese, esegue in pratica un controllo incrociato
tra l’indirizzo utilizzato dall’utente in fase di ordine e quello
associato effettivamente alla carta di credito, così come risulta nel
database delle società emittenti.

Quanto alle normali cautele da adottare in caso di transazioni on line, si
raccomanda sempre di valutare l’affidabilità del venditore (verificando
soprattutto che abbia un indirizzo fisico presso cui sia possibile prendere
contatti, e non un semplice numero di cellulare o e-mail). Assicurarsi poi che,
al momento dell’acquisto, sia presente l’icona di transazione sicura
indicata sul browser, e che sulla barra dell’indirizzo compaia la dicitura
https:// invece di http://.

È buona norma, inoltre, conservare sempre le ricevute dei pagamenti
e controllare periodicamente il proprio estratto conto, segnalando immediatamente
eventuali spese non riconosciute.

A riguardo, è importante ricordare che l’art. 56 del Dlgs. 6
settembre 2005, n. 2006 (codice del consumo) prevede - a carico dell’istituto
di emissione della carta di pagamento - il riaccreditamento delle somme illecitamente
sottratte, qualora il consumatore dimostri l’uso fraudolento della propria
carta di pagamento da parte del professionista o di un terzo.

*avvocato in Modena

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here