A casa

Cyber-criminalità: come tutelarsi da hacking, phishing e simili

Condividere su Facebook Condividere su Twitter Condividere su LinkedIn Condividere su Xing Convididere per e-mail

I dati sono allarmanti: secondo l’Ufficio federale di statistica (UST), negli ultimi dodici mesi, 350 000 cittadini svizzeri sono caduti vittima di frodi legate all’uso di carte di credito online e altrettanti hanno perso documenti personali a causa di virus informatici. Sui social network inoltre la frequenza degli attacchi ai «dati svizzeri» è ben superiore alla media europea.

Abbiamo chiesto a Katrin Sprenger e Lukas Keller della start-up zurighese Silenccio come riconoscere rischi e pericoli e difendersi dagli subdoli raggiri dei truffatori della rete. Silenccio è dal 2019 partner si cooperazione di AXA: l’innovativo servizio online offre a privati e aziende assistenza e tutela per mobbing, hacking, phishing e shopping via internet.

Perché la criminalità informatica è in costante aumento?

Katrin Sprenger: Si può senz’altro partire dal presupposto che con il maggior utilizzo di internet aumenta potenzialmente anche il rischio di cadere vittima della criminalità informatica. A ciò si aggiunge che navigare, acquistare e socializzare in rete diventa sempre più popolare e per tante persone nel frattempo è parte integrante della loro quotidianità. Alcuni anni fa si era molto più cauti ad es. con la trasmissione dei dati della propria carta di credito; oggi ne indichiamo spesso e volentieri le coordinate, senza riflettere troppo sulle possibili conseguenze. Questi due aspetti facilitano il compito dei criminali cibernetici.

Secondo uno studio UST a livello europeo la Svizzera è fra i bersagli preferiti della criminalità informatica. Perché?

Lukas Keller: L’Ufficio ritiene che la causa principale sia l’insufficiente attenzione con cui gli svizzeri gestiscono i loro dati. Mentre nel 2014 tre quarti degli utenti usavano software di protezione, nel 2019 il dato era già sceso a soli due terzi.

Per me potrebbe dipendere anche dalla compresenza di tre fattori: l’elevato grado di digitalizzazione che la Svizzera da sempre vanta e costituisce, pur a fronte di una popolazione relativamente ridotta, un grande fronte di attacco; l’elevato livello di reddito nazionale, che rappresenta un obiettivo interessante per i criminali informatici;

il soggettivo senso di sicurezza di ogni singolo utente e la conseguente negligenza nella tutela dei propri dati online. La concomitanza di questi tre elementi può spiegare come mai la Svizzera risulti fra i bersagli preferiti della criminalità informatica in Europa. 

Quanto spesso dovrei cambiare la password per accedere al sito della banca o ai miei negozi online preferiti?

Lukas Keller: La prima domanda non dovrebbe essere «Quanto spesso devo cambiare password?», bensì «Quanto è sicura la mia password?». Una serie numerica tipo 1234 è molto più vulnerabile rispetto a una password di otto o più caratteri, inclusi quelli speciali. Quando si crea un nuovo account oggi la maggior parte dei dispositivi propone direttamente una password sicura. Inoltre è sempre consigliabile impostare l'autenticazione a due fattori, se disponibile. Se volete andare sul sicuro cambiate inoltre ogni sei-otto settimane la password delle piattaforme utilizzate regolarmente. 

  • Teaser Image
    Katrin Sprenger e Lukas Keller

    Katrin Sprenger è CEO della start-up zurighese Silenccio dall'estate del 2019. In precedenza ha lavorato come esperta per oltre 10 anni presso varie agenzie full service del digitale. Lukas Keller è co-fondatore e CTO di Silenccio. Negli anni precedenti ha creato una propria agenzia pubblicitaria e ha lavorato nel settore Business Development di Banca Migros.

Ritenete che in rete vi siano rischi totalmente sottovalutati o sconosciuti?

Katrin Sprenger: Uno dei rischi sicuramente più sottovalutati è il furto d’identità: i criminali raccolgono i dati personali come data di nascita e indirizzo, ma anche scansioni di carte d’identità o atti di nascita. È relativamente facile arrivare a questi documenti una volta violato l’account e-mail, perché è quasi certo che chiunque li abbia inviati almeno una volta in copia tramite posta elettronica. In base a questi dati i malintenzionati sono in grado di ricostruire l’identità della vittima e offrirla ad esempio in una darknet oppure di stipulare contratti a suo nome. Il primo obiettivo è sempre quello di ottenere profitti illeciti. 

Il maggior danno finanziario si produce quando il rischio riguarda direttamente i flussi di denaro, come può essere la violazione dei conti bancari.

Katrin Sprenger, CEO di Silenccio

Cosa posso fare se la mia carta di credito è stata clonata?

Lukas Keller: L'abuso della carta di credito su internet è paragonabile al furto materiale della carta. Per questo, il primissimo passo da compiere, è bloccarla. Tuttavia fra il furto dei dati online e la prima scoperta di abuso intercorre di norma un certo lasso di tempo e quindi è possibile che alcuni prelievi di denaro siano già stati effettuati. In questi casi occorre controllare dettagliatamente gli addebiti, contattare le piattaforme in questione e cercare di annullare gli ordini effettuati.

Alcuni siti consentono di visualizzare l’indirizzo IP e la località da cui è partito l’ordine. Se ad esempio l’addebito è stato effettuato in Brasile, ma è possibile dimostrare che in quel momento voi eravate in Svizzera, la maggior parte degli operatori si mostra accomodante. Se non è possibile annullare gli addebiti occorre prendere contatto con la società della carta di credito e nella maggior parte dei casi questa si farà carico del danno maturato. 

Ricordate che gli operatori seri online, e fra questi vi sono sicuramente anche le banche, non vi chiederanno mai via mail di fornire loro le credenziali di accesso a un sito internet.

Lukas Keller, co-fondatore e CTO di Silenccio

Negli ultimi tempi si moltiplicano gli avvertimenti per le mail di phishing. Cosa può accadere se ne apro una, signor Kellner?

Lukas Keller: Aprirla non è grave. Si rischia soltanto se, senza riflettere, si va a cliccare sul link contenuto nella mail e si accoglie l’invito a inserire dati confidenziali. È questo l’obiettivo dei criminali: entrare in possesso delle vostre credenziali di accesso. Per andare sul sicuro consiglio, se ad esempio arriva una mail dalla banca, di non accedere al sito tramite il link contenuto nel messaggio, bensì di inserire manualmente l’URL conosciuto nella riga dell’indirizzo.

Come identificare il phishing via mail 

  • Spesso i link contengono diciture simili ma non identiche. Può trattarsi di semplici scambi di lettere come ad esempio Swissocm.ch in luogo di Swisscom.ch.
  • Di primo acchito il sito internet appare autentico, ma non tutte le voci del menù sono attive.
  • La mail contiene errori ortografici.
  • Il nome del mittente appare autentico ma l’indirizzo e-mail in sé appare errato.
  • La lingua non è quella normalmente utilizzata da un’istituzione con cui si comunica talvolta tramite mail. Se la comunicazione con la vostra banca in genere avviene in tedesco, non c’è alcun motivo per cui questa debba improvvisamente scrivervi una mail in inglese. 
  • La mail non si rivolge personalmente a voi.
  • La mail chiede insistentemente di seguire le istruzioni nel più breve tempo possibile.

Qual è la differenza fra phishing e malware?

Lukas Keller: Entrambi gli attacchi utilizzano la mail come canale di ingresso. La differenza fondamentale è che un attacco di phishing punta a far sì che il destinatario inserisca su un sito internet dati sensibili che vengono registrati e utilizzati per fini illeciti. Le e-mail di malware hanno come obiettivo quelle di infettare un terminale. Di norma contengono un allegato apparentemente innocuo, come un documento pdf o Word, che «nasconde» un software dannoso. Quando il destinatario clicca sull'allegato il programma viene installato in background. Il suo obiettivo è eliminare i dati sul terminale o leggere e inviare le informazioni ai criminali informatici.  

Uno studio AXA ha mostrato che in particolare virus, abuso di dati e hacking rappresentano un pericolo reale per i clienti che usano la rete. Risulta anche a voi? 

Katrin Sprenger: Sicuramente non è corretto generalizzare. La nostra esperienza ci dice che spesso vi è una discrepanza fra rischi percepiti dall’utente e gli scenari peggiori che si verificano effettivamente. Uno dei motivi è che io, come utente, mi proteggo in primo luogo da quello che sento come pericolo reale. Se ad esempio ho paura che mi venga clonata la carta di credito, gestirò con molta cautela questi dati su internet ma magari rischio di finire facilmente in un fake shop. 

Altro esempio: la maggior parte delle persone può sopportare una perdita, diciamo, di 100 franchi. Essendo in grado di quantificarlo, questo rischio diventa reale per me. Quello che alla maggior parte della gente riesce difficile è invece immaginarsi come vittima di mobbing e stimare le conseguenze finanziarie ma anche psicologiche: è talmente astratto che non viene percepito come reale.  Ciononostante le nostre esperienze mostrano che gli effetti di un caso di mobbing sono molto più pesanti di una perdita di denaro, ad esempio.  

Glossario della criminalità informatica

  • Phishing: tentativo di ottenere i dati personali della vittima tramite mail o siti web fasulli per perpetrare il furto d’identità e appropriarsi indebitamente di denaro nel più breve tempo possibile.
  • Hacking: intrusione in un sistema informatico terzo, da parte di una o più persone in grado di sfruttare le lacune di sicurezza, per modificare, eliminare o rubare i dati a proprio piacimento.
  • Malware: software dannoso sviluppato per eseguire sul dispositivo «vittima» funzioni non previste, indesiderate o addirittura dannose.
  • Trojans (cavalli di Troia): sottocategoria di malware  che, camuffato da applicazione utile, svolge altre funzioni in background, generalmente dannose, all’insaputa dell’utente.
  • Cyberbullismo: offesa, calunnia, coazione, minaccia o altra vessazione perpetrata nei confronti di persone tramite le piattaforme social, siti internet, chatroom, programmi di instant messaging o telefono cellulare.
  • Fake shop: piattaforme di vendita online fasulle, operate da soggetti malintenzionati con l’intendimento di truffare gli acquirenti in rete.
  • Furto d’identità: utilizzo abusivo di dati personali, quindi dell’identità di una persona fisica, da parte di terzi a scopo di frode.

Articolo correlato

AXA e lei

Contatto Avviso sinistro Offerte di lavoro Media Broker myAXA Valutazioni dei clienti Portale officine Abbonare la newsletter

AXA nel mondo

AXA nel mondo

Restare in contatto

DE FR IT EN Avvertenze per l'utilizzazione Protezione dei dati © {YEAR} AXA Assicurazioni SA

Utilizziamo cookie e tool di analisi per migliorare la navigazione sulla pagina internet e personalizzare la pubblicità di AXA e dei partner pubblicitari. Maggiori informazioni: Protezione dei dati