Home » News » News Tecnologia » Cashback, occhi aperti contro truffe e frodi: attenzione anche alle App dei circuiti esterni. Smishing, cos’è e come difendersi

Cashback, occhi aperti contro truffe e frodi: attenzione anche alle App dei circuiti esterni. Smishing, cos’è e come difendersi

Pubblicato il

Il cashback è il programma varato dal Governo partito in via sperimentale il mese scorso che consente a chi aderisce di vedersi restituito il 10% di ogni pagamento effettuato con una carta abilitata.

Conclusa la prima fase natalizia, una vera e propria prova sul campo non senza disservizi, nel 2021 il cashback è entrato nel vivo: per due anni, in periodi di sei mesi ciascuno e con una serie di requisiti da rispettare (minimo 50 transazioni valide ad ogni semestre tra gli altri), gli italiani potranno ottenere indietro fino a un massimo di 150 euro per periodo.

Cashback e truffe: un binomio pericoloso

Purtroppo però, in concomitanza con il lancio del progetto, si sono moltiplicate le segnalazioni di utenti rimasti vittima di truffe o di raggiri nel tentativo di aderire al programma. Abbiamo cercato di racchiudere le più comuni.

Le false applicazioni ma dal nome simile

Il primo caso ha riguardato, ricorderete, la pubblicazione negli store di app per smartphone di applicazioni parallele (ovviamente fasulle) all’unica app ufficiale dello Stato, l’applicazione “Io” della Pubblica Amministrazione. 

Ma, complici i disservizi iniziali proprio dell’App a causa dell’elevato numero di accessi, forse non preventivati in numero così elevato, molti hanno scaricato app truffaldine – ma con nomi facilmente confondibili – che ovviamente non davano alcun accesso al programma pagandole circa un euro. Una truffa segnalata anche da Striscia la Notizia in questo video. 

Lo smishing: cos’è e come difendersi

Lo “Smishing” (parola nata dall’unione di sms e phishing), è una pratica avente l’obiettivo di rubare informazioni personali mediante l’invio di messaggi ingannevoli che invitano l’utente a cliccare su link malevoli e il sito al quale ci indirizza l’sms è un sito clone dell’originale con la finalità di rubare i nostri dati.

Lo smishing non nasce di certo con il cashback ma, sfruttando l’implementazione nell’uso dei pagamenti elettronici che sono sempre più incrociati con i sistemi di sicurezza via SMS, ha spalancato nuovi orizzonti agli hacker.

Molti inoltre, considerando anche l’avvio “zoppicante dell’App Io”, si sono rivolti a gestori e circuiti esterni che consentono comunque l’adesione al cashback, che sia con la propria banca o con circuiti specializzati proprio nel settore dei pagamenti digitale. Tra questi un vero e proprio boom è stato registrato dal colosso Nexi che è stato oggetto però, quasi di pari passo alla crescita sul mercato, ad un’ondata di tentativi di smishing a carico degli ignari utenti.

Smishing e il caso Nexi: attenzione al finto SMS, non cliccate sul link

Quali sono gli ingredienti di una perfetta quanto letale truffa con l’sms? L’utente riceve un messaggio che gli comunica che il conto è stato bloccato o che comunque si è verificato un qualche altro tipo di problema. A prescindere dal testo, l’elemento principale è l’invito a cliccare su un link che riporta un URL “molto simile” a quello vero del mittente.

Cliccandoci sopra verrete reindirizzati ad una pagina anche qui del tutto simile a quella originale che vi invita a inserire i vostri dati sensibili (username, password, numero di conto, ecc.).  Se lo fate non si potrà tornare più indietro. In alcuni casi la truffa è architettata davvero bene e prevede il coinvolgimento anche di un finto operatore e di conferme da fornire mediante app. 

Tra l’appropriazione indebita di marchi noti c’è stato a cavallo tra il 2020 e il 2021 un boom di tentativi di questo tipo di truffa sfruttando proprio con il marchio Nexi, tra i circuiti più scaricati per aderire al cashback varato dal Governo.

Come difendersi

E allora ecco alcuni semplici consigli della Polizia Postale:

  • Il primo consiglio può sembrare banale ma è in realtà il più efficace: Sms di riscatto premi, coupon, regali, avvisi urgenti e di offerte “impossibili” come un iphone al prezzo di 1€ (in rete come nella vita reale nessuno regala nulla) devono essere considerati come tentativi di truffa o di furto di dati;
  • Nessuna Banca o Istituto di Credito comunica con i propri clienti via sms o email chiedendo loro di modificare le credenziali di accesso al conto o di aggiornarne le informazioni;
  • Quando si ricevono questo tipo di messaggi siamo di fronte a tentativi i di truffa e non dobbiamo rispondere né cliccare sui link. Dobbiamo invece contattare il nostro referente in banca per chiedere informazioni;
  • Qualora, per disattenzione o fretta, cliccassimo sui link proposti, ricordiamoci di non fornire alcun tipo di credenziali e/o dati personali e non autenticarci con nome utente e password;
  • Mai scaricare eventuali documenti o allegati proposti;
  • Ricordiamo che, come nella vita reale prestiamo attenzione alla tutela dei nostri dati personali, lo stesso dobbiamo fare sulla rete. Nome, cognome, indirizzi, password e foto sono dati importantissimi e devono essere custoditi gelosamente.

Le altre App (oltre a quella “Io”) per il cashback sono sicure?

Satispay, Nexi Pay, YAP, Hype, Bancoposta e Postepay, American Express sono alcuni dei circuiti con il quale è possibile aderire al programma cashback parallelamente a quella della Pubblica Amministrazione “Io” (sulla quale non sono mancate comunque le perplessità specie sul fronte privacy e del trattamento dei dati sensibili). Altre ancora sono messe a disposizione dai propri Istituti bancari.

Ma queste applicazioni sono davvero sicure? Nella stragrande maggioranza dei casi assolutamente sì.

Ma le trappole sono sempre dietro l’angolo. Una nostra lettrice, infatti, iscritta in questo caso al circuito Nexi, è rimasta purtroppo vittima di un attacco hacker (e, cercando sul web, non sarebbe nemmeno l’unica): ignoti hanno infatti violato il suo account, bypassato i sistemi di sicurezza e effettuato pagamenti ovviamente senza alcun tipo di consenso. 

Nexi, nata nel 2017 dalla fusione tra l’istituto bancario ICBPI e CartaSì e che gestisce oltre 40 milioni di carte di credito, era già finita al centro delle polemiche nel 2019 a causa di un controverso caso di presunta violazione del database dei dati personali dei propri clienti (poi smentita dalla stessa azienda). 

«Sono disperata – ci racconta – ho installato questa App per recuperare il cashback e invece mi ritrovo con un danno enorme. Sfruttando i limiti del plafond della carta qualcuno ha effettuato pagamenti malgrado io abbia tentato di annullare le operazioni. Ho anche parlato al telefono con un operatore qualificatosi come Nexi (che era a conoscenza di tutti i miei dati) che mi ha assicurato che le transazioni erano state annullate ma così invece non era. Mi rimane solo la possibilità di adire le vie legali. Ma con quali soldi visto che si tratta di procedure costosissime?».

E infatti, in questi casi (che non sono pochi basti pensare che è stato creato anche un organo intermediario ad hoc – l’arbitro finanziario bancario – per risolvere controversie bancarie), le vie sono due: o si procede al livello personale oppure, come stanno facendo tantissimi cittadini, si sceglie di rivolgersi alle associazioni dei consumatori per cercare di far valere i propri diritti. 

E voi? Avete avuto esperienze di questo tipo menzionate nell’articolo? Segnalatecelo a redazione@ilcorrieredellacitta.it

 

 

Impostazioni privacy