Con una nuova tecnica di monetizzazione, i criminali acquistano viaggi online con carte rubate e li rivendono a immigrati. L’utente viene rimborsato dalla banca, ma di fondo il problema è che troppi esercenti online permettono di fare acquisti non sicuri. Ecco la nostra esperienza
di ALESSANDRO LONGO
Invia per email
Stampa
28 luglio 2016
180
SCOPRIRE per caso che sulla carta di credito qualcuno ha acquistato circa due mila euro in biglietti aerei e pacchetti vacanza. Riuscire a recuperarli in un mesetto, scoprendo, tra l'altro, perché è così facile questo tipo di truffa: il sistema ha troppe falle e troppe negligenze, da parte degli esercenti online. È la storia di una brutta esperienza personale finita bene, a inizi estate. Si è rivelata l'occasione per scoprire qualche retroscena poco noto in questo settore e per mettere alla prova le contromisure con cui gli utenti possono combattere queste truffe.
La scoperta della truffa. Il punto di partenza è la scoperta che qualcuno ha fatto acquisti con la carta di credito. Scoperta avvenuta per caso, scorrendo l'estratto della carta, perché- primo punto da imparare- di default la banca (BNL, nel nostro caso) avvisa via sms solo quando c'è un addebito sul conto. Gli addebiti sulla carta- che precedono quelli sul conto di circa un mese- invece sono segnalati via sms solo a pagamento, se l'utente lo richiede (tramite piattaforma e-banking). Circa 10 cent a sms: a seconda del numero di acquisti che facciamo con carta, è probabile che il servizio ci esponga a un salasso (per altro ingiustificato dal costo quasi nullo degli sms a monte, ossia per gli operatori). Attendere l'addebito sul conto non ci è molto d'aiuto, comunque, dato che l'sms ci mostrerebbe solo il totale della spesa fatta con la carta e non il singolo acquisto. Insomma, il primo scoglio è scoprire la truffa. Al momento l'unico consiglio- se non si ha una banca che offre gratis il servizio di avviso o se non si è disposti a pagarlo- è controllare l'estratto conto regolarmente.
La denuncia e il rimborso. A questo punto, niente panico. Quasi sicuramente la banca rimborsa subito (entro 30 giorni) e con certezza l'addebito contestato. L'unica situazione a rischio per l'utente è se viene rubata sia la carta fisica (o i suoi dati) sia il pin associato da inserire per fare acquisti su pos o su ritirare allo sportello. Come ci spiegano dal call center della banca, "questo succede al solito quando rubano un portafoglio dove l'utente, per negligenza, ha scritto su un foglietto il pin della carta. In questo caso la banca non rimborsa". Salvo un caso: se l'utente ha attiva una assicurazione che- per una ventina di euro l'anno- riesce a coprire anche questo frangente. Idem per quando i criminali riescono a carpire il pin via internet, per esempio con il phishing. La banca ci manda via mail il modulo pdf da compilare per il rimborso (possiamo trovarlo anche con una ricerca su internet), allegando la denuncia sporta presso un'autorità giudiziaria. Purtroppo per l'invio del modulo sono ammessi solo fax e raccomandata, non la mail né la pec. Abbiamo trovato difficoltà anche nelle comunicazioni normali con la banca via internet (con mail o tramite il sito di ebanking). Quasi puntualmente a ogni nostra comunicazione digitale faceva seguito una telefonata dalla banca (con numero anonimo) e nonostante le nostre proteste non è stato possibile cominciare e proseguire una conversazione tutta via mail. "Al telefono ci si capisce meglio", è stata una giustificazione del call center, nel più classico spirito analogico. Quello che conta però è che la banca ha poi rimborsato tutti gli acquisti. E la vicenda ci ha permesso di scoprire un paio di cose.
La monetizzazione con i viaggi e i buchi dei negozi online. Prima cosa: ma perché hanno comprato viaggi con la carta di credito? All'apparenza, sembra una sciocchezza, perché i viaggi sono nominali e il criminale si esporrebbe troppo così. Apprendiamo invece che è una nuova tecnica di monetizzazione delle carte di credito rubate. I criminali comprano biglietti online e poi li rivendono a un prezzo scontato rispetto a quello ufficiale, al solito o immigrati. Che così pensano di risparmiare, ma rischiano di ritrovarsi fermati dalla polizia in aeroporto (a seguito di denuncia sulla carta di credito rubata). La banca ci ha spiegato inoltre che l'acquisto è stato fatto in modalità non sicura- cioè senza inserire il token (one time password) - e quindi potrà rimborsarci rivalendosi totalmente sugli esercenti (nel nostro caso, la compagnia aerea Air France e un'agenzia online di Rimini). È un altro aspetto poco noto. Perché se le banche ci danno un token per gli acquisti sicuri, non tutti gli esercenti online lo richiedono? "Perché non sono obbligati dalla normativa - spiegano dalla banca. Però se non chiedono il token si prendono la responsabilità di eventuali truffe e devono restituire i soldi alle banche".
È qualcosa che alcuni siti fanno forse per imperizia; ma molti altri - come i big, quelli delle compagnie aeree e Amazon- fanno per scelta. Per loro è meglio rischiare qualche frode piuttosto che rendere meno usabile il proprio sito obbligando a inserire sempre una one time password (e così magari perdere acquisti). Il problema è che questa scelta si rovescia poi ai danni del sistema: si alimenta il business dei criminali, si causano alle banche costi di gestione delle frodi. E ai consumatori grattacapi e perdite di tempo, se tutto va bene. Con il rischio comunque di subire un danno reale se non si è attenti e non si notano gli addebiti truffaldini. È evidente che non è una situazione di mercato matura. La soluzione dovrebbe arrivare a breve: il sistema bancario europeo lavora a una "tokenizzazione" degli acquisti web. Ossia ogni acquisto conterrà non più i dati reali della carta ma un numero univoco virtuale, utilizzabile solo quella volta. Così se il criminale ruba questi dati - dal computer dell'utente, dal server del sito o dal pos di un negozio infettato da un virus - non potrà utilizzarli. Resta comunque aperta la possibilità di fare acquisti con dati di una carta rubata in altro modo, magari con phishing via mail o con un furto tradizionale "offline". Ecco perché l'utente non è esonerato per ora dal doversi preoccupare di monitorare gli addebiti su carta. Con la consapevolezza, almeno, che il rimborso avverrà senza problemi.
www.repubblica.it/tecnologia/sicurezza/2016/07/28/news/carte_di_credito_come_mi_hanno_rubato_2_mila_euro_sulla_carta_di_credito_e_come_li_ho_recuperati-144983105/?re...[IMG][/IMG]