Mail con link pericolosi, pagine web trappola, messaggi fraudolenti, telefonate con l’inganno. Mentre i pirati informatici sperimentano metodi evoluti per svuotare il nostro conto corrente, Intesa Sanpaolo ha creato a difesa dei suoi clienti una struttura operativa 24 ore su 24, 7 giorni su 7. Usa tecniche investigative e intelligenza artificiale per prevenire gli attacchi e rispondere in maniera tempestiva.
Una notifica lampeggia sul telefono, è un sms della banca. Sembra credibile, il mittente è il medesimo di altre comunicazioni precedenti, una lista di riepiloghi di prelievi al bancomat e di operazioni eseguite online. Il testo contiene un link, porta a una pagina web nella quale viene chiesto di inserire il codice utente, il pin, altre credenziali d’accesso che confermino la nostra identità. I loghi, la grafica, i caratteri e i colori della pagina sono quelli della banca, tutto sembra in regola. Invece è una trappola, un raffinato inganno ordito dai cyber criminali: si spacciano per chi non sono, riescono a manipolare il numero del mittente, a far sembrare che il messaggio sia stato scritto dal nostro istituto di credito. Così, ci dirottano verso un sito esca da loro controllato. E noi, ingenui, abbocchiamo.
La tecnica si chiama spoofing, termine che si traduce come beffa, illusione. Di questo si tratta: fingersi qualcun altro, impersonare un soggetto ritenuto credibile per sottrarre dati preziosi al malcapitato di turno. Pure con una telefonata, che pare arrivare dal call center ufficiale della banca, da un operatore cordiale e un po’ insistente. Un assedio multiplo che porta ad abbassare le difese, a mettere a rischio i propri soldi. A contribuire di tasca propria a quei 200 miliardi di dollari di perdite stimate da qui al 2024 sui pagamenti online a livello globale, conseguenza degli attacchi cyber che, nel 2020, stanno crescendo del 101 per cento rispetto al 2019, come riporta un recente rapporto del Clusit, l’Associazione italiana per la sicurezza informatica.
«È un momento in cui gli attacchi cyber e i tentativi di frode stanno aumentando significativamente in Italia e nel mondo. La gente usa, infatti, sempre meno contanti e ricorre sempre più a pagamenti e servizi digitali. Questo ha inevitabilmente spostato le attività criminali dal mondo fisico a quello digitale» conferma a Panorama Massimo Proverbio, responsabile Area Chief It, Digital and Innovation Officer di Intesa Sanpaolo. «L’emergenza Covid» sottolinea Proverbio «ha creato una situazione di emotività e pressione psicologica particolare, consentendo ai criminali di adottare nuove tipologie di truffa che sono andate a colpire persone che prima dell’emergenza erano poco abituate a operare nel mondo digitale e quindi più facilmente raggirabili». Perché, la storia è vecchia, spesso questi incidenti dipendono dalla nostra ingenuità. Già, ma come difendersi? La regola aurea, diciamolo subito, è custodire attentamente le proprie credenziali senza cederle mai a nessuno, nemmeno a chi sembra legittimato a esigerle. Nessun operatore di un call center di una banca è autorizzato a chiederci le nostre password, la combinazione che sblocca la cassaforte con dentro i nostri risparmi. Altri consigli sono riassunti nel box in fondo all’articolo.
In parallelo al nostro buon senso, c’è chi lavora dietro le quinte perché queste minacce non arrivino mai fino ai nostri smartphone e alle nostre mail. O ne giungano il meno possibile: «Intesa Sanpaolo ha creato l’Area IT-Digital-Innovation per essere leader in Europa nei servizi finanziari digitali, una scelta che si sta dimostrando corretta, anche alla luce dell’emergenza Covid. E per trasmettere ai nostri clienti il valore di prodotti e servizi finanziari in modalità digitale sono fondamentali tre fattori: qualità delle soluzioni, disponibilità del servizio e sicurezza. Proprio la sicurezza è un pilastro fondamentale della digitalizzazione per avere la certezza di muoversi e operare in un ambiente protetto» premette Proverbio. Che aggiunge: «La struttura di cybersecurity ha precisamente questo obiettivo: creare un ambiente quanto più sicuro possibile per tutti, gestendo, allo stesso tempo, la formazione e la comunicazione verso il personale e i clienti perché la maggior parte di frodi e tentati attacchi sono condotti inducendo comportamenti umani errati. Non è un lavoro semplice; le minacce che ci vengono poste cambiano giornalmente ed essere sempre informati e avere la capacità di prevedere i trend futuri è fondamentale. La struttura che abbiamo creato fa tutto questo: prevede, previene e risponde 24 ore al giorno, sette giorni su sette».
Per capire come funziona basta pensare a un antivirus, non freddo e automatico bensì popolato da una sorta di agenti di controspionaggio: «Come tutti gli antivirus» conferma Proverbio «abbiamo bisogno di aggiornare tempestivamente le nostre soluzioni per garantire il massimo livello di protezione possibile. Per farlo abbiamo una funzione di intelligence che osserva, sfruttando un nostro network internazionale e i contatti che abbiamo con le istituzioni nazionali ed europee, le attività criminali per comprendere e prevenire così i nuovi tipi di attacchi. Questa intelligence opera con una prospettiva di breve, medio e lungo periodo per valutare gli scenari di rischio, individuando le strategie utili ad anticipare le nuove tendenze in termini di minacce e tecniche di frode». Come lo swap sim, che arriva a coinvolgere pure gli operatori telefonici: dopo aver ottenuto con l’inganno le credenziali di un cliente, i cybercriminali contattano il suo gestore telefonico spacciandosi per lui e affermando di avere perso la sim. Così riescono a ottenerne una nuova, un duplicato con lo stesso numero di telefono. Attraverso questa sim intestata al cliente raggirato, hanno modo di entrare nella app della banca (che è collegata alla sua utenza telefonica), ricevere codici di autorizzazione per compiere operazioni come i bonifici e, dunque, svuotare un conto.
Com’è evidente, la posta in gioco è altissima. Le conseguenze sono dolorose: «Per il cliente scegliere una banca che ha investito e continuerà ad investire nella cybersecurity è fondamentale» rileva Proverbio. «Intesa Sanpaolo ha migliorato moltissimo la sicurezza di accesso: al cliente vengono sempre richiesti due fattori di autentificazione per operare. Per esempio, la password per l’accesso all’app – o il riconoscimento biometrico – e poi il codice di sicurezza. Abbiamo un sistema antifrode basato su intelligenza artificiale che ci consente di identificare e bloccare operazioni sospette per cui chiediamo ulteriore verifica da parte dei clienti. A breve avremo anche un sistema di certificazione del cellulare che renderà molto più difficile per i frodatori “clonare” il telefono del cliente». Diminuendo e parecchio l’impatto delle tecniche di spoofing e swap sim, perché ci saranno richieste verifiche più approfondite quando la stessa sim sarà inserita in un altro smartphone. «Questi investimenti consentono di fronteggiare le tecniche più avanzate di attacco e, nel tempo, hanno consentito di limitare il fenomeno delle frodi online, proteggendo i risparmi della nostra clientela. Intesa Sanpaolo continuerà a investire per potenziare l’attività di intelligence anticipando nuove tecniche di frode, continuerà a migliorare controlli e monitoraggi preventivi sfruttando tutte le più moderne tecnologie e intende proseguire le campagne di comunicazione per rendere consapevoli i nostri clienti delle minacce esistenti e dei nuovi tentativi di frode».
Una banca, per quanto dotata di strumenti e tecnologie di ultima generazione, non può però fare da sola. Le istituzioni devono collaborare mettendo in piedi un piano che operi su diversi fronti: imponga agli operatori di telefonia una verifica ancora più accurata e scrupolosa di oggi circa l’identità dei clienti che chiedono un cambio sim, oltre a non consentire la manipolazione dei numeri mittenti di telefonate e messaggi sms; acceleri l’azione delle forze di ordine, affinché i siti esca vengano chiusi in poche ore, non dopo settimane; si costruisca una collaborazione su scala europea per attivare risposte congiunte a livello comunitario, poiché tante minacce non sono locali ma internazionali; si semplifichi la legislazione che regola l’avvio di azioni penali in seguito a questi attacchi e, soprattutto, sia imposto il risarcimento della frode a chi è stato responsabile del suo successo.
«Bisogna assicurare» riflette Proverbio «l’enforcement tempestivo delle norme in essere o, se necessario, cambiare il contesto normativo. I tempi e i modi del digitale sono diversi da quelli del mondo tradizionale, i criminali lo hanno capito e anche le nostre regole si devono adeguare rapidamente. Ciò servirà anche a fare chiarezza, in termini di responsabilità, affinché ognuno faccia la propria parte: i clienti, gli operatori telefonici, le banche e tutte le parti terze coinvolte».
5 REGOLE PER DIFENDERSI
I consigli per proteggersi dai contatti fraudolenti. Sul sito web di Intesa Sanpaolo sono disponibili esempi di finti sms, mail e siti web usati per rubarci i dati.
1 – Non comunicare mai a nessuno i tuoi codici personali di accesso.
2 – Controlla che l’indirizzo del mittente sia corretto: gli errori di battitura sono un indizio utile per smascherare un tentativo di frode.
3 – Se non hai l’assoluta certezza della provenienza delle comunicazioni, non cliccare sui link presenti nel testo e non aprire gli allegati.
4 – Digita direttamente l’indirizzo di un sito web se vuoi visitarlo, senza cliccare sui link presenti nelle comunicazioni che hai ricevuto.
5 – Cancella tutte le comunicazioni che ti sembrano sospette. Nel caso tu voglia contattare la banca, fallo attraverso i suoi canali ufficiali.