Il via libera del Parlamento UE alle nuove regole sui bonifici istantanei, che diventano lo standard di fatto per le banche dell’Unione, ha suscitato un giubilo di commenti entusiasti su LinkedIn.
Ma è stato accolto con molto più pragmatismo da chi si occupa di sicurezza informatica e diritti dei consumatori: perché arriva proprio nel momento in cui la criminalità sta perfezionando tecniche molto sofisticate di attacco, compresa l’intelligenza artificiale generativa.
Che cosa cambia
Il testo approvato lo scorso febbraio, che era già stato concordato con i governi, aggiorna come noto le norme Sepa e impone che un bonifico istantaneo sia processato 24/7 in circa dieci secondi.
Includendo, tra l’altro, anche gli istituti di pagamento e di moneta elettronica tra le entità soggette alle norme.
Più sicurezza
Al di là della volontà di rendere più omogeneo il mercato comunitario, frammentato in regole nazionali con i relativi costi, il nuovo regolamento richiede infatti un sostanziale salto di qualità delle misure antifrode e la verifica della corrispondenza tra nome del beneficiario e IBAN.
I fornitori di servizi di pagamento dovranno anche offrire ai clienti la possibilità di limitare i rischi, come la possibilità di impostare un importo massimo per i bonifici istantanei.
Crescono le frodi
Intanto, nel 2023 le circa 4.300 frodi denunciate alla Polizia Postale hanno raggiunto un controvalore di 139,5 milioni di euro, a cui si somma probabilmente il bottino delle frodi non denunciate per vergogna.
Ben 111,6 milioni di euro riguardano il trading online, seguito dalle sempre attuali truffe sentimentali: quando si parla di investimenti, d’altronde, gli importi sono particolarmente alti, nell’ordine delle decine o centinaia di migliaia di euro.
Il truffatore ti chiama
Dal punto di vista qualitativo, però, preoccupa l’ascesa degli “attacchi conversazionali”, cioè che vengono veicolati tramite chat o SMS.
Nell’assenza di dati specifici sull’andamento di questo genere di frodi, possiamo osservare una crescita delle conversazioni su forum e social media in cui le vittime chiedono consiglio.
Si tratta, spesso, dell’ultima fase di complessi attacchi mirati e personalizzati. I gruppi criminali acquisiscono ormai abitualmente, nel dark web, pacchetti di dati di centinaia o migliaia di persone, comprese credenziali internet e numero di cellulare. Il loro problema è aggirare l’ultimo anello di difesa, il codice OTP.
La dinamica delle telefonate fraudolente
Una forma particolarmente pericolosa di attacco risolve il problema dell’accesso all’OTP telefonando alla potenziale vittima e fingendosi un operatore della banca che vuole informare il cliente di un problema urgente che riguarda il suo conto.
Il tutto usando soluzioni tecnologiche facilmente reperibili a basso costo per simulare in tutto e per tutto una telefonata legittima sullo schermo della potenziale vittima compaiono il nome e il numero della banca o del suo contact center.
Preso di sorpresa dalla telefonata, il cliente può spaventarsi e dimenticare il buon senso, e le indicazioni sulla sicurezza informatica ricevute dalla banca.
E viene così accompagnato dal finto operatore in una procedura per risolvere il fantomatico problema.
A un certo punto, il criminale tenterà di farsi comunicare dall’ignara vittima i codici OTP che ha appena ricevuto sul telefono.
È il momento cruciale: se il cliente abbocca all’amo, il frodatore completa un trasferimento di denaro. Che finisce all’istante sui conti correnti di altre vittime, oppure di complici.
Nei forum online e su Reddit si trovano decine e decine di racconti di attacchi di questo genere che hanno tratto in inganno persone di ogni età, cultura ed estrazione sociale.
Non si tratta solo di boomer poco avvezzi alla tecnologia, ma anche di nativi digitali. Che cadono vittima di attacchi ben studiati, condotti da persone che parlano con voce ferma, senza accenti particolari, in modo assolutamente credibile.
E se il cliente prova a chiudere la conversazione e a contattare direttamente la propria filiale o il contact center, la chiamata viene intercettata dai criminali, che possono così proseguire la loro simulazione.
È un mix perfetto di tecnologia, interpretazione e pessime intenzioni.
Il pericolo dell’AI
Ma c’è anche chi è vittima di attacchi conversazionali ancora più sofisticati e mirati. In cui un gruppo criminale si prepara attentamente per simulare una telefonata, o addirittura una videocall, in cui richiede urgentemente l’invio di denaro. Fingendosi un parente o un amico in difficoltà, oppure un superiore nel caso dei luoghi di lavoro.
Celeberrimo il caso di un manager giapponese, a capo di una filiale aziendale di Hong Kong, che dopo avere ricevuto la telefonata di un collega ha autorizzato un pagamento da 35 milioni di dollari. La voce era, come sappiamo, clonata grazie all’intelligenza artificiale.
Il numero di questi casi è destinato ad aumentare grazie all’intelligenza artificiale, che offrirà ai criminali anche la possibilità di creare video deepfake perfettamente realistici, grazie ai quali mettere sotto pressione la vittima, dandole poco tempo per riflettere su quello che sta facendo.
E l’irrevocabilità di un bonifico istantaneo, che sposta il denaro sul conto del beneficiario in dieci secondi, risponde perfettamente agli obiettivi di un frodatore.
Se anche in filiale non riconoscono una truffa
Ecco perché l’indicazione di lavorare sui sistemi antifrode e sulla sicurezza è quantomai azzeccata.
C’è in primis un problema culturale e di competenze, del cliente e non solo.
Clamorosa, da questo punto di vista, la pronuncia dell’ABF su un caso avvenuto a Bari. Il cliente di una banca è stato contattato telefonicamente da un gruppo criminale, con la consueta modalità, ma il nostro correntista barese non aveva mai attivato pienamente i servizi online: sconcertato, è andato a chiedere informazioni in filiale.
Dove gli sportellisti gli hanno fatto firmare tutti i moduli di attivazione. Risultato: conto svuotato e truffa riuscita. Un esempio clamoroso di come lo stesso personale bancario non sia sempre all’altezza della sfida con la criminalità informatica. Ovviamente, l’ABF ha dato ragione al cliente.
Il ruolo della tecnologia
Affidarsi solo a un miglioramento della logica di prevenzione attuale, e quindi al contributo dell’intelligenza artificiale per rafforzare i sistemi di monitoraggio e analisi delle transazioni, possibilmente senza danneggiare la user experience, potrebbe però non bastare.
Già oggi i criminali fanno leva sulla “umanità” delle loro vittime per bypassare i codici OTP.
Puntare sulla “educazione del cliente” si è già dimostrato fallimentare.
Come già detto, nei forum online riportano storie di nativi digitali, gente che con lo smartphone ci è cresciuta, che è caduta vittima di queste frodi così credibili e bene orchestrate, al punto da avvenire in momenti in cui l’obiettivo è particolarmente fragile. All’orario in cui i figli escono da scuola, ad esempio, o nel pieno della pausa pranzo, durante una riunione di lavoro o, al contrario, in tarda serata.
I criminali hanno imparato a sfruttare l’emotività e la fragilità umana, mettendo fretta alla vittima per impedirle di pensare razionalmente.
Per questo potrebbe essere utile individuare nuovi modi di prevenire gli attacchi, con degli alert che cercano di riportare il cliente alla realtà, avvisandolo del potenziale pericolo che stanno correndo.
Ad esempio, c’è chi ipotizza l’inserimento di un ulteriore livello di verifica se una disposizione viene inviata dalla app di mobile banking mentre è in corso una telefonata. Inviando magari una notifica al cliente, o chiamandolo direttamente.
Un’ipotesi che si scontrerà, verosimilmente, con le preoccupazioni sulla privacy.
Nelle ultime settimane, molti utenti delle app Postepay e Bancoposta di Poste Italiane hanno ricevuto un messaggio per autorizzare l’accesso ai dati personali contenuti nel loro smartphone Android.
L’obiettivo, riporta una nota di Altroconsumo, è garantire maggiore sicurezza individuando la presenza di eventuale malware. L’associazione dei consumatori definisce l’autorizzazione “di fatto obbligatoria” per accedere alle app e ha chiesto l’intervento del Garante della Privacy.
Il rischio è che l’ecosistema bancario e dei pagamenti resti indietro rispetto alla criminalità, nell’attesa di capire come usare per il “bene” quelle stesse tecnologie che, invece, il “male” adotta rapidamente.
SMS e WhatsApp restano veicoli di attacco
I tentativi di truffa puntano sempre più spesso ai nostri dispositivi smartphone. Il cosiddetto “smishing”, cioè l’invio di SMS fraudolenti, continua a essere popolare, con finte notifiche di tentativi di consegna di merce mai acquistata, ad esempio, o relative al blocco di app bancarie o carte di pagamento. L’obiettivo è, ovviamente, rubare i nostri dati.
Passa invece da WhatsApp l’impersonificazione di parenti o amici in difficoltà, con la richiesta di essere contattati a un numero di telefono sconosciuto a cui segue la richiesta di denaro per risolvere una situazione di urgenza o necessità.
In aumento anche i casi di finte offerte di lavoro, a cui segue un contatto, via SMS o WhatsApp, mirato a sottrarre i dati personali o i documenti del candidato, per perpetrare un furto di identità, oppure a reclutare money mule, destinati a diventare complici più o meno inconsapevoli delle truffe.
Questo articolo è stato pubblicato sul numero di aprile 2024 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
