Pagamenti online: truffe e rischi privacy (anche col riconoscimento biometrico) - Agenda Digitale

non solo phishing

Pagamenti online: truffe e rischi privacy (anche col riconoscimento biometrico)

Accedere al conto in banca, fare pagamenti e acquisti online è una comodità, ma anche un rischio. Diverse insidie si celano dietro pratiche che ormai fanno parte della quotidianità: dal phishing allo smishing fino alla violazione dei dati biometrici che dovrebbero garantire più sicurezza. Come difendersi?

05 Mar 2021
Marco Martorana

avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

Lucas Pinelli

Studio legale Martorana – Vice President for Marketing, ELSA Belgium

Da molti anni ormai, con lo sviluppo delle nuove tecnologie dell’informazione, l’attività economica online ha acquistato sempre più importanza. È infatti diventato parte del nostro quotidiano accedere al conto in banca ed effettuare pagamenti da casa, così come fare acquisti online. Da marzo 2020, poi, con le limitazioni ai movimenti dei cittadini dovute alla pandemia da Covid-19, le transazioni tramite Internet sono aumentate a dismisura.

Questo incremento dei pagamenti via web fa anche crescere l’interesse da parte dei criminali informatici, che trovano terreno fertile per nuove truffe phishing.

Phishing e smishing

Tra la fine del 2020 e l’inizio del 2021, mentre tutti gli sguardi si indirizzavano verso la nuova informativa privacy di Whatsapp, alcuni truffatori hanno approfittato del momento per avviare una campagnia di phishing sfruttando proprio il nome di tale compagnia.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

Attraverso l’invio di una mail, si suggerisce agli utenti dell’app di messagistica di rinnovare la registrazione per evitare la prossima chiusura dell’account con tanto di perdita di messaggi, foto, ecc. A questo fine viene richiesto all’”utente target” l’inserimento dei dati della propria carta di credito (numero di carta, codice di sicurezza, password, ecc.) così da rinnovare il servizio per un periodo da 1 a 5 anni. Si tratta di un classico esempio di phishing il cui obbiettivo è rubare i dati bancari degli utenti. Come è noto, infatti, il servizio di messagistica whatsapp è gratuito e non necessita quindi di nessun pagamento.

In precedenza, campagne simili condotte da criminali digitali hanno colpito gli utenti di diverse banche. In quel caso, la mail utilizzava come pretesto l’aggiornamento dell’informativa privacy per richiedere l’aggiornamento dei dati degli utenti. In realtà, essi erano reindirizzati verso una pagina del tutto estranea alla banca e i dati così inseriti potevano essere tranquillamente derubati dai truffatori.

In altri casi, i criminali informatici hanno utilizzato come pretesto il blocco degli account PayPal dei loro target per colpa di “attività sospette” oppure si sono serviti di tale piattaforma per ricevere una somma di denaro a seguito della vendita di un oggetto online. In entrambi i casi, l’email inviata agli utenti chiedeva di cliccare su un link e inserire i dati personali per completare la vendita o per sbloccare l’account.

Un variante del phishing è lo smishing: phishing condotto attraverso SMS. Un esempio: recentemente sono stati inviati diversi sms che sembravano provenire dall’INPS e in cui si chiedeva di cliccare su un link per modificare la propria domanda di bonus di 600 euro. L’utente veniva poi reindirizzato su una pagina simile a quella dell’INPS dove era invitato a scaricare un’App malevola: un malware bancario per Android con l’obbiettivo di sotrarre alle vittime le password di accesso e i codici di autenticazione inseriti nelle App o nei siti di web banking.

Tutti i reati delle frodi informatiche, tra phishing, vishing e smishing

Come proteggersi?

Inanzitutto, bisogna ricordare che, in generale, nessun istituto finanziario o commerciale richiede informazioni personali attraverso email, sms, social media o chat. Pertanto, richieste simili dovrebbero come minimo destare destare dubbi. Quindi, è consigliabile non cliccare sui link in esse contenuti e non aprire eventuali allegati. Così, oltre a non divulgare i propri dati, si evita l’intrusione sui propri dispositivi di virus o programmi trojan horse capaci di prendere il controllo di pc e smartphone.

Di fronte a richieste di questo tipo, è anche consigliabile accedere al proprio account inserendo manualmente l’URL su un motore di ricerca – senza passare attraverso il link inviato nell’email o nell’sms – e verificare se esiste effettivamente un problema o meno.

Inoltre, in un’infografica sul phishing aggiornata nel novembre 2020, il Garante privacy ha espresso diverse raccomandazioni per gli utenti:

  • Prestare attenzione alla presenza di eventuali grossolani errori grammaticali, di formattazione o di traduzione da altre lingue così come al mittente e al suo indirizzo di posta elettronica che potrebbero rivelarsi essere un’evidente imitazione. In più, diffidare dei messaggi con toni intimidatori come le minacce di chiusura del conto bancario;
  • Installare e tenere aggiornato un programma antivirus sia su pc che sullo smartphone e non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online, nonché impostare password complesse e diverse per ogni servizio;
  • Usare carte prepagate o altri sistemi di pagamento che permettono di evitare la condivisione di dati del conto bancario o della carta di credito per fare acquisti online;
  • Controllare le movimentazioni sul conto bancario e attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata e, in caso di dubbio, contattare direttamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili.

La direttiva PSD2 e l’autenticazione forte del cliente

La nuova direttiva PSD2 è un elemento fondamentale della legislazione sui pagamenti in Europa. Essa prevede, per le operazioni di pagamento elettronico a distanza, che i prestatori di servizi di pagamento debbano applicare l’autenticazione forte del cliente che comprenda elementi che colleghino in maniera dinamica l’operazione a uno specifico importo e beneficiario.

Pagamenti online con doppia autenticazione, così fanno le banche nel 2021

Un’analisi del Politecnico di Milano evidenzia gli approcci adottati dagli istituti bancari per mettere in pratica l’autenticazione a due fattori prevista dalla direttiva PSD2. Da questa analisi emergono due approcci, uno detto conservativo e l’altro detto innovativo.

Il primo, si basa su un codice inviato via SMS abbinato ad un codice statico (PIN o password) da inserire. Entrambi i codici vanno inseriti nella fase di finalizzazione del pagamento sul sito online.

Il secondo, invece, necessita di scaricare l’applicazione della banca sul proprio smartphone. Infatti, al momento del pagamento verrà inviata una notifica della banca sul proprio dispositivo e sarà necessario connettersi all’app per autorizzare il pagamento attraverso una password di blocco oppure una modalità di riconoscimento biometrico.

Le criticità legate al riconoscimento biometrico

Sebbene quest’ultima possibilità possa permettere una massima sicurezza non è priva di criticità.

Sul piano pratico, l’uso dello smartphone per pagamenti online, seppur agevole, rende più difficile per le persone meno avvezze rispetto al computer notare i grossolani errori commessi dai truffatori nel confezionamento delle loro trappole. Inoltre, anche se sono ancora poche le persone ad aver installato un antivirus sul proprio smartphone è importante, come detto sopra, che lo smartphone sia protetto da un adeguato programma.

Sul piano giuridico, invece, se da un lato questi sistemi permettono una migliore sicurezza con l’obbiettivo di tutelare gli utenti, l’uso di sistemi di riconoscimento biometrico può trovarsi in contrapposizione proprio con la privacy degli utenti. Infatti, a differenza di una password, i dati biometrici raccolti durante una procedura di autenticazione o identificazione rivelano maggiori informazioni sull’utente. A seconda dei dati biometrici raccolti, possono essere dedotti dati sul soggetto come la razza o il sesso, lo stato emotivo, eventuali malattie, caratteristiche genetiche ecc. Poiché queste informazioni sono “integrate”, l’utente non può impedire la raccolta di tali informazioni aggiuntive.

Inoltre, i sistemi in cui vengono elaborati i nostri dati biometrici possono subire violazioni della sicurezza. Quindi, come avviene con l’utilizzo della stessa password su molti sistemi diversi, l’accesso non autorizzato ai nostri dati biometrici in un sistema faciliterebbe l’accesso al resto dei sistemi che utilizzano tali dati biometrici. Tuttavia, a differenza delle password, una volta che le informazioni biometriche sono compromesse, esse non possono essere modificate o cancellate. In più, se le informazioni biometriche erano precedentemente archiviate in alcune banche dati, principalmente per scopi di sicurezza pubblica o di controllo delle frontiere, ora vengono archiviate in un numero crescente di dispositivi. Ciò aumenta notevolmente la probabilità che una violazione della sicurezza possa far trapelare dati biometrici.

Infine, un trattamento di dati biometrici non compliant è suscettibile di ledere profondamente e in modo permanente la dignità delle persone. È quindi necessario tenere in conto sin dalla progettazione di sistemi di autentificazione biometrica l’insieme di norme e di valori esistenti necessari al rispetto della dignità umana.

Pertanto, se l’uso di un metodo di riconoscimento biometrico può favorire una maggiore sicurezza dei pagamenti online, esso non esclude affatto il rischio data breach. La perdita del dato biometrico, però, al contrario della password o di un codice PIN, comporta in un certo senso anche la perdita di parte della propria dignità umana.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 2