La truffa di smishing, cioè phishing effettuato via Sms cerca di colpire non è solo chi ha una carta Nexi. Il nome dell’azienda viene usato perché è riconoscibile, legato ai pagamenti digitali e quindi utile per rendere più credibile l’allarme. La comunicazione non serve a informare l’utente, ma a portarlo dentro un percorso controllato dai criminali tele-informatici.
Il messaggio fraudolento arriva via SMS sul telefono con un tono formale, indicando un importo alto e un mittente che esiste davvero: Nexi, Nexi Alert, è sempre più o meno identica: “NEXI: è stata richiesta un’autorizzazione di pagamento di 2730,00 EUR, se non ha effettuato lei l’operazione contatti il Servizio Clienti”. Oppure: “Nexi: spesa mediante carta Bancomat di EUR 1.436,70 su amazon.it”. A volte il testo parla di un bonifico, oppure di un pagamento già autorizzato, altre persino di un’operazione “in corso” che i criminali millantano di poter bloccare solo con un intervento immediato. Ed è cosi che scatta la truffa.
Il sistema truffaldino psicologico è elementare: quando chiunque riceve un messaggio del genere e legge che potrebbe essere prelevata una somma elevata dalla propria carta o dal conto corrente, la prima reazione è il panico, e il messaggio sfrutta proprio quel momento, spingendo a usare il canale proposto dai truffatori.
È così che lo smishing si unisce spesso con il vishing, la truffa telefonica. La vittima chiama il numero indicato nell’Sms e dall’altra parte trova un falso operatore, spesso molto preparato, che usa un linguaggio tipico di un’assistenza bancaria che ha come unico scopo quello di ottenere informazioni: numero della carta di credito, oppure le credenziali di accesso dell’home banking, eventuali codici OTP, o dispositivi, dati personali o conferme nell’app della banca.
In altri casi il link contenuto nell’ SMS truffaldino reindirizza ad a una pagina falsa, costruita per essere scambiata con quella di Nexi, o della banca oppure di un servizio di pagamento. Lo scopo è identico è quello di far inserire dati personali e sensibili o persino autorizzare operazioni che non hanno nulla a che vedere con un vero blocco di sicurezza.
Le truffe attraverso questi Sms falsi sono diventate sempre più difficili da riconoscere perché non si affidano più soltanto a testi sgrammaticati o siti internet chiaramente sospetti. Il tono dell’interlocutore è spesso freddo, dal fare burocratico, molto simile a quello utilizzato nelle comunicazioni bancarie reali. Gli importi indicati negli SMS-TRUFFA sono creati per generare angoscia in chi li riceve. I riferimenti a piattaforme note come Amazon, PayPal o Booking rendono il messaggio verosimile a chi li riceve. In alcuni casi il mittente può apparire all’interno di conversazioni già esistenti, grazie a tecniche di spoofing che mascherano la provenienza del mittente, così l’utente tende a fidarsi del nome che vede sul telefono.
La regola per non farsi truffare da applicare è una sola: nessuna comunicazione urgente ricevuta via Sms deve diventare il “cavallo di Troia” per fornire dati bancari, credenziali o codici di sicurezza. Nelle numerose segnalazioni raccolte dalle associazioni di consumatori vengono segnalati diversi numeri utilizzati nei falsi messaggi Nexi e spacciati come “servizio clienti”o “assistenza rapida”. Questi sono alcuni di quelli utilizzati dai truffatori: telefonia fissa 02-82302953, 02-82396404, 02-82300484, 02-87186806, 02-82307081, telefonia mobile +393508984188, +393793404023 e +3512612333.
Questi numeri sono solo indicativi in quanto cambiano continuamente, sostituiti, riciclati o utilizzati attraverso nuovi contatti. Il problema quindi non è solo riconoscere un numero specifico, ma afferrare il comportamento corretto: non bisogna chiamare il numero ricevuto via Sms e non bisogna cliccare sui link presenti nel messaggio. Se si ha il dubbio su un pagamento, la verifica va fatta esclusivamente aprendo direttamente soltanto l’App ufficiale installata sul proprio telefono, o ancora meglio accedendo dal proprio computer, così entrando nella propria area clienti, digitando l’indirizzo nel browser o chiamando il numero riportato sul retro della carta. Non utilizzate mai i numeri indicati nei messaggio sospetti.
La truffa del finto Sms Nexi è una delle molte varianti di un fenomeno più ampio. Gli stessi schemi vengono usati con nomi di banche, corrieri di spedizione, piattaforme di pagamento, persino servizi pubblici, multe, pedaggi, consegne e identità digitali. Il Garante per la protezione dei dati personali descrive lo smishing come una forma di truffa che usa messaggi di testo e sistemi di messaggistica per appropriarsi di dati personali, spesso facendo leva sul timore di un danno imminente. Anche la Polizia Postale da tempo invita i cittadini a non fornire dati bancari, PIN, CVV e codici OTP e a verificare sempre attraverso i canali ufficiali.
Altroconsumo ha sviluppato all’internodel progetto “Digitalizzati” finanziato dal Ministero delle Imprese e del Made in Italy, uno spazio dedicato alle truffe dove i cittadini possono segnalare tentativi di frode, phishing o truffe digitali ricevute tramite email, messaggi, social network o sms e trovare indicazioni utili su come comportarsi. Il servizio consente di condividere in modo sicuro informazioni su sospette truffe, ricevere assistenza e consigli pratici degli esperti legali di Altroconsumo e contribuire alla mappatura dei fenomeni di truffa più diffusi in Italia, per aiutare altri utenti a riconoscerli e difendersi.
Come difendersi dalle truffe
La prima regola da seguire è semplice: non fate nulla. Non reagite d’impulso, non cliccate, non rispondete, non chiamate. Poi è utile controllare i movimenti della carta solo dai canali ufficiali, quindi App, Area clienti del proprio home banking o chiamare il numero riportato sul retro della carta carta: se l’operazione indicata nell’Sms-truffa ricevuto non compare, il messaggio ricevuto è certamente un tentativo di truffa.
Il messaggio può essere segnalato come spam dal telefono e il mittente viene bloccato. È utile anche inoltrare il testo sospetto a Nexi utilizzando l’indirizzo dedicato alle segnalazioni. In presenza di dubbi più seri, soprattutto se erroneamente si sono forniti dati o comunicati codici, contattare subito la propria banca o l’emittente della carta, e chiedete il blocco immediato dello strumento di pagamento, facendo le opportune verifiche di eventuali movimenti non autorizzati.
E’ bene ricordare e tenere ben presente che una banca, un operatore di pagamento o un servizio antifrode non chiederanno mai di comunicare password, PIN, CVV, codici OTP o codici dispositivi ricevuti sul telefono. Quei codici servono proprio a confermare operazioni e non devono essere condivisi mai, con nessuno, neanche con chi sostiene di chiamare dall’assistenza clienti.
Se invece siete già caduti nella truffa, è fondamentale attivarsi immediatamente: bloccate la carta e gli accessi online, cambiare le credenziali dell’home banking, controllare le autorizzazioni dell’app bancaria, conservare Sms, numeri chiamati, screenshot e movimenti sospetti. Questi elementi possono essere utili per la denuncia alla Polizia Postale e per eventuali richieste di rimborso.
