Shopping natalizio online, i consigli della Polizia Postale per fare acquisti sicuri

Dall'esperienza acquisita nella tutela dai rischi di truffe dalla Polizia Postale e delle Comunicazioni nasce una guida con suggerimenti pratici per acquistare in rete con maggiore tranquillità.

È ormai iniziata la corsa agli ultimi acquisti dei regali di Natale. Quale migliore occasione per fornire consigli utili ed evitare che lo shopping per comprare i doni per i propri cari faccia incorrere in potenziali truffe? La Polizia Postale e delle Comunicazioni mette a disposizione una serie di informazioni per garantire la sicurezza in rete, la tutela dei dati personali, la protezione da frodi e rischi negli acquisti: temi caldi e particolarmente sentiti da chi utilizza internet.

Il numero delle segnalazioni e denunce ricevute, sommate a quelle delle persone arrestate e denunciate, ha richiamato l'attenzione della Polizia Postale, che ha potenziato ogni utile strumento per indirizzare l'utenza a un uso appropriato della rete e dei pagamenti online e contrastare le truffe messe in atto su internet, anche attraverso la chiusura degli spazi virtuali. Del resto, che la scelta di acquistare in rete sia legata anche alla possibilità di ottenere risparmi, oltre che alla comodità, non è una sorpresa: alcune ricerche confermano che il modello dell'acquisto di impulso legato a offerte speciali (ad esempio stock limitati o con prezzi scontati) si è talmente diffuso che anche i truffatori seriali riescono ad inserirsi con false vendite. Nonostante ciò la stragrande maggioranza dei compratori online si affida a internet per gli acquisti, comprese persone poco esperte. Questo il motivo per cui la Polizia Postale è scesa in campo con un opuscolo per muoversi tra i negozi online. Il vademecum sarà disponibile sul sito della Polizia di Stato, sul portale del Commissariato di P.S. online e sulle relative pagine Facebook e Twitter.

L'ultima operazione effettuata dalla Polizia Postale ha messo in luce il complesso modus operandi di alcuni criminali autori di furti della corrispondenza all'interno dei centri di smistamento di Poste Italiane. Una volta impossessatasi delle lettere contenenti le carte di credito, la banda metteva in atto la tecnica del vishing (neologismo anglosassone ottenuto dalla crasi tra le parole "voice" e "phishing"). Il gruppo dei "telefonisti" chiamava i vari istituti emittenti delle carte e, presentandosi come maresciallo o ispettore delle forze dell'ordine, affermava di aver appena sequestrato un consistente numero di carte di credito rinvenute in possesso a delinquenti. Con fare perentorio e con la scusa di riconsegnare i titoli in sequestro, si faceva indicare il numero di telefono dei clienti.

A questo passaggio seguiva una complessa attività di social engineering compiuta da esperti tecnici che provvedevano a reperire tutte le informazioni e gli ulteriori dati necessari. Appena li aveva ottenuti, l'organizzazione rivolgeva la sua abilità criminale proprio verso i clienti ai quali, spacciandosi per dipendenti della banca, paventava problemi connessi all'attivazione del titolo. Così riusciva con abilità persuasive a farsi indicare il pin dei titoli. Durante alcune conversazioni, i sodali si vantavano l'un l'altro delle eccellenti capacità di imitazione, gareggiando per chi era più bravo. La stessa persona era in grado di cambiare la propria voce anche passando dal femminile al maschile e con diversi accenti dal partenopeo al milanese.

Molteplici sono le tipologie di truffe realizzate, le più frequenti sono le seguenti:

- trading online: si articola nell'adescare e convincere il cittadino a effettuare investimenti a basso rischio mediante l'acquisto di cryptovaluta o partecipazione ad operazioni di trading online. I finti broker contattano le vittime prospettandogli investimenti a basso rischio e alta rendita. Solitamente i contatti avvengono via telefono con prefissi sia italiani che della Gran Bretagna. Il sedicente broker convince la vittima a compiere un primo investimento - spesso nell'ordine dei 250 euro - attraverso il pagamento con carta di credito. La cifra corrisposta in realtà serve ad effettuare la registrazione di un account di prova su piattaforme trading realmente esistenti. L'account riservato all'investitore viene gestito dai truffatori, che potendo inserire manualmente i profitti ottenuti mediante simulazione di investimento, fanno credere alla vittima di avere nell'immediato forti guadagni, incentivandola cosi a investire ulteriormente. Lo schema si ripete con l'assistenza giornaliera del falso consulente, fino a quando la persona raggirata per indisponibilità o per monetizzare chiede il ritiro del capitale. A quel punto gli viene riferito che l'operazione è subordinata al pagamento di una tassa che va dal 15 % al 26% del capitale totale (investimento+profitto), falsa informazione che scoraggia l'utente a effettuare ulteriori versamenti e a trovarsi nella posizione di non poter ritirare il capitale maturato, che tra l'altro non è comunque disponibile.

- mobile phishing: la truffa, analoga a quella del classico phishing, comincia con l'invio di un sms di servizio sull'utenza mobile del cliente di un istituto di credito. Nel corpo del messaggio viene chiesto di collegarsi a un link ipertestuale per effettuare delle verifiche sul conto corrente. Cliccando sul link si attua una procedura di falsa connessione all'home banking della banca interessata, le cui credenziali inserite dall'utente finiscono in mano ai malfattori che immediatamente, dopo l'acquisizione, utilizzano per disporre pagamenti fraudolenti e quindi sottrarre denaro alla vittima.

- truffa informatica: consiste innanzitutto nell'adescamento sui principali social network di persone di una certa età, sole o comunque bisognose di avere dei rapporti umani con altri. La vittima viene contattata da un soggetto che il più delle volte si presenta come alto ufficiale dell'esercito statunitense o britannico che, dopo una prima fase di fitta corrispondenza conoscitiva, illustra i progetti futuri che ha intenzione di intraprendere successivamente al suo collocamento a riposo dal lavoro. In alcuni casi questa circostanza è sostituita proprio dalla necessità di avere dei fondi necessari a sbloccare le pratiche di pensionamento, motivandone l'impossibilità di disporre del proprio denaro perché impegnato in missione su una corazzata. Il truffatore, assicurando la vittima sulla restituzione del denaro anche in virtù della loro attuale relazione, riesce a convincerla a operare bonifici in suo favore, denaro che in realtà viene distratto su diversi conti attivi in differenti zone del mondo. Per finire il sedicente ufficiale militare si rende irreperibile, creando un forte stato depressivo nella vittima sia per l'illusione di una possibile storia d'amore che per il danno economico provocato.

- truffa Atm: viene realizzata sui siti di e-commerce nei confronti di coloro che pubblicano annunci di vendita. In particolare il venditore viene contattato da una persona interessata all'acquisto che, raggiunto l'accordo per importo e spedizione, manifesta la volontà di pagare con una nuova metodologia, a suo dire messa a disposizione da Poste Italiane. Pertanto invita il venditore ad andare a uno sportello ATM Bancoposta dove telefonicamente gli fornisce le istruzioni per ricevere il pagamento, ovvero gli fa inserire la propria tessera bancomat nello sportello ATM, gli fornisce un codice da digitare sul tastierino (che però altro non è che il numero della sua carta Postepay) sulla quale, traendolo in inganno, fa ricaricare la somma pattuita.

La Dirigente del Compartimento Polizia Postale e delle Comunicazioni Toscana Barbara Strappato comunica che negli ultimi 3 mesi nel territorio regionale sono state ricevute 867 denunce di truffe online e clonazione di carte di credito/phishing con un danno economico totale di circa 700mila euro. Sono state denunciate 174 persone. Inoltre, ritiene indispensabile che tutti gli utenti e acquirenti seguano i consigli di seguito elencati, per evitare di rimanere vittime di truffa.

1. Utilizzare software e browser completi e aggiornati

Potrà sembrare banale, ma il primo passo per acquistare in sicurezza è avere sempre un buon antivirus aggiornato all'ultima versione sul proprio dispositivo informatico. Gli ultimi sistemi antivirus (gratuiti o a pagamento) danno protezione anche nella scelta degli acquisti su internet. Per una maggiore sicurezza online, inoltre, è necessario aggiornare all'ultima versione disponibile il browser utilizzato per navigare, dato che ogni giorno nuove minacce possono renderlo vulnerabile.

2. Dare la preferenza a siti certificati o ufficiali

In rete è possibile trovare ottime occasioni ma quando un'offerta si presenta troppo conveniente rispetto all'effettivo prezzo di mercato del prodotto che si intende acquistare, allora è meglio verificare su altri siti. Potrebbe essere un falso o rivelarsi una truffa. È consigliabile dare la preferenza a negozi online di grandi catene già note perché, oltre a offrire sicurezza in termini di pagamento, sono affidabili anche per quanto riguarda l'assistenza e la garanzia sul prodotto acquistato e sulla sua spedizione. In caso di siti poco conosciuti si può controllare la presenza di certificati di sicurezza quali Trust e Verified/VeriSign Trusted.

3. Un sito deve avere gli stessi riferimenti di un vero negozio

Prima di completare l'acquisto verificare che il sito sia fornito di riferimenti quali un numero di partiva IVA, un numero di telefono fisso, un indirizzo fisico e ulteriori dati per contattare l'azienda. Un sito privo di tali dati probabilmente non vuole essere rintracciabile e potrebbe avere qualcosa da nascondere. I dati fiscali sono facilmente verificabili sul sito istituzionale dell'Agenzia delle Entrate.

4. Leggere sempre i commenti e i feedback di altri acquirenti

Prima di passare all'acquisto del prodotto scelto è buona norma leggere i feedback pubblicati dagli altri utenti sul sito che lo mette in vendita, comprese le informazioni sull'attendibilità del sito.

5. Su smartphone o tablet utilizzare le app ufficiali dei negozi online

Se si sceglie di acquistare da grandi negozi online, il consiglio è quello di utilizzare le app ufficiali dei relativi negozi per completare l'acquisto. Questo semplice accorgimento permette di evitare i rischi di passare o essere indirizzati su siti truffaldini o siti clone, che potrebbero catturare i dati finanziari e personali inseriti per completare l'acquisto.

6. Utilizzare soprattutto carte di credito ricaricabili

Per completare una transazione d'acquisto sono indispensabili pochi dati come numero di carta, data di scadenza della carta e indirizzo per la spedizione della merce. Se un venditore chiede ulteriori dati probabilmente vuole assumere informazioni personali (numero del conto, pin o password) che - in quanto tali - vanno custoditi gelosamente e non divulgati. Al momento di concludere l'acquisto, la presenza del lucchetto chiuso in fondo alla pagina o di "https" nella barra degli indirizzi sono ulteriori conferme sulla riservatezza dei dati inseriti nel sito e della presenza di un protocollo di tutela dell'utente (ovvero i dati sono criptati e non condivisi).

7. Non cadere nella rete del phishing e/o dello smishing

Si tratta della rete di quei truffatori che attraverso mail o sms contraffatti richiedono di cliccare su un link al fine di raggiungere una pagina web trappola e sfruttando meccanismi psicologici come l'urgenza o l'ottenimento di un vantaggio personale, riusciranno a rubare informazioni personali (per esempio password e numeri di carte di credito) per scopi illegali. L'indirizzo internet a cui tali link rimandano differisce sempre, anche se di poco, da quello originale.

8. Un annuncio ben strutturato è più affidabile

Leggere attentamente l'annuncio prima di rispondere: se sembra troppo breve o fornisce poche informazioni, non esitare a chiederne altre al venditore. Domandare più dettagli sull'oggetto che si vuole acquistare; se le foto pubblicate sembrano troppo belle per essere vere, cercare in rete e scoprire se sono state copiate da altri siti.

9. Non sempre è un buon affare

Diffidare di un oggetto messo in vendita a un prezzo irrisorio e accertarsi che non ci sia troppa differenza tra i prezzi proposti e quelli di mercato.

10. Non fidarsi

Dubitare di chi chiede di esser contattato al di fuori della piattaforma di annunci con email ambigue, ma anche di chi ha troppa fretta di concludere l'affare.