Come riconoscere le truffe!
Le transazioni con le carte di pagamento fanno ormai parte della nostra vita quotidiana. Questo attira anche i truffatori, che tentano di rubare denaro alle loro potenziali vittime adottando metodi di truffa sempre nuovi. Vi presentiamo qui i tipi di truffa più diffusi e vi mostriamo com’è possibile proteggersi.
Phishing
Il phishing è una tipologia di truffa molto diffusa che si presenta nelle più svariate forme e spesso si trova all’inizio di una truffa ai danni di una carta di pagamento. I criminali inducono le proprie vittime a rivelare dati personali come codici PIN, codici SMS, dati di carte di pagamento e numeri CVC/CVV o password. Ciò avviene per esempio attraverso siti web contraffatti, codici QR fasulli, link e allegati presenti in e-mail, telefonate o messaggi brevi (SMS, WhatsApp, servizi di messaggistica istantanea ecc.). Una volta entrati in possesso di questi dati, i malfattori cercano di rubare denaro alle loro vittime.
Come posso tutelarmi?
Pensa a LINDA! Ogni lettera del nome LINDA sta per una frase promemoria con cui è possibile impedire il phishing:
- L = Link e allegati: non fidarti mai
- I = Idee e contenuti: controllali prima
- N = Neutralità: fai attenzione!
- D = Domanda urgente: occhio!
- A = Autore del messaggio: verificalo sempre
Cos’altro posso ancora fare?
- Visita solo siti web fidati e sicuri (i cui indirizzi iniziano con https://).
- Leggi attentamente le condizioni generali di contratto del commerciante.
- Utilizza l’autenticazione a due fattori o 3-D Secure.
- Controlla le richieste di pagamento e confrontale con il beneficiario del pagamento.
- Autorizza le conferme di pagamento solo dopo aver verificato l’importo e il nome del commerciante.
- Tieni sempre aggiornati il browser web e il sistema operativo.
Buono a sapersi
La tua banca o la società emittente la tua carta di pagamento non ti scriveranno mai un’e-mail o un messaggio breve per chiederti informazioni personali o i dati della tua carta.
Fake shop/truffa commerciale
Truffa commerciale significa che i malfattori offrono in vendita prodotti o servizi senza però mai fornirli oppure fornendo merce di qualità scadente. Ciò avviene spesso attraverso shop online contraffatti che sembrano siti web seri e autentici. In tali siti vengono visualizzate per lo più offerte a buon mercato per attirare le vittime.
Come riconosco i fake shop?
Ecco le caratteristiche tipiche dei fake shop:
- prezzi straordinariamente bassi
- pressione temporale con conto alla rovescia, ad esempio promozioni con la dicitura «solo oggi»
- acquisto possibile solo dietro pagamento anticipato
- URL sospetti o leggermente modificati rispetto a quelli legittimi
- colophon mancante o incompleto e/o condizioni generali di contratto (CGC) non consultabili
- recensioni online negative, mancanti o un numero eccessivo di recensioni perfette.
Come posso tutelarmi?
- Visita solo siti web fidati e sicuri (i cui indirizzi iniziano con https://).
- Verifica attentamente se il nome, l’indirizzo, le condizioni di garanzia e di resa, il diritto di revoca nonché le condizioni di pagamento e di consegna del venditore sono facilmente reperibili.
- Stima realisticamente i prezzi e confrontali con quelli praticati negli altri negozi online.
- Non pagare mai in anticipo.
- Leggi con spirito critico le recensioni che trovi su Trustpilot o Google.
Buono a sapersi
Quando un’offerta sembra troppo bella per essere vera, con ogni probabilità si tratta di una truffa.
Account takeover
L’account takeover è una truffa in cui i criminali rubano i dati di login delle proprie vittime, impossessandosi così del loro account; per esempio, in uno shop online, nell’e-banking o presso un servizio di pagamento. Non appena vi hanno accesso, fanno acquisti a nome della vittima, effettuano pagamenti o li autorizzano, modificano i limiti di esborso o impostano nuove password. I malfattori carpiscono le credenziali di accesso, codici SMS o autorizzazioni solitamente attraverso messaggi contraffatti, link truffaldini o codici QR manipolati.
Come riconosco un account takeover?
Tipici segnali di un account takeover sono:
- ricevi codici SMS sebbene tu non abbia effettuato nessun pagamento
- nell’app della carta ti si chiede di autorizzare «aggiornamenti di sicurezza», «verifiche della carta» oppure un «payback» o «rimborso»
- per esempio, messaggi in cui si menzionano fatture pagate due volte all’amministrazione delle imposte o alla cassa malati e che ora ti verrebbero rimborsate
Come posso tutelarmi?
- Leggi sempre attentamente i messaggi ricevuti.
- In linea di principio, diffida quando qualcuno ti contatta senza motivo.
- Controlla sempre accuratamente le richieste di pagamento, in particolare verifica il mittente e l’importo.
- Interrompi ogni autorizzazione se non conosci il destinatario o l’importo.
- Autorizza nell’app della carta solo gli ordini di pagamento che hai inserito personalmente.
- Non trasmettere mai a terzi dati di login e codici ricevuti via SMS ed e-mail.
- Non copiare i link di attivazione nella barra degli indirizzi del browser e non digitarli nella barra degli indirizzi di siti web sconosciuti.
- Non scansionare né fotografare codici QR che ti vengono inviati via chat, SMS o WhatsApp.
- Tieni sempre aggiornati i tuoi dispositivi e le tue app.
- Controlla subito i rendiconti mensili delle carte di pagamento e notifica immediatamente transazioni sospette o sconosciute all’istituto finanziario o alla società emittente la carta.
- Non cliccare mai su link e allegati se non conosci il mittente.
Truffe su piazze commerciali online
In questo tipo di truffa i malfattori contattano gli utenti di piattaforme come Tutti, Ricardo o Facebook Marketplace spacciandosi per acquirenti seriamente intenzionati. Dopo avere rapidamente preso accordi sull’acquisto, segue un messaggio contraffatto via e-mail, SMS o WhatsApp che sembra provenire dalla piazza commerciale online. Tramite un link o un codice QR i venditori vengono reindirizzati a siti web contraffatti che assomigliano in modo ingannevole alle pagine ufficiali della Posta, della banca o di TWINT. Chi vi inserisce i propri dati li trasmette direttamente ai truffatori, il cui scopo è di entrare in possesso dei dati relativi alle carte di pagamento.
Come riconosco una truffa su piazze commerciali online?
- Messaggi insolitamente insistenti da parte di persone interessate, che rispondono immediatamente all’annuncio appena pubblicato e vogliono acquistare subito l’articolo.
- Richiesta di liquidare il pagamento al di fuori della piattaforma, per lo più tramite un link inviato per e-mail, WhatsApp o SMS.
- Conferma ingannevole di un pagamento già effettuato.
- Richiesta di inserire i dati della carta di credito o di debito, di effettuare l’accesso a una piattaforma esterna o di inviare un codice ricevuto via SMS per ricevere il denaro.
Come posso tutelarmi?
- Non svelare mai i dati della carta di credito o di debito per ricevere del denaro.
- Diffida se ti si chiede di passare dalla chat ufficiale della piattaforma su canali alternativi come ad esempio WhatsApp o SMS.
- Non trasmettere mai le credenziali di accesso all’e-banking né scansionare mai i codici QR per ricevere del denaro.
- Non trasmettere mai a terzi dati di login, codici ricevuti via SMS ed e-mail, nemmeno per una presunta verifica.
Buono a sapersi
Per ricevere del denaro, non vanno mai indicati i dati delle carte di debito o di credito né le credenziali di accesso all’e-banking!
Scamming
Con lo scamming i truffatori cercano di attirare le vittime con proposte particolarmente allettanti: il grande amore, facili guadagni, l’appartamento perfetto o il lavoro dei sogni. Fondamentalmente tutte le proposte mirano ad alleggerire le vittime del loro denaro. Con pretesti e vane promesse gli scammer inducono le loro vittime ad anticipare denaro.
Come riconosco lo scamming?
- Offerte troppo belle per essere vere.
- Persone famose o marchi conosciuti che si celano presumibilmente dietro all’offerta.
- Manipolazione o ricatto emotivo in mancanza di reazione alle «avance».
- Richiesta di pagamenti anticipati, ad esempio sotto forma di denaro o codici promozionali.
- Messaggi in lingue straniere o contenenti errori ortografici, appellativi impersonali, promesse altisonanti o simili.
Come posso tutelarmi?
- Diffida da messaggi provenienti da mittenti sconosciuti.
- In caso di dubbio, riaggancia, cancella, blocca e/o segnala i messaggi e contatta la presunta persona/istituzione tramite canali noti o ufficiali.
- Non versare mai denaro.
- Non rispondere a e-mail sospette.
- Sii prudente quando qualcuno ti contatta su piattaforme di ricerca di partner.
Shoulder surfing
Lo shoulder surfing è una tecnica nella quale i criminali cercano di spiare di nascosto il PIN o le credenziali di accesso. Ad esempio, mentre li digiti allo sportello automatico, al terminale di pagamento, sul laptop o sullo smartphone. Spesso i criminali si posizionano proprio alle spalle delle vittime oppure registrano l’inserimento dei dati servendosi di nascosto di uno smartphone o di una minicamera montata sul dispositivo. Non appena conoscono tali dati, i malfattori cercano di rubare la carta o il dispositivo. Grazie alla combinazione di carta rubata/dispositivo rubato e PIN spiato o dati di accesso spiati, possono prelevare contanti o effettuare pagamenti.
Come riconosco lo shoulder surfing?
Tipico del shoulder surfing è il seguente comportamento dei truffatori:
- vicinanza eccessiva, in particolare nei pressi di bancomat, distributori automatici di biglietti o terminali di pagamento
- manovre diversive da parte di sconosciuti mentre si digitano PIN o password
- osservazione dei movimenti delle dita durante la digitazione del PIN
- leggere lo schermo del portatile o dello smartphone in pubblico
Come posso tutelarmi?
- Quando digiti il PIN, nascondilo sempre con la mano libera, il portafoglio o il corpo.
- Impara a memoria il PIN e non annotarlo da nessuna parte.
- Diffida delle persone che ti si avvicinano troppo, in particolare nei pressi di bancomat o casse di pagamento.
- Reagisci con scetticismo nelle manovre diversive, quando ti strattonano, ti chiedono qualcosa o ti sfiorano «per sbaglio».
- Conserva le carte e lo smartphone in luogo sicuro, in particolare dopo avere digitato il PIN.
Vishing
Attraverso il vishing – una combinazione delle parole «voice» e «phishing», i criminali cercano di ingannare le loro vittime al telefono. Spesso si spacciano per collaboratori della banca o agenti di polizia e agiscono in modo molto convincente. Utilizzano nomi autentici, veri logotipi nei messaggi o numeri di telefono contraffatti che compaiono sul display come il numero dell’istituto finanziario. Il loro obiettivo è di indurre le vittime a svelare dati personali, credenziali di accesso, codici SMS o autorizzazioni, in modo che sia possibile assumere il controllo della carta, del conto o dell’app di banking ed effettuare pagamenti.
Come riconosco il vishing?
- Telefonate da parte di presunti agenti di polizia, collaboratori della banca o della società emittente la carta.
- Richieste di eseguire pagamenti o di effettuare «aggiornamenti» nell’e-banking o «test» in un servizio online.
- Segnalazioni relative a presunti problemi con i pagamenti o a bonifici eseguiti in modo errato.
- Segnalazioni relative a un presunto uso improprio della carta di pagamento e alla necessità di proteggere pertanto il conto.
- Richiesta di trasmissione di codici SMS per autorizzare, sbloccare o stornare transazioni.
Come posso tutelarmi?
- Non trasmettere mai a terzi codici SMS, i dati relativi alla carta o autorizzazioni via app.
- Interrompi immediatamente conversazioni non richieste con presunti agenti di polizia e collaboratori della banca o della società emittente la carta di pagamento.
- Non scansionare né fotografare codici QR che dovrebbero servire a «bloccare» o a «verificare» un conto.
- Verifica attentamente le autorizzazioni nell’app dell’e-banking o della carta.
- Diffida sempre delle richieste urgenti.
- In caso di dubbio, contatta di persona direttamente la banca, la polizia o la società emittente la carta tramite i canali ufficiali.
- Non rivelare mai tuoi dati personali al telefono senza che ti vengano richiesti.
Buono a sapersi
Le banche, le società emittenti le carte, i fornitori di servizi di pagamento o la polizia non ti chiedono mai al telefono password, codici SMS, autorizzazioni via app o codici QR.
Carta rubata o smarrita
Una carta di debito o di credito rubata o smarrita può essere utilizzata dai malfattori per effettuare transazioni senza contatto fino a 80 franchi senza dovere digitare alcun PIN. Le società emittenti le carte hanno pertanto definito un limite d’importo per proteggere i titolari delle carte. Raggiunto tale limite, bisogna digitare il PIN. In tal modo si impedisce che i malfattori possano eseguire consecutivamente un numero qualsiasi di transazioni.
Come posso tutelarmi?
- Conserva la carta in un luogo sicuro e falla bloccare immediatamente in caso di smarrimento, furto o ritiro presso un bancomat.
- Controlla subito i rendiconti mensili delle carte di pagamento e notifica immediatamente transazioni sospette o sconosciute all’istituto finanziario o alla società emittente la carta.
- Attiva il geoblocking nell’app della carta o dell’e-banking per impedire transazioni abusive dall’estero.
- Definisci dei limiti di prelievo in base alle tue esigenze personali.