Clonazione bancomat e furto della carta di credito: come tutelarsi e i consigli per prevenire le minacce

I rischi connessi ai pagamenti digitali possono riguardare la clonazione del bancomat o il furto della carta di credito, anche tramite sottrazione di credenziali via phishing. Ecco come tutelarsi e fare prevenzione

Clonazione del bancomat, smarrimento o furto della carta di credito (carta fisica o delle credenziali – anche via phishing o furto d’identità) sono le tre principali minacce che corrono carta di credito e bancomat. Sono tre rischi connessi all’utilizzo indebito di questi sistemi di pagamento da parte di terzi.

Poiché la carta di credito è in genere collegata a un conto corrente e ad esso è associato il plafond ovvero un fido (il limite massimo di spesa mensile), il rischio è la sottrazione del denaro. Quanto si può perdere dipende dai massimali di utilizzo giornalieri e mensili, sia sulle spese che sui prelievi, impostati dal titolare sulla carta. Ma, soprattutto, dalle strategie messe in campo per prevenire o limitare i danni.

Il Comitato per la programmazione e il coordinamento delle attività di educazione finanziaria, istituito nel 2017 insieme al Decreto del Mef, del Miur e del Mise, spiega quali pericoli si rischia, cosa fare e come proteggersi. 

Ma i delinquenti, sempre più spesso, mandano in pensione i tradizionali furti fisici per organizzarsi in gruppi operanti sul web come cyber-criminali e commettere cyber frodi sempre più minacciose.

Furto di identità: quali dati vengono rubati, a che scopo e quali proteggere

Quando malintenzionati riescono a impadronirsi del PIN e a duplicare la carta stessa, con tecniche più o meno raffinate, stanno clonando la carta. La clonazione avviene soprattutto tramite ATM manomessi. Il PIN (Personal Identification Number) è il codice di sicurezza da inserire per fare acquisti negli esercizi commerciali, identificandosi attraverso il terminale.

In assenza del PIN, tuttavia, si firma la memoria di spesa. Infatti, a ogni operazione è necessario identificarsi come titolare della carta. L’esercente, dunque, può verificare l’identità di chi detiene la carta, chiedendogli di mostrare il documento di identità. Il rifiuto a esibirlo al momento del pagamento legittima l’esercente a rifiutare la transazione con la carta di credito. Esistono, inoltre, carte contactless che, per spese fino a 50 euro, non prevedono di inserire il PIN né apporre la firma sulla memoria di spesa.

Negli acquisti online, chi detiene la carta deve inserire tutti i codici identificativi della carta: sul fronte la carta riporta il nome del titolare, il numero e la sua scadenza, mentre sul retro c’è il codice di controllo CVV2 o CVC2 oltre allo spazio in cui apporre la propria firma.

Per incrementare i livelli di sicurezza, molti circuiti offrono anche una password personale “usa e getta”, da digitare nel corso del processo d’acquisto, o comunque un sistema di autenticazione a due fattori (2FA). Fra i sistemi per l’utilizzo sicuro delle carte, è previsto l’invio di SMS al titolare ogni volta che viene effettuata un’operazione, anche di un euro.

L’SMS alert, dunque, avverte il titolare se ha subito lo smarrimento, il furto o la clonazione della carta di credito. L’invio di SMS per ogni acquisto con carta avviene a un costo fissato dalla banca, a spese del titolare della carta. Anche tramite app (e quindi via email e notifiche su smartphone) è possibile monitorare l’estratto conto della propria carta. Da questo o dall’SMS alert un utente scopre se la carta è stata compromessa, in seguito a smarrimento, furto o clonazione.

Bisogna segnalare immediatamente le operazioni disconosciute, per capire se è avvenuta la clonazione del bancomat. La segnalazione si effettua al numero verde o con una comunicazione mediante gli altri canali che l’emittente della carta mette a disposizione.

L’istituto di credito infatti fornisce un iter di indicazioni: il comportamento da tenere, come, per esempio, bloccare tempestivamente la carta e denunciare lo smarrimento, il furto o la clonazione alle autorità competenti. Il titolare ha 60 giorni di tempo dall’invio (o messa a disposizione tramite app di mobile banking) dell’estratto conto per contestare un addebito. Inoltre sono disponibili altri 13 mesi di tempo per richiedere all’emittente della carta il rimborso dell’operazione fraudolenta.

La truffa più popolare avviene con la clonazione tramite l’applicazione di uno skimmer sullo sportello dell’ATM. Ma la clonazione può avvenire anche tramite malware introdotto nel computer su cui gira l’ATM. In questo caso il cyber-criminale può agire ancora più indisturbato. Tuttavia esiste una terza tipologia di clonazione: avviene in concomitanza con la lettura del bancomat ad un POS (point of sale).

A ridurre questo rischio è stata l’adozione delle carte contactless, per pagare semplicemente accostando la carta (o lo smartphone o smartwatch con app per i pagamenti digitali) a un terminale. Inoltre per clonare le carte contactless un malintenzionato può usare un lettore Rfid. Vediamo come avvengono queste truffe. Sempre più diffusi sono il phishing, vishing e smishing. Bisogna ricordare che, in nessun caso, la propria banca chiederebbe mai i vostri dati sensibili via email o telefono o Sms. E in particolare mai i dati quali:

Nessun titolare di carta o bancomat deve fornire alcuna informazione e anzi deve contattare immediatamente il servizio clienti della propria banca: meglio attraverso l’app o il numero verde sul sito reale (e non siti Fake). Oppure conviene telefonare ai numeri verdi, ai numeri dell’istituto bancario o recarsi in filiale. Ma il blocco deve essere tempestivo, appena ci si accorge degli addebiti o del furto.

Le carte contactless sono comode: per piccoli importi non prevedono di digitare il codice Pin, e per ogni transazione basta avvicinare la carta al lettore POS. Ma hanno una vulnerabilità: il chip RFID (Radio Frequency Identification) della contactless, che contiene sotto forma di TAG i dati necessari alle transazioni, può essere intercettato a distanza da un lettore RFID.

Infatti un malintenzionato può avvicinare la carta al lettore (ma anche a distanza: un’antenna RFID ha una portata che può arrivare anche a 12 metri) e tramite uno scambio di energia per induzione, alimenta il chip della carta.

In quella frazione di secondo, tutti i dati presenti possono subire modifiche, aggiornamento, ma soprattutto possono essere esposti a lettura. Dunque un malintenzionato può clonare la carta contactless. La tecnica del power-glitch può lanciare un attacco side-channel per intercettare segnali utili da cui estrapolare i dati.

Basta interrompere per un istante l’alimentazione tra carta e lettore, per rileggere la comunicazione e cercare di rintracciare la chiave segreta. Un truffatore potrebbe sostare dentro un bar o un’attività commerciale con un’antenna in borsa, mentre essa raccoglie i dati delle carte da usare in seguito, magari per effettuare acquisti online se la carta originale non è protetta da password oppure come carte contactless clonata per effettuare piccoli acquisti. Attualmente la chiave segreta di protezione riceve modifiche frequenti per ridurre le probabilità di furto di dati. Nuovi microchip in grado di auto alimentarsi per vanificare il power-glitch sono in arrivo. Intanto l’anti-truffa è in continuo aggiornamento.

La truffa più popolare avviene con la clonazione tramite l’applicazione di uno skimmer sullo sportello dell’ATM. Lo skipper è inserito in corrispondenza della fessura in cui gli utenti inseriscono la carta. Lo skimmer punta a bloccare l’erogazione dei contanti e allo stesso tempo a memorizzare i dati della carta. Per registrare il PIN, i truffatori hanno istallato una micro telecamera nascosta oppure hanno sovrapposto una tastiera all’originale.

Per evitare la clonazione, occorre:

Basta telefonare a uno dei numeri che ha fornito la banca nel momento del rilascio la carta. Sono numeri da chiamare dall’app di mobile banking e che si trovano sul sito della propria banca, ma raggiungibili anche telefonando in filiale; è disponibile anche il numero unico nazionale della Centrale d’Allarme Blocco Carte.

In caso di clonazione, la banca è tenuta a rimborsare tutte le somme prelevate indebitamente, purché il cliente non abbia operato in modo fraudolento o non siano imputabili a suo carico ipotesi di dolo o colpa grave.

Ci accorgiamo della clonazione della carta solo monitorando l’estratto conto e i movimenti. Dunque, è necessario inserire un Sms alert per tenere sotto controllo le spese sopra un euro, ma soprattutto aprire l’app di mobile banking ad ogni nuova notifica, controllando il conto corrente. Se non si riconoscono gli ultimi movimenti o si ricevono SMS alert che non corrispondono a spese sostenute o a prelievi o effettuati, è probabile che la carta abbia subito una clonazione.

Movimenti sospetti sul conto sono l’unica spia per capire se sia avvenuta la clonazione di una carta o di un bancomat. Riconoscerle è dunque fondamentale per bloccare la carta e denunciare l’eventuale clonazione.

Esistono inoltre URL compromessi di eCommerce in grado di rubare le credenziali a vittime degli attacchi. La migliore strategia in questi casi, è sicuramente disaccoppiare la carta di credito dall’accesso diretto al proprio conto corrente.

Questa attività si può effettuare facilmente attraverso l’uso di una carta prepagata da “caricare” con la quantità di denaro massima che siamo disposti a rischiare in un’eventuale frode online.

In questo modo, pur non bloccando né prevenendo la frode, è possibile contenere il rischio sotto soglie prestabilite e tollerate a priori. Infine conviene sempre verificare la reputazione dell’eCommerce.

Negozi online ad alta reputazione hanno una probabilità minore di essere compromessi.

In caso di furto o smarrimento della carta è necessario bloccarla. Occorre telefonare, sia dall’Italia che dall’estero, al numero telefonico (verde, dunque gratuito) fornito dall’emittente. Una volta comunicato il furto o lo smarrimento, si attivano le procedure di blocco che permettono di evitare rischi e danni economici. Custodire con cura la propria carta e i relativi codici, in particolare separando PIN e carta, serve per evitare di pagare la franchigia in caso di furto, clonazione o smarrimento.

Il blocco del bancomat è gratuito. L’unico costo è quello della telefonata che dipende dal proprio operatore telefonico, a meno che non si tratti di un numero verde.

Ogni transazione sospetta deve essere segnalata, denunciata e quindi bisogna bloccare carta o bancomat. Una volta comunicato il furto, la clonazione o lo smarrimento, si attivano le procedure di blocco che consentono di evitare rischi e danni economici. Infatti, l’utente è tenuto a pagare solo una franchigia per le operazioni non autorizzate avvenute prima della comunicazione all’emittente. Ma la franchigia è dovuta nel caso in cui l’intestatario della carta non abbia correttamente detenuto lo strumento di pagamento e i relativi codici autorizzativi (come il PIN). Dunque è fondamentale custodire con cura la propria carta e i relativi codici, in particolare separando PIN e carta, per evitare addebiti in caso di eventuale furto o smarrimento.

In caso di furto, clonazione o smarrimenti, è necessario bloccare carta o bancomat. Infatti esistono programmi in grado di attribuire al bancomat o alla carta un Pin – non utilizzabile in Italia, ma all’estero, soprattutto in Paesi con standard di sicurezza inferiori. 

Il sistema più diffuso per svuotare un conto resta la clonazione della carta bancomat allo sportello, tramite uno skimmer, un dispositivo inserito nelle fessure dove si infilano le carte, in grado di carpire i codici segreti. Oppure carpendo le credenziali attraverso phishing e cyber-truffe.

Per bloccare bancomat o carta bisogna telefonare al numero verde o a quello della propria banca, fornendo alcune informazioni: la banca (ABI), il numero del conto, il codice fiscale, il numero riportato sulla carta eccetera.

Conviene segnarsi la data, l’ora, il nome dell’operatore contattato e il codice di blocco che verrà comunicato. Il codice dovrà infatti essere riportato nel modulo di denuncia da consegnare alla propria banca.  Quindi bisogna sporgere denuncia, recandosi presso il comando di polizia o dei carabinieri.

Nel modulo di denuncia è necessario specificare i dati relativi alla carta e al conto di appoggio e il codice blocco, allegando un estratto dei movimenti che non si riconoscono come propri. Completata la denuncia, il personale addetto provvederà a rilasciarne una copia. Una volta effettuarti il blocco della carta e la denuncia, occorre recarsi in filiale e chiedere alla banca il rimborso degli importi fraudolentemente addebitati. Il titolare truffato ha a disposizione 60 giorni dal ricevimento dell’estratto conto.

Al modulo deve allegare la copia di:

Gli istituti bancari, al fine di evitare l’obbligo di rimborso delle somme, potrebbe imputare responsabilità al cliente accusandolo di non aver custodito il bancomat con cura e di aver tenuto il Pin separato dalla carta o sia stato imprudente nel corso delle operazioni di pagamento presso gli esercenti, affinché malintenzionati carpissero il Pin del suo bancomat. L’onere di provare il dolo o la colpa grave del cliente è a carico della banca.

In assenza di comportamento gravemente negligente o doloso da parte della vittima dell’uso fraudolento del bancomat o carta, occorre presentare un reclamo formale, se la banca si oppone alla restituire il maltolto. Senza riscontro o di risposta insoddisfacenti nei 30 giorni successivi al reclamo formale, bisogna rivolgersi all’Arbitro Bancario Finanziario.

Basta una sola distrazione, purché grave, come l’inosservanza delle modalità di custodia della carta e dei codici, a far venir meno il diritto al rimborso. Se la banca prova un comportamento gravemente negligente o doloso da parte del cliente, non rimborsa la vittima. Anche in assenza di dolo o colpa grave da parte della vittima dell’uso fraudolento del bancomat o carta, la banca può opporsi alla restituzione del maltolto. In questo caso bisogna passare a un reclamo formale. Se nei 30 giorni successivi non si ottiene alcun riscontro o la risposta non risulta soddisfacente, bisogna rivolgersi all’Arbitro Bancario Finanziario.

L’articolo del codice penale 493 ter si riferisce all’indebito utilizzo e falsificazione di carte di credito e di pagamento. Esso recita: “Chiunque al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 euro a 1.550 euro.  Riguarda anche chi possiede, cede o acquisisce carte o documenti di provenienza illecita o comunque falsificati o alterati, oppure ordini di pagamento prodotti con essi. Bisogna bloccare la carta, contattare il proprio istituto di credito e sporgere denuncia sono le prime 3 operazioni fondamentali.  Per prevenire l’indebito utilizzo e bloccare subito si consiglia di abilitare il servizio di alert.

Cruciale è la tempestività, soprattutto nel rivolgersi al proprio istituto di credito per bloccare la carta e le operazioni non autorizzate che sono state compiute da qualche malintenzionato. Si dovrà chiamare il numero verde della banca (anche tramite app) o recarsi di persona presso la filiale più vicina. Sarà anche necessario presentare un’apposita denuncia alla Polizia o ai Carabinieri, da allegare alla richiesta in banca di rimborso della cifra sottratta indebitamente. 

Ecco le pagine con i numeri per bloccare il bancomat delle principali banche:

Numeri verdi delle carte di credito:

Infine, ecco il numero unico nazionale della Centrale d’Allarme Blocco Carte:

Per bloccare la carta bisogna fornire alcune informazioni e segnarsi il codice di blocco da riportare nel modulo di denuncia da consegnare alla propria banca. 

Per contestare l’addebito, il titolare della carta deve rivolgersi al proprio istituto di credito e descrivere con dovizia di particolari e in maniera dettagliata l’operazione che vuole disconoscere indicando il motivo della contestazione.

Tutti gli istituti predispongono sui propri siti i moduli da compilare e spedire alla sede mediante raccomandata o a mezzo posta elettronica. Via home banking è possibile sfruttare i form online, inserendo le informazioni e trasmettere la richiesta via internet dal proprio Pc o dall’app.

Secondo la Legge, il titolare della carta deve comunicare «senza indugio», cioè appena ne viene a conoscenza, ogni operazione di pagamento non autorizzata o eseguita non correttamente.

Gli alert che avvisano immediatamente, con un messaggio sul cellulare, o notifica sull’app dello smartphone o sulla casella di posta elettronica aiutano a controllare tempestivamente i movimenti.

L’obiettivo è contestare l’importo addebitato se non è riconosciuto o se è errato. A questo punto si comunica il furto o lo smarrimento o la clonazione. Quindi, si contesta l’operazione, rivolgendosi al proprio istituto di credito e descrivendo in maniera dettagliata l’operazione da disconoscere indicando il motivo della contestazione.

Attraverso i moduli da scaricare presenti sul sito (o da chiedere in banca) o il form online sull’home banking o via app. Segue la denuncia formale recandosi presso il comando di polizia o dei carabinieri se si intende chiedere il blocco. 

Ricevuta la richiesta di disconoscimento dell’operazione, il gestore della carta restituirà la somma spesa con un riaccredito al cliente. Di regola, il rimborso deve avvenire «immediatamente», dunque entro il primo giorno lavorativo successivo a quello di ricezione dell’istanza di contestazione, salvo in caso di sospetto di frode, che legittimano la banca a mettere in standby il rimborso.

Il pagamento contestato deve essere avvenuto dopo la comunicazione di furto.

La restituzione della somma erroneamente addebitata deve essere integrale, a meno che venga addebitata una franchigia, se prevista dal contratto per alcune tipologie di operazioni o fasce di clienti. Tuttavia la franchigia non deve superare la soglia dei 150 euro. Se la banca si oppone alla restituzione del maltolto, è necessario passare a un reclamo formale. Se nei 30 giorni successivi non si ottiene alcun riscontro o la risposta non risulta soddisfacente, bisogna rivolgersi all’Arbitro Bancario Finanziario.

Bisogna osservare tutte le cautele e i suggerimenti per custodire con cura carta di credito e Pin e soprattutto evitare di cadere nei tranelli del phishing, smishing eccetera.

Per evitare le truffe connesse alle carte di credito bisogna:

di Elio Guarnaccia e Giulia Campo

I tuoi contenuti, la tua privacy!

Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio. Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.

Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.

Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.

Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.

Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.

I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.

I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.

COOKIE DI PROFILAZIONE E SOCIAL PLUGIN

I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.

ICT&Strategy S.r.l. – Gruppo DIGITAL360 - Codice fiscale 05710080960 - P.IVA 05710080960 - © 2022 ICT&Strategy. ALL RIGHTS RESERVED

Clicca sul pulsante per copiare il link RSS negli appunti.

Clicca sul pulsante per copiare il link RSS negli appunti.