Vai al contenuto

Frode informatica

Da Wikipedia, l'enciclopedia libera.

La frode informatica (altresì detta frode elettronica) in generale consiste nel penetrare attraverso un PC all'interno di altri PC o server che gestiscono servizi con lo scopo di rubare dati o ottenere tali servizi gratuitamente, oppure, sempre utilizzando il server al quale si è avuto accesso, clonare account di inconsapevoli utilizzatori del servizio.

Le frodi elettroniche presuppongono anche l'utilizzo del POS, un apparato elettronico di trasmissione dati che collega i singoli esercenti con la società emettitrice, e consistono proprio nell'abuso di alcune sue specifiche proprietà, come la capacità di leggere, memorizzare e trasmettere i dati delle carte di credito (e dei titolari) contenute nella banda magnetica. Esistono due specifiche operazioni illegali eseguite in presenza di un POS:

  1. intercettazione dei dati, mediante apparati elettronici (vampiri o sniffer), durante l'operazione di trasmissione degli stessi per l'autorizzazione all'acquisto. L'intercettazione è finalizzata a reperire dati di carte utilizzabili per ricodificare le bande di carte rubate o false. Viene realizzata mediante un computer e appositi collegamenti che catturano i dati in uscita dal POS dell'esercente (con la sua complicità o sua insaputa);
  2. dirottamento dei dati, durante la loro trasmissione per l'accredito. Il dirottamento presuppone la cattura, da parte di un computer collegato alla linea telefonica, dei dati riguardanti lo scarico del logo e la falsificazione delle coordinate di accredito del negoziante, per dirottare gli importi su un altro conto controllato dall'autore del crimine).

La frode informatica costituisce reato con fattispecie e pene distinte da quello di truffa, di recente istituzione, introdotta dalla legge n. 547/1993 e disciplinata dall'art. 640 ter del c.p. Il delitto di frode informatica è commesso da "chiunque", alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno.

Le condotte fraudolenti poste in essere attraverso tale reato sono tre:

  1. la prima consiste nell'alterazione del funzionamento del sistema informatico o telematico, ossia in una modifica del regolare svolgimento di un processo di elaborazione o di trasmissione dati; l'alterazione provoca i suoi effetti materiali sul sistema informatico o telematico.
  2. la seconda coincide con l'intervento, senza diritto, con qualsiasi modalità, su dati, informazioni o programmi contenuti nel sistema, e pertanto ogni forma di interferenza diversa dall'alterazione del funzionamento del sistema. L'intervento senza diritto ha per oggetto i dati, le informazioni o i programmi.
  3. intervento sulle informazioni, ovvero sulle correlazioni fra i dati contenuti in un elaboratore o in un sistema.

La alterazione può cadere sia sul programma, facendo compiere al computer operazioni in modo diverso da quelle programmate (ad esempio cambiando la funzione dei tasti di addizione e/o di sottrazione), così come può avere ad oggetto le informazioni contenute nel sistema informatico.

Nella storia dell'informatica, e più specificamente in quella di Internet, è capitato che gli autori di questo genere di frode venissero assunti da parte delle stesse società alle quali avevano arrecato danno, allo scopo di usare le conoscenze del trasgressore per migliorare i sistemi di sicurezza interni dell'azienda. Non è definibile hacker chi si introduce in un sistema per danneggiarlo o per provocare il mal funzionamento con l'intenzione di trarne un ingiusto profitto, poiché tale tipologia di comportamento è in netto contrasto con la filosofia dell'hacking. Nel caso di acquisti o operazioni attraverso la rete Internet, le truffe possibili sono effettuate dai cosiddetti “pirati informatici” (coloro che acquistano i numeri della carta attraverso un'intrusione telematica). Una delle prime frodi informatiche è stata la sottrazione di fondi attuata con la cd. "tecnica del salame". Il bersaglio ideale era una banca perché movimenta migliaia di conti al giorno. Questa frode avveniva agendo sugli arrotondamenti che quotidianamente venivano operati su ogni movimento di fondi.

La frode elettronica nelle aste on-line

[modifica | modifica wikitesto]

Le frodi elettroniche sono cresciute in modo più che sensibile negli ultimi dieci anni, soprattutto con lo sviluppo dell'e-commerce in particolare nella forma consumer to consumer (ad esempio nelle aste on-line). Le aste on-line rappresentano oggi il più diffuso sistema di e-commerce ma, d'altra parte, appaiono strutturalmente sensibili a possibili frodi elettroniche dal momento che ogni operazione si svolge a rischio e pericolo delle parti in un clima di reciproca fiducia a priori ed è per questo motivo che la maggior parte dei siti di aste on-line richiede per cautela un'iscrizione che è generalmente gratuita.

Prendendo come esempio eBay (uno dei più importanti siti di e-commerce fondato da Pierre Omidyar nel 1995) appare evidente come sia ovviamente preoccupazione del sito riuscire a fornire garanzie di sicurezza per le transazioni commerciali cercando di sostenere sia il venditore che l'acquirente. Tra le precauzioni possibili innanzitutto il sistema di feedback rappresenta una forma di auto-garanzia tra gli utenti anche se più volte si è dimostrato un sistema di sicurezza poco attendibile e facilmente ‘attaccabile’: proprio per questo e-Bay propone, oltre a guide a sostegno dell'utente che lo mettono in guardia dalle possibili frodi, anche un sistema di rimborso (fino a 500 €) per le transazioni effettuate con metodi di pagamento rintracciabili (come ad esempio PayPal).

È infatti pratica comune di ogni sito mettere in evidenza i metodi di pagamento ritenuti più sicuri: ad esempio e-Bay, oltre al già citato PayPal tende a privilegiare quei metodi in cui resta la prova della transazione (ad esempio il Bonifico bancario o postale online) a discapito di alcuni metodi che appaiono vivamente sconsigliati (Western Union, Moneygram). Tra i tentativi di frode a danno degli acquirenti più frequenti nelle aste on-line si ricorda:

  • richiesta di pagamento tramite metodo non nominativo
  • vendita di oggetti contraffatti/falsi.
  • invito a concludere la transazione al di fuori di eBay
  • invito a comprare "oggetti simili" a prezzi più convenienti
  • falsa comunicazione di eBay o PayPal

In linea di massima per fronteggiare il rischio di frode è opportuno attenersi a una serie di accorgimenti pratici da intraprendere durante un acquisto on-line:

  • non diffidare di usare carte di credito in rete ma rivolgersi esclusivamente a negozi riconosciuti per qualità del servizio offerto;
  • leggere sempre le clausole vessatorie;
  • accertarsi delle modalità di sicurezza nelle transazioni (sistemi crittografici);
  • accertarsi delle modalità di consegna e del diritto di recesso;
  • non usare e-mail personali per trasmettere i dati della carta di credito, ma usare le form web apposite;
  • controllare la presenza di certificati rilasciati da agenzie specializzate che accertano il grado di sicurezza.
Lo stesso argomento in dettaglio: Phishing.

A partire dagli anni 2000 è in aumento esponenziale la truffa on line, nata in Spagna e Portogallo, chiamata "phishing". Si tratta di una nuova forma di spamming, che potrebbe avere come conseguenza il furto del numero di carta di credito o di password, informazioni relative a un account o altre informazioni personali. Tale truffa solitamente ha come campo di azione le banche e l'e-commerce.

Che cos'è il phishing?

[modifica | modifica wikitesto]

Il phishing è un tipo di frode ideato allo scopo di rubare l'identità di un utente. Quando viene attuato, una persona malintenzionata cerca di appropriarsi di informazioni quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali convincendo l'utente a fornirgliele con falsi pretesti. Il phishing viene generalmente attuato tramite posta indesiderata o finestre a comparsa.

Come funziona il phishing?

[modifica | modifica wikitesto]

Il phishing viene messo in atto da un utente malintenzionato che invia milioni di false e-mail che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito. Arriva dunque nella propria casella di posta elettronica un'e-mail che sembra provenire dalla banca e vi dice che c'è un imprecisato problema al sistema di "home banking". Vi invita pertanto ad aprire la home page della banca con cui avete il conto corrente gestito via web e di cliccare sul link indicato nella mail. Subito dopo aver cliccato sul link vi si apre una finestra (pop-up) su cui digitare la "user-id" e la "password" di accesso all'home banking. Dopo pochi secondi, in generale, appare un altro pop-up che vi informa che per assenza di collegamento non è possibile la connessione. I messaggi di posta elettronica e i siti Web in cui l'utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in inganno molte persone sulla loro autenticità. Ritenendo queste e-mail attendibili, gli utenti troppo spesso rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account ed altre informazioni personali. Queste imitazioni sono spesso chiamate siti Web "spoofed". Una volta all'interno di uno di questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi trasmesse direttamente all'autore del sito che le utilizzerà per acquistare prodotti, richiedere una nuova carta di credito o sottrarre l'identità dell'utente.

Come comportarsi?

[modifica | modifica wikitesto]
  • Gli istituti bancari e le aziende serie non richiedono mai password, numeri di carte di credito o altre informazioni personali in un messaggio di posta elettronica. L'unica circostanza in cui viene richiesto il numero della vostra carta di credito è nel corso di un acquisto on line che avete voi deciso di fare.
  • Non bisogna rispondere mai a richieste di informazioni personali (pin, password, ecc), anche se provenienti dal vostro istituto di credito, ricevute tramite posta elettronica. Nel dubbio, telefonare all'istituto che dichiara di avervi inviato l'e-mail chiedendo una conferma.
  • È possibile segnalare il sospetto di abuso anche via e mail. Molte banche ed aziende dispongono infatti anche di un indirizzo di posta elettronica specifico per denunciare questo tipo di illeciti. Per essere sicuri di accedere ad un sito web "reale" di un istituto bancario è indispensabile digitare il rispettivo URL nella barra degli indirizzi, diffidando di link ricevuti via e-mail.
  • È fondamentale esaminare regolarmente i rendiconti bancari e della carta di credito e in caso di spese o movimenti bancari non riconosciuti informare immediatamente proprio istituto bancario o la società emittente della propria carta di credito.
  • In caso di sospetto di uso illecito delle proprie informazioni personali per operazioni di phishing occorre informare immediatamente la Polizia Postale e delle Comunicazioni.

Voci correlate

[modifica | modifica wikitesto]

Collegamenti esterni

[modifica | modifica wikitesto]
Controllo di autoritàThesaurus BNCF 6815 · LCCN (ENsh2011000733 · GND (DE4403476-3
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica