skip to main | skip to sidebar
42 commenti

Attenti alla truffa della carta di credito!

Allarme per nuova truffa con carta di credito, "garantisce" la Banca d'Italia


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Sta circolando da qualche tempo via e-mail una nuova segnalazione di pericolo riguardante le carte di credito, apparentemente garantita dalla Banca d'Italia e dalla Royal Bank of Canada: una volta tanto, non c'entra il loro uso su Internet, già attorniato da tali e tante paure da aver soffocato il commercio elettronico, ma una forma di truffa puramente telefonica.

L'appello ha un fondo di verità: il pericolo descritto è reale, ma i suoi garanti sono fasulli o involontari.

Ecco qui sotto un esempio dell'e-mail di allerta che sta circolando: le evidenziazioni e omissioni sono mie.

Sent: Tuesday, August 19, 2008 9:55 AM
Subject: Fw: NUOVA TRUFFA CON CARTE DI CREDITO

INOLTRIAMOLA A QUANTE PIU' PERSONE CONOSCIAMO, NE VA DELLA SICUREZZA DI TUTTI!

Da:

Una delle più importanti banche del Canada (più precisamente la Royal Bank of Canada) sta allertando tutti i propri clienti circa una nuova truffa ai danni di possessori di carte di credito (VISA, Mastercard, etc.) che si sta allargando a tutto il continente americano ed è molto prevedibile che prestissimo raggiungerà l'Europa...
OCCHIO, RAGAZZI !!!

La truffa si sta diffondendo dal Canada con velocità impressionante.
In particolare si tratta di un modo piuttosto furbo per truffare i possessori di carte di credito, poiché questi bastardi hanno già i numeri di serie della carte e quindi NON VI CHIEDONO IL NUMERO DI SERIE DELLA VOSTRA.

Questa mail potrà essere molto utile in quanto una volta capito come funziona la truffa sarete preparati e protetti dal pericolo.

Funziona cosí.

La persona vi chiamerà al telefono dicendo:
"Buongiorno, mi chiamo (Nome e Cognome) e La sto chiamando dall'ufficio antifrodi della VISA (oppure Mastercard, American Express, ecc.).
La mia matricola di funzionario VISA è la 12460.
Le telefono perché la Sua carta è stata segnalata dal nostro sistema di sicurezza per aver fatto un acquisto insolito e io sono qui per verificare insieme a Lei se si tratta di qualcosa di illegale oppure no.
Guardi, si tratta della Sua carta di credito VISA emessa dalla Banca.........
( vi dirà il nome della Vostra Banca)
Lei ha per caso acquistato recentemente dei biglietti aerei (o qualsiasi altra cosa) per 497.99 dollari (oppure Euro) da una società via Internet che ha sede in ....... ?"

Mentre voi risponderete di no, il falso funzionario continuerà dicendo:

"Guardi, Le spiego brevemente, si tratta di una società che stiamo tenendo d'occhio poiché effettua degli addebiti tra 297 e 497 dollari (Euro) per volta e restando sotto i 500 dollari non è facilmente controllabile, dato il gran numero di transazioni che effettua ogni giorno in tutto il mondo.
Ad ogni modo, se Lei mi conferma di non aver effettuato con la sua carta nessun acquisto Internet per biglietti aerei di questo importo, con il suo aiuto abbiamo potuto appurare che si tratta di un tentativo di frode e così questa somma Lei la vedrà addebitata sull'estratto conto del mese ma le verrà contemporaneamente eseguito lo storno per lo stesso importo non dovuto, così alla fine il saldo sarà pari.
L'estratto conto verrà inviato come al solito al Suo indirizzo che ci risulta essere Via........., è corretto ?"

E voi direte ovviamente di sì...

Allora lui/lei continuerà dicendo:

"Ok, a questo punto apro una pratica interna antifrode. Se Lei avesse qualsiasi domanda o chiarimento da chiederci, chiami il nostro numero verde 800 ........ e chieda dell'ufficio antifrodi Internet: quando un mio collega le risponderà, abbia cura di dargli il codice di questa pratica che è il .............. (vi darà un numero a sei cifre) così che potrà rispondere a tutte le sue domande. Ha annotato il codice della pratica? Vuole che glielo ripeta?"

A questo punto inizia la parte IMPORTANTE della truffa.

il falso funzionario vi dirà:
"un'ultima cosa ancora. Avrei bisogno di verificare se lei è davvero in possesso della sua carta: ce l'ha in mano in questo momento ?
Ok, allora dia uno sguardo ai numeri che trova sul retro: se guarda bene vedrà due numeri, uno di quattro cifre che è una parte del numero di serie della carta e l'altro di tre cifre (Codice di Sicurezza) che dimostra che Lei è in possesso della carta.
Queste ultime tre cifre sono quelle che vengono normalmente utilizzate per gli acquisti via Internet, poiché sono la prova che Lei possiede fisicamente la carta.
Me li può leggere per favore ?
"
Una volta che glieli avrete letti, lui dirà:
"Ok, codice corretto. Avevo solo bisogno della prova che la carta non fosse stata persa o rubata e che ne eravate ancora fisicamente in possesso.
Ha qualche altra domanda da farmi ?"
Dopo che voi avete risposto di no, lui risponderà:
"Molto bene, La ringrazio della collaborazione.
In ogni caso non esiti a contattarci per qualsiasi necessità: buongiorno."
E metterà giù il telefono.

Da parte vostra vi sentirete sollevati... hanno tentato di truffarvi, ma il solerte servizio antifrodi della VISA vi ha salvati in tempo.
In fondo non gli avete detto quasi niente di importante e lui non vi ha mai chiesto il numero della carta...

INVECE HA GIA' INCASSATO I VOSTRI SOLDI !

Già, perché gli avete letto i tre numeri del codice di sicurezza e CERTAMENTE li ha già usati per addebitare la vostra carta.

Infatti quello che i truffatori vogliono è proprio il codice di sicurezza a tre cifre sul retro della carta: gli altri dati se li erano già procurati, compreso il titolare, la data di emissione, di scadenza, il numero di serie della carta e persino il vostro indirizzo....
Mancava solo il codice di sicurezza !

Se vi dovessero chiamare con le modalità appena descritte, non date nessun riferimento e ditegli che chiamerete direttamente la VISA (oppure Mastercard, ecc.) per la verifica della conversazione:
le società che emettono le carte di credito NON VI CHIEDERANNO MAI DEI CODICI:LORO LI CONOSCONO PRIMA DI VOI !!!

Per favore, diffondete queste informazioni ai vostri familiari ed amici.

Manuela Russo

Banca d'Italia
Servizio Informazioni Sistema Creditizio
Largo Guido Carli, 1
00044 Vermicino - Frascati (Roma)

tel. +39.06.[omissis]
fax +39.06.[omissis]
[e-mail omesso]


I consigli dati dall'e-mail sono in sé validi: è indubbiamente pericolosissimo rivelare i codici sul retro della carta a sconosciuti che ci chiamano al telefono. Ma come farebbe un truffatore ad avere il numero di telefono del titolare della carta?

Procurarsi un numero di carta di credito non è difficile: basta sbirciare la carta di qualcuno al supermercato o in un negozio oppure usare un generatore di numeri di carta di credito (esistono programmi gratuiti che lo fanno). Anche il nome e cognome associati a quel numero sono abbastanza facili da ottenere, sempre sbirciando la carta o la sua ricevuta, nel caso di quelle a carta carbone che ancora si trovano in giro.

Ma da lì ad arrivare al numero di telefono, se il nome del titolare non è particolarmente raro (ehm), è piuttosto improbabile. In che città? In che stato?

In effetti esiste almeno un modo per ottenere tutte queste informazioni, e l'ho sperimentato personalmente, ma mi pare improbabile che si possa usarlo per truffe su vasta scala.

Ricordo infatti di essermi seduto nell'atrio di un bell'albergo in Inghilterra, qualche anno fa, dove un gentilissimo signore riceveva per telefono le prenotazioni e i relativi pagamenti. Per assicurarsi di avere i dati giusti (nome, cognome, carta di credito), li ripeteva al cliente. Ad alta voce. Naturalmente presi nota, puramente a titolo dimostrativo, e verificai che i dati erano validi. E lì mi fermai, prima che vi vengano idee strane.

Presso il sito della Royal Bank of Canada non ho trovato alcuna indicazione di quest'allarme, e il numero della Banca d'Italia citato come "garante" dell'allarme sembra valido. Ho contattato l'ufficio stampa della Banca d'Italia per avere maggiori dettagli e sono in attesa di risposta.


2010/02/13


Riprendo in mano quest'indagine perché a distanza di due anni l'appello continua a circolare. La Banca d'Italia non ha mai risposto. Tuttavia attraverso canali informali ho ricevuto conferma che nel 2008 esisteva realmente una Manuela Russo presso il Servizio Informazioni Sistema Creditizio ma non si occupava professionalmente di truffe tramite carte di credito. L'indirizzo postale mi è stato confermato come corretto.

Alcuni lettori mi hanno segnalato di aver contattato via mail la Russo, ottenendo una risposta che avvisa che l'appello in questione sta girando con i suoi riferimenti "in maniera del tutto arbitraria". La Russo ha dichiarato di non aver "mai scritto né diffuso questa mail". Un altro lettore segnala di aver scambiato mail con la Russo, che ha detto di aver ricevuto l'appello da "un [suo] amico poliziotto" e di averlo girato "all'interno dell'istituto" commettendo lo sbaglio di "dimenticare di togliere la firma che appare in automatico".

Sulla base di questi dati un po' contraddittori, sospetto che si tratti di un semplice garante involontario: una persona che ha ricevuto l'appello e l'ha inoltrato ad amici e colleghi per poi magari dimenticarsene, senza rendersi conto che gli estremi del proprio posto di lavoro, riportati in calce all'appello inoltrato, sono pertinenti all'argomento dell'appello e quindi sembrano essere una sua autenticazione autorevole.

Un altro esempio di garante involontario è la versione di quest'appello che circola "firmata" con gli estremi di un luogotenente del Nucleo Polizia Tributaria di Ferrara e diffusa da un mittente che risulta associato alla Guardia di Finanza.

Questo genere di invio di catene di sant'Antonio dall'indirizzo di mail del posto di lavoro causa spesso imbarazzi al datore di lavoro e guai alla persona citata come mittente. Di conseguenza è da evitare la loro diffusione, per non perpetuare il disagio delle organizzazioni e persone coinvolte. Questo non toglie che in questo specifico caso la sostanza dell'appello sia valida.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi.
Siate civili e verrete pubblicati, qualunque sia la vostra opinione: gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE: l'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo sito. Ciò significa che per poterla visualizzare senza problemi dovete assicurarvi che il vostro browser (tramite l'azione di qualche estensione, tipo quelle che eliminano le pubblicità) e/o altri programmi di protezione (antimalware, tipo Kaspersky) non la blocchino per qualche motivo e inoltre che sia permesso accettare i cookie da terze parti.
Commenti
Commenti (42)
Curiosità al volo, se non ritieni di voler rispondere capisco e non ci sono problemi. Come hai fatto a verificare che a Mr. X corrispondesse "realmente" il numero Carta di Credito Y?
Non è semplice se non si dispone di qualche altro dato.
In effetti non ho verificato la reale corrispondenza: tanto non è necessaria per fare un furto tramite carta di credito.
Scusate un istante: ma se tutto il pateracchio è avere 3 (tre) cifre del codice sicurezza, non farebbero prima a tentare di azzeccarle? D'altronde sono solo mille possibilità. Oppure c'è un limite di tentativi possibili?
@paolo attivissimo: allora ho male interpretato quel "verificai che i dati erano validi".
Piccola precisazione: quando si acquista con carta di credito (almeno in Svizzera e' cosi) oltre ai dati personali della carta (Nome, Cognome, Numero, Codice di riferimento) viene chiesta anche una PASSWORD... che ovviamente NON bisogna dare per NESSUN motivo a nessuno!

CIAO CIAO
"le società che emettono le carte di credito NON VI CHIEDERANNO MAI DEI CODICI:
LORO LI CONOSCONO PRIMA DI VOI !!!"
Trovo molto strano che un'impiegata della Banca d'Italia non sappia che tale affermazione è falsa. Nessun addetto può conoscere il codice di sicurezza della carta di credito e contemporaneamente tutti gli altri estremi.
I migliori di tutti sono quelli che vengono beccati dalla Polizia (svizzera) con l'elefante seduto sull'accelleratore, e al momento di pagare la multa scelgono l'opzione di pagare tramite carta di credito. L'agente prende la carta, chiama via radio su frequenza *non criptata* la centrale, e passa tutti i numeri per l'addebito. Attende l'ok della centrale, poi il conducente può andarsene.

E chi ha uno radioscanner ci ride sopra :-D
Max,

mi limitai a tentare un acquisto presso un sito che faceva il reale controllo di autenticità della carta (non tutti lo fanno), per poi annullare l'ordine prima di cliccare su "Paga".
mi limitai a tentare un acquisto presso un sito che faceva il reale controllo di autenticità della carta (non tutti lo fanno)

Confermo. Una volta diedi ordine di pagamento sbagliando a scrivere il mio nome (lo scrissi con una sola t) nel campo "card holder".
Eppure il pagamento avvenne senza problemi.
Quindi mi chiedo, funzionava anche se scrivevo Ajeje Brazorv?
@paolo attivissimo: tutto chiaro, grazie della delucidazione. Evidentemente non ho mai incontrato un sito di questo tipo, dal momento che durante i miei acquisti online non è mai stata fatta una verifica previa pressione del "paga".
Insomma un pò come è capitato a Mattia.
Beh, diciamo che se la mail non fosse una bufala e VERAMENTE qualcuno cadesse nel tranello si meriterebbe come minimo il Virus albanese

Saluti
Hanmar
In effetti al servizio SISC della Banca d'Italia esiste una Sig.ra Manuela Russo, perchè non provi a vontattarla direttamente?
L'altro giorno al telegiornale (non ricordo se era il TG2 o il TG5) hanno trasmesso un servizio proprio su questo argomento. Hanno spiegato come può avvenire la truffa telefonica, esattamente come nella mail riportata da Paolo. E hanno raccomandato di non buttare gli scontrini dei pagamenti con carta di credito. Mi domando se i giornalisti abbiano verificato la fondatezza dell'allarme, prima di lanciarlo. E soprattutto mi domando come eliminare tutti gli scontrini che sto accumulando... chissà se anche in questo caso funzionano le martellate? ;-D
Paolo, c'è da sistemare il link alla banca del Canada.
Sistemato, grazie!
Potrebbe essere "banale" social enginering per recuperare dati mancanti da un elenco semi-completo e non è detto che la "sceneggiatura" sia sempre la stessa.

Non è un buon sistema per truffe su vasta scala, ma vuoi che non esistano galantuomini disposti a spillare 450 euro anche a sole 3/4 persone al giorno?

-T2-
Ma che c'entra Kryten?

(a parte il fatto che Red Dwarf l'ho scoperto leggendo il disinformatico)
Ma che c'entra Kryten?

Niente, mi piaceva la sua faccia esterrefatta, come se fosse inorridito dalla lettura dell'appello :-)
Scusate per l'OT, ma questa è da "Edizione Straordinaria":

Large Hadron Rap

Posso soltanto dire: "Oh great Scott..."
A superlative suggestion, sir, with just two minor flaws. One, we don't have any defensive shields, and two, we don't have any defensive shields. Now I realise that, technically speaking, that's only one flaw but I thought it was such a big one it was worth mentioning twice.
Questa cosa l'ho vista in un servizio televisivo di Mediaset ( non mi ricordo se fosse su Italia Uno o Canale 5) che ho sentito in sottofondo ( mi dispiace ma la televisione è un sottofondo vivendo con moglie e figli ).

Ricordo che, oltre a quanto hai specificato nell'articolo, parlavano di scontrini lasciati in giro o di altre informazioni "intercettate"..
@rado il figo:
la seconda che hai detto, c'è un limite ai tentativi; se non erro sono tre. Considera anche che in alcuni casi è richiesta la data di scadenza della carta.
La data di scadenza della carta è stampata sulla carta stessa. Guarda, per rubare i dati della CC di una persona ci vuole assai poco. Una webcam ad alta risoluzione posizionata in modo strategico sopra alla cassa di un negozio. Ti fai dare la carta dal cliente, la rigiri per controllare se c'è la firma, la appoggi sul bancone capovolta, poi la rigiri. Ed infine la fai passare nel l'apparecchiatura. Sfido chiunque a capire che nei tre secondi necessari c'è qualcuno o qualcosa che ti ha "fotocopiato" fronte e retro la carta.

Capita spessissimo in un certo centro commerciale, in un negozio di elettronica (enorme catena multinazionale). Ti prendono la carta e la appoggiano poi sul bancone (e regolarmente la mia del bancoposta smette di funzionare). Ho litigato più volte con il direttore, ma pare che non lo vogliano capire.
(Allora andrebbe controllato cosa c'è sotto a quel bancone, magari c'è un trasformatore o simili che la smagnetizza.)

La mail mi puzza abbastanza di bufala: di solito per usare una carta come la Visa tutto quel che ti chiedono è il codice di sedici cifre e la data di scadenza, specialmente per gli acquisti e trasferimenti online. Io non ho mai usato quelle tre cifre sul retro.

"Trovo molto strano che un'impiegata della Banca d'Italia non sappia che tale affermazione è falsa. Nessun addetto può conoscere il codice di sicurezza della carta di credito e contemporaneamente tutti gli altri estremi."
In un sistema di sicurezza pensato bene per l'operatore è impossibile leggere in chiaro dati come password o codici numerici. Come minimo devono essere criptati.

"L'agente prende la carta, chiama via radio su frequenza *non criptata* la centrale, e passa tutti i numeri per l'addebito. Attende l'ok della centrale, poi il conducente può andarsene."
Motivo di più per non correre... altrimenti peggio per lui.
Scusate, ma questo appello mi sembra assolutamente fondato. Datemi 10 numeri di carta di credito con nome e cognome e ditemi il negozio dove li avete rubati, e (se non e` un negozio frequentato da turisti) vi becco i numeri di telefono di almeno tre dei titolari di carta. E dico "almeno tre" solo perche' voglio tenermi sul sicuro.

Lo sapete che basta sapere solo il sesso, la data di nascita e lo ZIP code (l'equivalente del C.A.P.) per identificare univocamente l'87% dei cittadini americani? 216 milioni su 248! Si, avete letto bene, non serve nome e cognome, bastano pochi numerelli.

Non lo dico io, lo dice uno studio della Carnegie Mellon University (http://privacy.cs.cmu.edu/dataprivacy/papers/LIDAP-WP4abstract.html), citato da Bruce Schneier, uno dei massimi esperti di sicurezza al mondo, nella sua newsletter (http://schneier.com/crypto-gram-0801.html#1)

Sapendo nome e cognome e potendo fare un ragionevole tentativo di indovinare la zona di residenza e` ridicolmente facile.

L'allarme e` indubbiamente molto specifico, ed io non lo avrei inoltrato in questa forma.

Pero` il trucco del "dimmi questa cosa che io gia` so, per provarmi che sei tu" e` vecchio... esisteva gia` dai tempi di Ali` Baba`!

Una email per suggerire in generale di non cadere in questo trucco sarebbe stata piu` utile. Questa sembra invece fare riferimento ad una truffa ben specifica. Ma comunque non e` una "bufala" totale, direi.
Il diritto di contestazione dell'addebito spesso permette di riavere i soldi che ci sono stati rubati.
Maggiori dettagli qui: http://www.lonerunners.net/1068-contestazione-delladdebito-su-carta-di-credito-come-riparare-alle-fregature.html
Ma nessuno ha chiamato Manuela Russo? :-D
Questo commento è stato eliminato dall'autore.
questo appello è finalmente arrivato anche a me.

qualcuno ha scoperto se è vero o falso?
questo appello è finalmente arrivato anche a me.

qualcuno ha scoperto se è vero o falso?
questo appello è finalmente arrivato anche a me.

qualcuno ha scoperto se è vero o falso?
beh non sono sicuro che accetterai il consiglio di un quindicenne, ma ti propongo di studiare la storia della moneta e poi di conseguenza anche il signoraggio.E perchè no poniti domande del tipo: se tutti gli stati del mondo sono indebitati (debito pubblico, chi è il creditore? un altro pianeta? o piu probabilmente le banche...strano no? a me avevano raccontato che i soldi li stampa lo stato. ciao e buona fortuna
@milo

La storia della moneta e` indubbiamente interessante.

Purtroppo, girano varie storielle a riguardo, che a confronto i complottisti dell'11 settembre sembrano storici rigorosi :-)

Ti mando giusto qualche spunto.

Non e` vero che tutti gli stati hanno un debito.

Alcuni hanno un sacco di soldi, e li "investono" nel debito degli altri stati. Sono i cosiddetti "Fondi Sovrani" (Sovereign Funds) di cui ogni tanto si sente parlare.

Tu pensa che persino il Regno di Napoli aveva un bilancio positivo! Il debito pubblico italiano deriva, inizialmente, dal debito pubblico dei Savoia, anche se poi dopo l'unita` d'Italia e` cresciuto ulteriormente, prima per le folli imprese coloniali, poi per i danni della II Guerra Mondiale (compresi i danni di guerra che abbiamo dovuto pagare alle potenze vincitrici), per finanziare la ricostruzione, e soprattutto, ahime`, per la mala gestione della cosa pubblica negli anni '80. Se negli anni '80 si fosse fatta una riforma delle pensioni, oggi probabilmente avremmo almeno 10 punti di debito in meno, forse anche di piu`.

Alcuni degli ultimi governi si sono impegnati a ridurre il debito pubblico, altri lo hanno fatto salire di nuovo, purtroppo.

Ma divaghiamo. Chi e` che e` il "creditore" dello stato? Lo e` chiunque abbia acquistato dei BOT o dei CCT. Questo include i fondi sovrani gia` citati, risparmiatori singoli, fondi comuni di investimento (le cui quote sono solitamente sottoscritte da risparmiatori), ed in parte direttamente dalle banche.

Prendiamo l'esempio del crack dell'Argentina di qualche anno fa. Tutti i titoli di stato sono diventati carta straccia, ed una grossissima fetta era in mano ai privati, non alle banche.

A proposito del "Signoraggio"... nel 90% dei casi chi usa questo termine antico non sa di cosa sta parlando.

In pratica, chi emette monete o banconote ha un costo (quello di produzione), poi un'entrata (la moneta o la banconota ha un suo valore, che l'emittente usa per pagare qualcuno), ed infine un'uscita (quando la moneta o la banconota viene riportata all'emittente per qualche pagamento, o perche` deteriorata, o perche` sta uscendo di corso).

Quindi, in realta`, il "reddito da signoraggio" puo` essere calcolato solo quando una moneta o una banconota va fuori corso.

Le monete vengono coniate direttamente dallo stato, in particolare dalla zecca. In quel caso, il reddito da signoraggio va direttamente allo stato. Inoltre, le monete hanno una vita lunghissima, possono andare fuori corso anche 50 anni dopo l'emissione.

Le banconote, invece, vengono stampate, in tutti gli stati, dalle banche centrali. L'Euro e` di "competenza" della BCE (Banca Centrale Europea), che divide il lavoro (ed il ricavato) fra le banche nazionali. Considera che una banconota ha una vita molto breve, un paio di anni al massimo (salvo i tagli "altissimi", che circolano poco, e che comunque coprono una piccola parte del valore circolante). Dopo poco, una banconota si usura, e viene riportata in banca per essere cambiata. Il reddito da signoraggio si ha solo quando una banconota si deteriora a tal punto da non essere piu` cambiabile (ad es. se la bruci) o se viene smarrita, o se va fuori corso e non viene cambiata nei termini.

Nel caso della Banca d'Italia, il 60% di questo reddito da signoraggio viene passato pari pari al Tesoro. Questo significa che sono tutti soldi che lo stato non deve chiedere a te come tasse.

Il restante 40% va nelle riserve valutarie. Questi sono soldi che la Banca d'Italia ha in gestione, ma che sono comunque di proprieta` dei cittadini, e vengono gestiti nei loro interessi. La Banca d'Italia, infatti, e` un ente di diritto pubblico (anche se ogni tanto c'e` qualche complottista che sostiene che sia una SPA).

Spero di averti chiarito qualche dubbio. E, mi raccomando, anche quando crescerai, continua a porti domande!
Caro Paolo,
a 5 mesi di distanza l'efficientissimo Ufficio Stampa della Banca d'Italia ti ha risposto in merito all'attendibilità di Manuela Russo e della sua segnalazione. E' importante chiudere la storia, perché ad oggi ricevo ancora per e-mail la segnalazione, che a me puzza di spamming.
Grazie.
io l'ho vista oggi per la prima volta.

E' arrivata ad un collega e me la sono fatat girare per verificarla.

Come già detto da molti... puzza di bufala lontano un miglio, anche se i sonsigli finali sono validi a prescindere.
Hai avuto risposta dalla Banca d'Italia ho è un Hoax ?
c'e' una cosa che non ho mai capito delle carte di credito.

Tutte le informazioni necessarie, inclusi il codice di controllo (i 3 numeri sul retro) vengono comunicati ad OGNI transazione, ed in particolare in quelle telefoniche.

Questo vuol dire che non vi e' nulla di riservato nella nostra carta di credito e che basta UN singolo truffatore convinto a raccogliere i dati di una vendita telefonica per truffarci. Non dovra' fare altro che comunicarli a qualcun altro.

La persona che riceve la telefonata e' sempre in possesso di nome, indirizzo, numero carta di credito, scadenza e numeri di codice sul retro. Che garanzia puo' offrire un sistema del genere?

Non capisco quindi perche' preoccuparsi tanto delle transazioni su internet che almeno, se compiute solo con grosse aziende come Amazon, danno la garanzia che il sistema trattera' i dati in modo quasi del tutto automatizzato. L'unica vera garanzia e' il fatto che quando si usa la carta in una transazione telefonica o su internet, almeno qui in UK, non accettano indirizzi di consegna diversi da quello registrato, mentre se si usa un duplicato di una carta col chip e' necessario conoscere il codice.

Tutto il resto a me sembrano balle. I dati di una carta di credito come quelli elencati nella presunta truffa riportata da Altissimo sono TOTALMENTE PUBBLICI. Comunicarli a un ergastolano o a una persona per telefono non cambia di molto la sostanza.

Sbaglio qualcosa?
Sono un albergatore (proprietario) e mi occupo personalmente degli addebiti remoti. Inoltre ho in mano tutti i dati necessari ad una truffa di questo genere.

La possibilità di alzarmi una mattina (io o un altro in qualunque hotel) e fare acquisti su eBay per un milione di euro esiste. Mi stupisco che non accada.

Io sono proprietario ma se fossi un impiegato? Ecco perché a questo non delego nessuno ma comunque tutti i miei dipendenti hanno pari accesso quantomeno alle carte 'fisiche' dei clienti che contengono comunque gli stessi dati.

E se si alzassero loro una mattina?
@pgc:
La persona che riceve la telefonata e' sempre in possesso di nome, indirizzo, numero carta di credito, scadenza e numeri di codice sul retro. Che garanzia puo' offrire un sistema del genere?

Non mi è stato mai chiesto di dare i numeri di codice sul retro per un pagamento telefonico. Non che ne abbia fatti tanti, però non mi è mai successo.

Comunque i consigli che darei, oltre a quello di non comunicare dati personali quando si riceve una chiamata inattesa (al massimo rispondere: "grazie, però ora non ho tempo, richiamo io" e andare sul sito ufficiale a cercare il numero), sono i seguenti:

1)Per fare acquisti nei negozi, usare carte di credito ricaricabili. Almeno, se qualcuno sbircia, il danno è limitato.

2)Non lasciare in giro gli scontrini, ma strapparli in modo che i numeri capitino in pezzi diversi; buttare i pezzi in cestini diversi. Alcuni negozianti sono abbastanza cialtroni da stampare sullo scontrino tutte le sedici cifre della carta + la data di scadenza.

3)Ove possibile, depistare su indirizzi e numeri di telefono, come si dovrebbe fare per le e-mail. Una casella postale o un indirizzo volutamente (o casualmente) errato sull'elenco telefonico può rivelarsi un buon sistema "anti-spam" e "anti-phishing".
Almeno se uno ha un nome abbastanza raro da essere trovato sull'elenco telefonico quasi a colpo sicuro.

Presunto impiegato VISA: "Il suo indirizzo è via Prati Botta 18?"
Tizio dal nome raro: "Sì, certo!" (e si insospettisce sapendo che è quello sbagliato, quindi non è un impiegato VISA ma un truffatore che ha trovato l'indirizzo sull'elenco)
Presunto impiegato VISA: "Mi dà cortesemente il suo codice di sicurezza?"
Tizio dal nome raro: "Eccolo: xxx" (e se la ride perché sono le cifre sbagliate, in realtà è yyy)
La truffa sembra fattibilissima. Non è infatti difficile reperire dati completi di carte di credito (num, scadenza, generalità del proprietario).

Questi dati possono essere rubati da siti di e-commerce vulnerabili a una qualche vulnerabilità informatica o ottenuti tramite tecniche di social engineering.

Fortunatamente non tutti i siti maneggiano direttamente le informazioni sulle carte di credito in fase di acquisto ma utilizzano servizi di pagamento forniti direttamente da banche o aziende specializzate.

Una volta ottenute queste informazioni per poter effettuare transazioni occore il famoso cvv2 posto nel retro della carta e per ottenerlo entra in gioco la truffa descritta nell'articolo.

Altre volte sono gli stessi proprietari che pubblicano online il numero della propria carta di credito! Si veda ad esempio la pratica diffusa di ricevere pagamenti tramite ricarica postepay fornendo ad un estraneo il numero della propria carta.

Con in mano il numero della carta il lavoro del truffatore è in discesa. Tramite ricerche in rete o social engineering è possibile ottenere le informazioni mancanti: nominativo, scadenza, cvv2.

E' desolante constatare che in rete esistano ancora alcuni siti che si appoggiano su gateway di pagamenti che NON richiedono il cvv2. Un sistema di sicurezza che tutto sommato fornisce un livello di sicurezza minimo ma sufficiente: dopo pochi tentativi di effettuare pagamenti sbagliando codice la carta viene bloccata.

Infine mi sembra difficile che la banca conosca tutti i dati delle carte di credito che distribuisce semplicemente per il fatto che non sono loro a gestire fisicamente il sistema di pagamento ma si appoggiano a poche aziende specializzate.

Quindi occhio al vostro cvv2 :)
Mi è arrivato l'appello 2 giorni fa.
Mi puzzava di bufala per cui non gli ho dato retta, poi ho indagato qui e ho trovato l'articolo. Unica differenza è che quello che ho ricevuto io è firmato così: Banca d'Italia - Servizio Informazioni Sistema Creditizio Largo Guido Carli,
1 - 00044 Vermicino - Frascati (Roma)
cioè senza nome e senza nuneri di telefono. Insomma, da quello che capisco non è una bufala certa, vero?
Conosco Manuela Russo e sono stata una delle prime a ricevere questa mail da lei: confermo che non ne è l'autrice e che si è dimenticata di togliere la firma automatica in calce. Da parte mia ho avuto cura di cancellarla prima di inoltrare a mia volta, invece altri non sono stati così attenti e ne è nato questo putiferio. Spero di essere stata utile, grazie e complimenti per l'ottimo sito.