Secondo un recente rapporto di Eurispes, l’86% della popolazione italiana si connette quotidianamente a internet per svariati motivi ma, al contempo, solo il 46% dichiara di avere competenze informatiche di base. In altre parole, tutti usano il web ma in pochi sono consapevoli dei rischi derivanti dalle loro stesse azioni.

Dai dati della Polizia Postale – l’autorità preposta a occuparsi dei reati informatici in Italia – emerge che lo scorso anno sono aumentati del 58% gli importi sottratti via web a privati e aziende. Inoltre, 1 italiano su 3 è stato vittima di truffe online.

I conti online sono sicuri? Sì. Nonostante le ultime rilevazioni, la sicurezza del conto corrente è fuori discussione. Il pericolo deriva nella maggior parte dei casi dal comportamento negligente degli stessi utenti.

Eppure, per proteggere il proprio denaro basta acquisire alcune abitudini che non richiedono troppa fatica. Nel presente articolo elenchiamo le buone pratiche da adottare per evitare truffe informatiche e proteggere i propri conti online.

Impostare una password sicura

Anno Domini 2023, la password più amata dagli italiani si conferma essere la sequenza di numeri 123456.

Le password rappresentano oggi la chiave di accesso a ogni singolo aspetto della nostra vita, alla nostra identità e anche ai nostri redditi. Scegliere una password sicura è la prima delle pratiche fondamentali per la sicurezza del conto corrente e degli altri strumenti finanziari gestiti via web.

Per essere sicura, impostiamo una password con:

  • una lunghezza minima di 24 caratteri;
  • lettere minuscole e maiuscole, numeri e simboli.

Tutti i caratteri dovrebbero essere casuali e non includere parole di senso compiuto. I cybercriminali si servono di programmi in grado di scovarle in pochi minuti; la loro attività è invece messa a dura prova da codici segreti lunghi e complessi.

Assicuriamoci poi di utilizzare una password diversa per ogni servizio, o almeno per tutti i servizi di fondamentale importanza, come per l’appunto il conto corrente, le carte di credito e così via.

Il password manager semplifica la gestione e aumenta la sicurezza

La gestione dei codici segreti – soprattutto quando si è titolari di una miriade di account tra conti in banca, indirizzi e-mail, social media e piattaforme di lavoro – non è una passeggiata se ci affidiamo alla memoria, a bigliettini e agende.

Annotare le chiavi di accesso su carta – o anche in app non protette da adeguati standard di sicurezza – è decisamente sconsigliato. Quel che serve è un’apposita applicazione chiamata password manager.

Questo tipo di app si installa su telefoni e altri dispositivi smart per memorizzare in modo sicuro tutte le nostre credenziali. All’occorrenza vi accediamo per copiare username e password; in altri casi basta autorizzare con riconoscimento facciale o impronta digitale per compilare in modo automatico i campi del login.

Scegliamo una soluzione con archiviazione in cloud: in caso di guasto o smarrimento del dispositivo basterà scaricare l’applicazione e accedervi con le proprie credenziali per avere nuovamente a disposizione tutte le chiavi d’accesso e le informazioni memorizzate.

Un’ultima raccomandazione che sembra essere scontata ma non lo è affatto: la password NON deve essere condivisa con persone estranee o delle quali non abbiamo piena fiducia (in teoria, non dovrebbero essere condivise con nessuno).

Se abbiamo bisogno di assistenza rivolgiamoci a persone fidate, provvediamo personalmente a inserire i codici di accesso e assicuriamoci di essere presenti durante le operazioni. Come si dice? Fidarsi è bene, non fidarsi è meglio.

Autenticazione a due fattori (2FA)

Immaginiamo lo scenario peggiore: nonostante le precauzioni, qualcuno entra in possesso della nostra password. Cosa accade? Molto probabilmente, poco o nulla.

Grazie alla normativa UE, gli istituti che forniscono servizi finanziari sono obbligati a implementare nelle loro piattaforme la cosiddetta autenticazione a due fattori o autenticazione forte (chiamata anche 2FA, acronimo dell’inglese 2 Factor Authentication).

Questo metodo di accesso rende necessario, oltre all’username e alla password impostati dall’utente, l’inserimento di un ulteriore codice: la One Time Password (OTP).

La OTP è formata da cinque o sei caratteri (lettere e/o numeri) generati casualmente a ogni login. Non si tratta dunque di una password da memorizzare, poiché cambia a ogni accesso.

Il codice temporaneo viene inviato tramite SMS al numero di cellulare oppure all’indirizzo e-mail registrato presso la banca.

Alcuni istituti permettono di sostituire l’inserimento della OTP con l’autorizzazione tramite dati biometrici, vale a dire riconoscimento facciale o impronta digitale.

Per entrare nel conto online, dunque, non solo bisogna essere in possesso di username e password già note all’utente, bensì anche del cellulare per la ricezione dell’OTP e del codice di sblocco del display dello stesso telefono.

La combinazione di molteplici livelli di sicurezza rende improbabile l’accesso illecito da parte di un malintenzionato… a meno che l’utente non sia particolarmente ingenuo o ignaro del funzionamento dei sistemi di login.

L'inserimento delle credenziali è il primo livello di sicurezza dell'accesso al conto online
Il secondo livello di sicurezza dei conti online implica l'immissione di un codice temporaneo o il riconoscimento di dati biometrici

Il telefono come chiave d’accesso

Dopo aver visto che telefono, tablet e computer hanno un ruolo cruciale nell’accesso al conto online, va da sé che dobbiamo prenderci cura anche della loro sicurezza. Rappresentano in un certo senso la chiave fisica ai nostri account.

Vediamo come proteggere i nostri dispositivi per proteggere il conto in banca.

Aggiornare sistema operativo

Gli aggiornamenti vengono rilasciati in modo frequente allo scopo di proteggere i dispositivi da eventuali falle di sicurezza, proprio per evitare che terzi possano introdursi in modo illecito e così sottrarre dati sensibili.

Nelle impostazioni, attiviamo l’aggiornamento automatico o in alternativa verifichiamo regolarmente la disponibilità di aggiornamenti del sistema operativo, dunque installiamoli appena possibile.

Impostare un codice di blocco

Non dimentichiamo di impostare un codice di blocco sul cellulare, in modo che nessuno possa usare il telefono senza autorizzazione.

Su telefono Android, nella sezione Sicurezza facciamo tap su Blocco, quindi selezioniamo una delle opzioni disponibili (PIN, sequenza touch o password). Nella stessa pagina l’utente può impostare lo sblocco tramite riconoscimento facciale o impronta digitale, a seconda del dispositivo usato.

Su iPhone occorre visitare, nelle impostazioni, la sezione FaceID e codice per configurare PIN e dati biometrici.

Codice di blocco o dati biometrici vengono richiesti ogni volta che attiviamo il display del telefono, vale a dire ogni volta che vogliamo usare il dispositivo. Costituisce di fatto un ulteriore livello di protezione in aggiunta alle credenziali e all’OTP, poiché per ottenere quest’ultimo si dovrà prima sbloccare il telefono.

Evitare il salvataggio automatico delle password

Malgrado i dispositivi elettronici siano spesso personali, talvolta vengono condivisi o addirittura affidati a terzi per risolvere guasti o altro tipo di problemi.

Se abbiamo impostato il salvataggio automatico delle password nel browser – cioè in Chrome, Safari, Edge, Firefox o altri programmi per navigare in rete – chiunque sia in possesso del telefono, tablet o computer potrà accedere quasi indisturbato a qualsiasi account.

Certo, entrano in gioco altre procedure di sicurezza (OTP o riconoscimento biometrico) ma… prevenire è meglio che curare.

Consigliamo dunque di non salvare le password nel browser e di eliminare regolarmente la sua cache, in modo che i nostri account non restino loggati. Un’app password manager ci consentirà di accedere rapidamente anche se non abbiamo salvato le chiavi d’accesso in Chrome e simili.

Phishing: attenzione ai link inviati via SMS, e-mail… e alle telefonate

Il phishing è una delle tecniche più insidiose utilizzate dai cyber-criminali. In alcuni casi le comunicazioni sono architettate in modo dettagliato e curato, tanto da mettere a rischio anche persone con familiarità del web.

Obiettivo del phishing è entrare in possesso di dati sensibili con l’aiuto della stessa vittima.

La maggior parte delle volte il tentativo di phishing avviene via e-mail, spesso tramite SMS e – qui bisogna fare molta attenzione – anche con telefonate.

Finte comunicazioni via e-mail e SMS

L’utente riceve una comunicazione che sembra essere inviata dalla propria banca, nella quale si richiede un intervento tempestivo per motivi tecnici o amministrativi. Questi messaggi contengono un link e, cliccandovi sopra, si accede a una pagina web con un modulo di login o altri dati.

Ogni elemento della pagina e del sito web è così ben riprodotto da non poter cogliere le differenze con i canali ufficiali della banca. L’utente ignaro immette le proprie credenziali, comunicandole così ai propri truffatori.

Come evitare di cadere nella trappola? Semplice: non cliccare sui link presumibilmente inviati da banche e altri istituti finanziari.

Le banche raccomandano di NON cliccare sui link

Sono gli stessi istituti a raccomandare di non cliccare sui link contenuti nelle mail e nei messaggi di testo.

Nel caso in cui dovesse realmente presentarsi un problema, la banca invita ad accedere nell’applicazione ufficiale oppure sulla piattaforma web ufficiale, senza includere collegamenti nel suo messaggio.

Per essere ancor più sicuri che la richiesta di intervento giunga dalla propria banca, una volta effettuato il login in app o sul sito web consultiamo la sezione dedicata alle comunicazioni.

Se cerchiamo i siti web della banca attraverso motori di ricerca – ad esempio Google e Bing – teniamo conto delle seguenti circostanze:

  • I primi risultati che compaiono nei motori di ricerca sono generalmente pubblicità, etichettate con le voci Sponsorizzato, Annuncio, Pubblicità e simili. Malgrado le politiche di sicurezza siano applicate anche agli annunci sponsorizzati, meglio saltare direttamente ai cosiddetti risultati organici, cioè alle pagine web posizionate esclusivamente in base alla loro affidabilità e pertinenza.
  • L’algoritmo del motore di ricerca posiziona i siti ufficiali dei marchi nelle prime tre posizioni dei risultati organici (generalmente la prima).
  • Quando visitiamo un sito, assicuriamoci che la prima parte dell’indirizzo includa la dicitura https, con una s finale (ad esempio https://it.mobiletransaction.org)

La s in https certifica l’uso da parte del sito web di un sistema di crittografia che protegge i dati dell’utente. In caso contrario (http), consigliamo di abbandonare il sito e soprattutto di non inserire alcun dato nei moduli di login o di contatto.

I siti affidabili si servono di una connessione crittografata, certificata dalla presenza della dicitura https nell'indirizzo web

Finte comunicazioni tramite chiamata

La pratica del phishing avviene sempre più spesso anche tramite telefonata. Quest’ultima può essere perfino più insidiosa, dato che a chiamare è generalmente una persona appositamente addestrata allo scopo di sottrarre dati sensibili.

Inoltre, la conversazione in tempo reale gioca a favore del malintenzionato poiché lascia poco o nessuno spazio di riflessione.

La tecnica utilizzata è la medesima degli SMS e delle e-mail. Una persona si presenta come addetto al servizio clienti della banca e comunica la necessità di un intervento urgente per evitare addebiti illeciti, o ancora propone investimenti irrinunciabili last minute.

Mostrandosi particolarmente disponibile, l’interlocutore si propone di risolvere tutto in pochi minuti chiedendo codici di accesso, IBAN e/o ulteriori informazioni.

Inutile dire, anche in questo caso, che nessun codice di accesso deve essere comunicato per telefono.

Non condividere dati sensibili sui social network

Torniamo brevemente ai dati citati all’inizio dell’articolo. L’85% degli italiani che si collegano a internet è attivo su social media come Facebook, Instagram e Twitter ma, al contempo, meno della metà degli italiani ha competenze informatiche di base. Una parte significativa di italiani non è ignara delle conseguenze di quanto pubblica online.

Pensiamo a una innocua lamentela scritta su Facebook a causa di un disservizio della nostra banca. Detto reclamo va ad aggiungersi a tante piccole informazioni personali disseminate in svariati post pubblicati negli anni.

I cybercriminali colgono e raccolgono qualsiasi tipo di informazione in apparenza irrilevante ma che, nel loro insieme, concorrono a una profilazione dell’utente. La condivisione è la chiave del successo dei social, ma attenzione ad abusarne.

Evitiamo di pubblicare qualsiasi tipo di informazione sui nostri conti correnti, conti deposito e carte di pagamento. Evitiamo di scrivere pubblicamente nei canali di assistenza online degli istituti finanziari. Soprattutto, evitiamo – e qui si torna al punto primo del presente articolo – di creare password che richiamino date di nascita, nomi dei nostri animali domestici e così via.

Ogno dato reso pubblico rischia di agevolare tentativi di phishing, rendendoli più efficaci.

Usare diversi indirizzi e-mail a seconda dello scopo

L’indirizzo e-mail è indispensabile per aprire e gestire un conto online, nonché per recuperare password dimenticate e altre eventuali verifiche e conferme.

Avere un unico indirizzo e-mail è sicuramente comodo, ma non è sicuro.

Considerati i rischi che si corrono in rete, soprattutto sui social media, sarebbe opportuno usare indirizzi diversi. In breve, si raccomanda di non usare la stessa mail per Facebook, Instagram e conti online. I social sono generalmente più esposti ad attacchi malevoli di hacker.

Un’intrusione nella casella di posta elettronica è un ulteriore fattore di rischio, dunque consigliamo di dedicare una mail ai servizi finanziari e di non divulgarla né registrarla su altri siti e piattaforme.

Evitare di connettersi a reti pubbliche

Nonostante siamo ormai muniti di connessione a internet anche in mobilità, può capitare talvolta di collegarsi a reti pubbliche per strada, negli aeroporti e in stazione. Parliamo delle connessioni che compaionotra le reti WiFi non protette da password.

Tali reti presentano un alto rischio: chiunque potrebbe servirsene per sottrarre dati sensibili dai dispositivi che si connettono.

Gli esperti di sicurezza informatica sconsigliano di utilizzare reti pubbliche, o quantomeno di usare una VPN in caso di necessità. Questo servizio crea una sorta di scudo tra il nostro dispositivo e la rete alla quale ci connettiamo, dunque si potrà beneficiare di un livello maggiore di sicurezza.

La medesima raccomandazione vale per gli hub pubblici di ricarica tramite cavo USB. Negli aeroporti sono un must, e la quantità di persone che se ne serve ogni giorno è incalcolabile. Anche queste postazioni vengono spesso usate dai cyber-ladri per copiare dati da smartphone e altri dispositivi.