Red – Il primo pensiero, quando se ne sente parlare, è che a noi non capiterà mai. Eppure, con gli smartphone ormai diventati dei veri e propri terminali bancari, il rischio c’è. E per perdere i risparmi di una vita possono bastare poche ore. Lo scrive Stefano Galeotti sul “Fatto Quotidiano”, denunciando lo svuotamento improvviso dei conti correnti. Parla una delle vittime: “I soldi sono spariti tramite quattro bonifici, ordinati con causali fantasiose”. E addio denaro: “Abbiamo provato a fare il richiamo delle operazioni, ma non è stato possibile”. Il giorno dopo è scattata la denuncia alla polizia postale. Il verdetto: vittime di “sim swap”. È una tipologia di frode informatica articolata in vari passaggi, spiega Marcello La Bella, dirigente della polizia postale della Sicilia Orientale, che nel 2018 ha compiuto la prima operazione in Italia contro questo tipo di truffa, con 13 persone arrestate e un bottino totale di oltre 600.000 euro. “Una volta individuata la vittima si procede all’acquisizione delle credenziali di home banking tramite tecniche di hacking. Poi, utilizzando documenti falsi, si sostituisce la sim card della vittima e, attraverso lo stesso numero telefonico, si ottengono dalla banca le credenziali per operare sul conto corrente online”.
La pericolosità di questa truffa, aggiunge il “Fatto”, sta nel superamento del secondo fattore di autenticazione, di recente legato al numero di telefono: “Il cellulare viene identificato con la sim, e chi ne entra fisicamente in possesso ha un grande vantaggio – rivela Stefano Zanero, docente di elettronica al Politecnico di Milano ed esperto di cyber-sicurezza – il numero di telefono infatti è anche il canale di comunicazione utilizzato dalle banche per notificare i movimenti e per fare eventuali controlli di sicurezza. In questo caso però messaggi e chiamate di verifica arrivano a chi sta commettendo il reato”. I guai cominciano con l’assenza di segnale sul telefono. “Da Tim ci rassicurano, dicono che si tratta di un errore nella configurazione – racconta uno dei derubati -, consigliano di spegnere e riaccendere il telefono, di farlo più volte”. Ma è inutile: ormai quel numero è collegato a una sim che sta nelle mani del truffatore. Agli operatori, le vittime raccontano: “Lo stesso giorno abbiamo ricevuto un messaggio che confermava l’avvenuta disattivazione della sim, da noi però mai richiesta”. Nel pomeriggio, la Tim conferma: alle 10 del mattino la sim era stata sospesa per furto e smarrimento e poi, in un altro centro, era stato fatto un duplicato della scheda.
Le ore trascorse, continua il “Fatto”, hanno permesso a chi ha rubato la sim di utilizzare il numero di telefono per effettuare bonifici, verosimilmente istantanei, e svuotare completamente il conto. Recuperare il maltolto, almeno in parte? Su questa materia regna il caos, e la lentezza della giustizia italiana non aiuta. “Questa truffa informatica – scrive il quotidiano – è strettamente legata alla recente entrata in vigore di una direttiva europea dedicata ai servizi di pagamento digitali, la Psd2, Payment Services Directive 2, che ha reso necessario un doppio fattore di autenticazione, in aggiunta a username e password dell’internet banking, legato al contenuto dell’operazione”. Per sostituire i vecchi “token” fisici, quasi tutti gli istituti bancari hanno deciso di puntare sull’autenticazione tramite un’applicazione su smartphone. L’introduzione di un passaggio ulteriore ha aumentato il livello di sicurezza complessivo, ma espone a un altro tipo di rischio: “Chi entra in possesso della sim – dice il professor Zanero – ottiene l’accesso a tutte le comunicazioni legate ai pagamenti. Ovvero nel caso di un’operazione sospetta, come un bonifico molto consistente, la banca manda un sms al cliente per verificare che tutto sia regolare. Con l’attacco di sim swap, l’avviso arriva a chi ha rubato la sim. E se l’utente ha già presentato login e password corretti, il secondo fattore e anche il codice contenuto nel messaggio di avviso, è difficile dubitare della sua identità”.
Insomma, le banche non possono farci granché, se non insistere con gli operatori telefonici per ottenere un cambiamento nelle procedure di duplicazione della sim: “Negli Stati Uniti – dice ancora Zanero – dove questa truffa è molto diffusa già da qualche anno, i clienti che si sentono a rischio possono chiedere al proprio operatore di non rilasciare duplicati della sim in centri servizi standard. Questo passaggio è scomodo quando capita di perdere per davvero la sim, ma forse è il momento di rivalutarlo vista la crescita di questo tipo di truffe”. Il punto di partenza rimane in ogni caso il furto delle credenziali di home banking, che nella grande maggioranza dei casi avviene tramite il cosiddetto phishing. Il caso classico è una mail che sembra provenire dalla nostra banca. All’interno, con tecniche di inganno differenti, ci viene chiesto di inserire le nostre credenziali, magari tramite il link a un sito che presenta la stessa interfaccia di quello della nostra banca, ma che in realtà è un falso. Inserendo il codice utente e la password, stiamo regalando le chiavi di accesso del nostro conto online. E questo rende pressoché impossibile indurre la banca a restituire il denaro. Mai aprire quei link, ovviamente. Altro consiglio, aggiornare il sistema operativo dei dispositivi cui cui operiamo. Molti attacchi avvengono tramite l’installazione di malware sul pc, e questo spesso accade perché non abbiamo aggiornato il sistema operativo e i browser con cui navighiamo.