IMAGOECONOMICA

I pagamenti online sono affidabili e sicuri, perché sono protetti da tecnologie all’avanguardia e da regole europee in continua evoluzione. La difesa principale è il sistema di autenticazione forte, che ha ridotto molto le frodi.
Inoltre, in Italia l’incidenza delle truffe sui pagamenti con carte e con bonifici elettronici è minima rispetto alla quantità di denaro scambiata con questi strumenti: 0,06% per le carte e 0,001% per i bonifici elettronici nel 2022.
Per difendersi dalle truffe online la Banca d'Italia ha indicato alcune regole per difendersi che vi riportiamo sinteticamente: mai dare le proprie credenziali a nessuno; mai cliccare su link, scansionare codici QR o aprire allegati in messaggi sospetti; installare un antivirus e tenerlo aggiornato insieme al sistema operativo; attivare l’avviso che informa quando si fa un pagamento elettronico; controllare sempre le proprie operazioni e avvertire la banca quando si scopre un pagamento non autorizzato.

Quali sono gli strumenti per pagare online?

Gli strumenti principali sono le carte di credito, di debito (“bancomat”) e prepagate, i bonifici elettronici, gli addebiti diretti e i circuiti chiusi come PayPal.

Pagare online è sicuro?

Sì. I pagamenti online sono affidabili e sicuri perché protetti da tecnologie sempre aggiornate e da regole europee in continua evoluzione, in particolare la Seconda Direttiva sui Servizi di Pagamento (PSD2).

Come sono protetti i pagamenti online?

La protezione principale per i pagamenti online (e l’accesso ai servizi bancari) prevista dalla normativa è il sistema di autenticazione forte, introdotto alla fine del 2020. Questo sistema ha contribuito molto a ridurre le frodi; nel nostro Paese il rischio di truffa per i pagamenti con carta fatti da remoto, secondo una ricerca della Banca d’Italia, è diminuito del 60%, e dell’80% per quelli effettuati presso i negozi (POS).

Cos’è il sistema di autenticazione forte?

È un sistema che verifica l’identità di chi fa un pagamento o accede ai servizi bancari online. Identifica l’utente attraverso l’utilizzo di almeno due di questi tre fattori: una cosa che sa (come un codice o una password), una cosa che ha (come un cellulare o la carta) e una cosa che lo riguarda (come l’impronta digitale).

Perché a volte posso pagare con la carta senza inserire il PIN?

Il PIN può rappresentare il secondo fattore di autenticazione forte (il possesso della carta costituisce il primo). La Legge permette alle banche di non richiederlo in alcuni casi, fra cui il pagamento contactless (quello fatto avvicinando la carta al POS) di piccolo importo.

Ci sono altri meccanismi di sicurezza oltre all’autenticazione forte?

Sì. Ad esempio, l’importo di un pagamento online e il codice che identifica il beneficiario non possono essere modificati da nessuno dopo l’invio dell’ordine, nemmeno dalla banca. Inoltre, le banche controllano le transazioni e possono bloccarle se sospettano operazioni truffaldine.

In Italia quanto è ampio il fenomeno delle truffe nei pagamenti elettronici?

In Italia l’incidenza delle truffe sui pagamenti con carte e con bonifici elettronici è minima rispetto alla quantità di denaro scambiata con questi strumenti. Nel 2022 era lo 0,06% per le carte utilizzate da remoto per l’acquisto di beni e servizi online (e-commerce), cioè 60 euro perduti ogni 100mila scambiati, mentre scende a 5 euro nel caso di pagamenti con carta presso i negozi (POS). Per i bonifici elettronici ordinari il tasso scende ulteriormente allo 0,001%, cioè 1 euro perduto ogni 100mila scambiati. L’incidenza delle truffe sui pagamenti si è ridotta nel tempo, anche se i pagamenti elettronici sono aumentati.

I truffatori quali metodi usano per aggirare le difese?

I metodi più usati dai truffatori per aggirare le difese sono quelli dell’ingegneria sociale: attraverso tecniche di manipolazione che fanno leva sulle paure e sull’avidità delle persone, il truffatore persuade la vittima a rivelare le credenziali che usa per i pagamenti (come quelle di accesso al conto online o i codici delle carte) o la induce direttamente a fare un pagamento a beneficio del truffatore. In questi casi l’autenticazione forte diventa inefficace perché è la vittima stessa a validarla. Tecniche di questo tipo sono il phishing, lo smishing, il vishing e lo spoofing.

Un altro metodo usato dai truffatori è la tecnologia: impiegare un software “malevolo” (malware) per rubare credenziali e altri dati riservati della vittima quando questa li inserisce durante la navigazione.

Come funzionano phishing, smishing e vishing?

In caso di phishing il truffatore invia un’email da un indirizzo che spesso può sembrare in apparenza affidabile. L’email chiede di cliccare su un link, scansionare un QR code o fare qualcos’altro con urgenza per cogliere un’occasione (come un rimborso) o evitare un danno (come una multa). Lo scopo è indurre la vittima a inserire credenziali o altri dati riservati in una pagina web, che può anche replicare quella di un sito affidabile. Lo smishing funziona in modo simile, ma il truffatore invia un messaggio telefonico anziché un’email. Nel vishing, invece, il truffatore cerca di procurarsi le credenziali della vittima chiamandola per telefono.

Come funziona lo spoofing?

Il truffatore finge di essere la banca della vittima. Contatta la vittima con email o messaggi che sembrano inviati dalla banca o attraverso una chiamata telefonica che sembra provenire da un numero della banca, come il numero verde.

Come funziona il man in the browser?

Il truffatore ruba le credenziali della vittima quando questa le inserisce durante la navigazione. Può farlo ad esempio con un virus informatico che modifica in tempo reale le transazioni o le pagine web.

Come ci si difende dalle truffe di ingegneria sociale?

Per difendersi dalle frodi di ingegneria sociale è necessario innanzitutto informarsi per poterle riconoscere. È importante sapere che non bisogna mai dare a nessuno le proprie credenziali, ad esempio il nome utente e la password per accedere al conto online. Quindi, non si deve mai rispondere a richieste di credenziali ricevute via email, messaggi o telefonate. La nostra banca non ci chiederà mai le nostre credenziali. È opportuno accedere al proprio conto online sempre utilizzando l’indirizzo salvato nel browser tra i preferiti o utilizzando la ricerca di Google e non attraverso link o codici QR ricevuti via email o messaggi; si deve attivare l’avviso che informa quando si fa un pagamento elettronico; si devono controllare periodicamente le operazioni effettuate e, se si scoprono pagamenti non autorizzati, va informata subito la banca e bloccata la carta.

Come ci si difende dalle truffe con malware?

Per difendersi, nel caso di messaggio o email sospette, non bisogna mai cliccare su link o scaricare allegati; bisogna tenere sempre aggiornato il sistema operativo e, possibilmente, installare un antivirus e tenere aggiornato anche questo. È inoltre opportuno evitare di pagare online quando si è connessi a reti wi-fi pubbliche ed è consigliato scaricare app solo dagli store ufficiali, come Google Play e Apple Store.

Le banche chiedono ai clienti via email o telefono le credenziali per i pagamenti elettronici?

No, la banca non chiede mai al cliente via email o telefono le credenziali del conto corrente online o altri dati necessari ai pagamenti elettronici, come il numero e il PIN della carta di credito. Le richieste di credenziali via email o telefono che sembrano provenire dalla propria banca sono truffe.

Chi è vittima di una truffa ha sempre diritto a essere rimborsato delle somme che il truffatore gli ha sottratto?

Il cliente vittima di truffa ha diritto a essere rimborsato se è stato diligente e non ha agito in modo fraudolento. Essere diligente significa custodire con attenzione gli strumenti di pagamento (come le carte), proteggere le credenziali tenendo comportamenti attenti e diligenti e segnalare con tempestività alla banca il furto o lo smarrimento di uno strumento o i pagamenti non autorizzati.
Per ottenere il rimborso è importante anche conoscere le tecniche di truffa più comuni: se si cade vittima di frodi molto note o facilmente riconoscibili si potrebbe perdere il diritto a essere rimborsati, perché si è mostrato un comportamento negligente. È il caso delle frodi in cui il truffatore chiede le credenziali per i pagamenti elettronici fingendo di essere la banca della vittima.
Nel caso di controversia fra cliente e banca, è la banca che deve dimostrare che il cliente non ha agito in maniera diligente, altrimenti è tenuta a rimborsarlo.

Se sono stato diligente e sono stato comunque truffato cosa posso fare?

Aver usato tutte le accortezze per evitare la truffa ci mette nella condizione di poter chiedere alla nostra banca il rimborso delle somme perse, con la ragionevole certezza di poterlo ottenere in tempi molto brevi.

Si devono segnalare subito alla banca i trasferimenti di denaro eseguiti dal truffatore e chiedere il rimborso. Se la banca rifiuta e si ritiene di essersi comportati in modo diligente, le si può inviare un reclamo scritto. Se la banca non risponde al reclamo entro 15 giorni lavorativi o non accoglie la richiesta, si può inviare un ricorso all'Arbitro Bancario Finanziario per ottenere il rimborso. È inoltre possibile segnalare l’accaduto alla Banca d’Italia con un esposto; l’istituto non decide nel merito, ma valuta l’accaduto nella sua attività di vigilanza.

Secondo gli ultimi dati disponibili sui ricorsi all’Arbitro per utilizzo fraudolento di servizi e strumenti di pagamento, gli intermediari, nel 2022, hanno restituito ai ricorrenti ben 9 milioni di euro.

Denunciare una frode alle forze dell'ordine può aiutare a combattere le truffe ma non è una delle condizioni previste dalla legge per ottenere il rimborso delle somme perse se si è stati diligenti.