Non è più il tempo delle email scritte male o dei messaggi palesemente sospetti. Oggi le truffe digitali sono costruite per sembrare credibili, familiari, coerenti con la nostra vita quotidiana. Citano prenotazioni CUP, pratiche CAF, comunicazioni bancarie, movimenti sospetti, documenti da aggiornare. È proprio questa verosimiglianza a renderle pericolose e a moltiplicarne l’efficacia.
IL RISCHIO DEL MESSAGGIO PLAUSIBILE
A lanciare l’allarme è Ferruccio Colamaria, presidente provinciale di UDiCon, nell’ambito delle Iniziative per le competenze digitali del programma Digitalmentis finanziata dal fondo MIMIT per i consumatori – Anno 2024. Il vero rischio – spiega – è che il messaggio sembri plausibile perché richiama situazioni reali. Se ho appena effettuato una prenotazione sanitaria o aperto una pratica fiscale, sarò naturalmente portato a credere che quell’SMS possa essere autentico.
PHISHING, SMISHING, VISHING: COME FUNZIONANO
Il phishing – chiarisce il presidente – avviene solitamente tramite email. Si riceve una comunicazione apparentemente ufficiale che invita a cliccare su un link per aggiornare dati o sbloccare un servizio. Quel collegamento conduce però a un sito clone che raccoglie credenziali e informazioni personali. Lo smishing utilizza invece SMS o messaggi su app di messaggistica. È oggi tra le tecniche più diffuse. Il testo è breve, urgente, diretto: una prenotazione sospesa, un documento non valido, un’operazione bancaria anomala. Basta un clic per consegnare dati sensibili ai truffatori. Il vishing, infine, si basa su telefonate fraudolente. Una voce – talvolta preregistrata, talvolta reale – si presenta come operatore bancario o come ente pubblico e chiede codici OTP o password. È bene ricordarlo con chiarezza: nessuna banca chiede codici di sicurezza al telefono.
LA STRATEGIA DELL’URGENZA E DELLA PROBABILITÀ
La forza di queste tecniche sta nella combinazione tra urgenza e probabilità. Il messaggio non è generico: è costruito per sembrare pertinente. Se un cittadino ha davvero una prenotazione CUP o una pratica presso un CAF, la soglia di attenzione si abbassa. È in quel momento che la pressione psicologica spinge ad agire senza verificare.
COME DIFENDERSI IN MODO CONCRETO DA ATTACCHI REALI
La prima regola – sottolinea ancora – è non cliccare mai su link contenuti in messaggi che chiedono aggiornamenti urgenti di dati. È fondamentale verificare sempre l’indirizzo reale del sito, non comunicare codici OTP o credenziali telefonicamente e contattare direttamente l’ente o la banca attraverso canali ufficiali prima di compiere qualsiasi operazione. Anche pochi secondi di verifica possono evitare danni economici e furti di identità.
UDICON AL FIANCO DEI CITTADINI
Come associazione di tutela del consumatore – conclude Colamaria – siamo a supporto dei cittadini anche nell’identificare questi tentativi di truffa. Ecco perché ribadiamo la nostra disponibilità ad affiancare i cittadini nell’identificazione di messaggi sospetti e nella segnalazione di tentativi di truffa. Gli sportelli territoriali restano a disposizione per fornire assistenza, chiarimenti e orientamento. La sicurezza digitale non è solo una questione tecnica ma una competenza che si costruisce con informazione, consapevolezza e prevenzione.