di Pierfrancesco Malu
ING è una delle principali e più conosciute digital bank operanti in Italia. Facente parte di un gruppo olandese, opera in circa 40 paesi in tutto il mondo con una base clienti di oltre un milione e duecentomila. Recentemente, la banca è stata particolarmente attiva nell’ambito della sicurezza e ha deciso di lanciare la feature “E’ davvero ING?” per incentivare il suo impegno nell’ambito della cybersecurity. Per questo motivo, Arena Digitale ha il piacere di intervistare il dott. Damiano Zanisi, Chief Information Officer di ING Italia che ha deciso di fornire una completa overview sul mondo delle truffe e delle iniziative utili ad evitarle.
Quali sono le principali tipologie di truffe in ambito digital banking e quali le best practice da adottare per difendersi da queste frodi?
Esistono diverse tipologie di truffe, molto difficili da riconoscere perché sofisticate e complesse.
Fanno spesso leva su tecniche di “social engineering”: i frodatori studiano le vittime, a partire dai loro dati diffusi in rete, e poi manipolano i loro comportamenti sfruttando il lato emotivo. Una delle frodi più ricorrenti è il “phishing” (dall’inglese “pescare”), con cui ci si appropria di dati riservati, come i numeri delle carte di credito oppure PIN e credenziali d’accesso. In questo caso il malintenzionato utilizza come esca un’email, in apparenza proveniente dalla banca, contenente link o allegati che indirizzano l’utente a un sito web fraudolento progettato per rubare le sue informazioni personali. Si parla invece di “smishing” (dalla crasi di SMS e phishing) quando i messaggi truffa arrivano via Sms, Whatsapp e Telegram, e di “vishing” (“voice phishing”) con la telefonata. Più sofisticata è invece la tecnica dello “spoofing”, in cui il truffatore chiama la vittima dal numero della banca e si spaccia per un suo dipendente, chiedendo i dati di accesso al conto corrente o di effettuare con urgenza un’ operazione bancaria, come il trasferimento di denaro dal conto della vittima a un altro indicato dal truffatore. Esiste poi il “money muling” (“conti mulo”), utilizzato con lo scopo di riciclare denaro: la vittima viene convinta a trasferire i soldi ricevuti da un malintenzionato a una parte terza, a volte in cambio di commissioni. Infine, il grande classico delle “romantic scam” (“truffe romantiche”) in cui le vittime vengono adescate sui social da profili falsi, con cui intrecciano una relazione sentimentale virtuale, e poi vengono indotte con varie scuse a versare somme di denaro. Per evitare di cadere in queste trappole è fondamentale coltivare sempre il dubbio e verificare. Bisogna ricordare, per esempio, che una banca non chiederà mai ai propri clienti dati che già conosce o le credenziali di accesso e che il numero verde di una banca è abilitato solo a ricevere chiamate, non a effettuarle. Non verrà inoltre mai chiesto di cliccare su un link o di scaricare app sconosciute. Come difendersi? Innanzitutto non disseminare i proprio dati sensibili sui social. E’ poi importante cambiare regolarmente le password, avendone diverse per le differenti attività (per app ludiche, di lavoro o bancarie). Verificare sempre la fonte, anche contattando la proprio banca, se necessario. E ricordarsi che i guadagni facili e immediati, o le illusioni romantiche, nascondono quasi sicuramente una truffa.
In quale modo le cyber truffe potrebbero evolversi in futuro?
Sicuramente l’evoluzione della tecnologia e l’intelligenza artificiale aiuteranno i truffatori a risultare ulteriormente credibili. Potranno nascere malware sempre più sofisticati e, probabilmente, assisteremo al diffondersi dei deepfake, cioè immagini create dall’IA molto simili a quelle reali, che potrebbero essere usate sia per migliorare le strategie di phishing, sia per bypassare sistemi biometrici di autenticazione (come il riconoscimento facciale o le impronte digitali). Inoltre, la blockchain potrebbe essere utilizzata per effettuare transazioni anonime, rendendo più difficile risalire all’identità dei truffatori.
La buona notizia è che la tecnologia aiuta anche a rafforzare i sistemi di protezione. Ma oltre alle misure di sicurezza, rimane fondamentale anche l’attitudine alla prevenzione: per questo serve diffondere il più possibile nella società una maggiore consapevolezza su questi temi, incentivando la cultura del dubbio e della verifica.
Cosa sta facendo ING per proteggere i propri clienti e sensibilizzare le persone sul tema della cybersecurity?
Vogliamo contrastare un problema di natura sociale, che comporta importanti danni economici ed emotivi alle vittime delle truffe. Per questo, rafforziamo costantemente le misure di sicurezza per proteggere in maniera concreta i nostri correntisti e, in un’ottica più allargata, promuovere nella società la cultura della verifica: quanto più sarà diffusa, tanto più per i frodatori sarà difficile raggirare le persone. Per questo abbiamo lanciato all’interno della nostra app e del sito “E’ davvero ING?”: con un semplice click è possibile verificare immediatamente se chi chiama a nome di ING sia effettivamente un dipendente della banca. In caso negativo, molto probabilmente potrebbe trattarsi di una frode e, in quel caso, sarebbe raccomandabile chiudere subito la telefonata e segnalare l’episodio a ING attraverso i canali ufficiali. I risultati ottenuti finora con “E’ davvero ING?” sono molto incoraggianti: a pochi mesi dal lancio le truffe telefoniche verso clienti ING si sono fortemente ridotte. Ma non ci fermeremo qui e aggiungeremo a breve nuove misure di sicurezza per contenere ulteriormente lo spoofing. Inoltre, per diffondere il più possibile la consapevolezza di questo problema, abbiamo lanciato la campagna social “Truffe di ogni genere”: pianificata sui principali canali social media, si articola in cinque brani di generi musicali diversi per rendere memorabile ogni messaggio. L’obiettivo della campagna è anche arrivare a un target più possibile ampio, perché purtroppo nessuno è davvero immune dalle truffe.
ING è comunque attiva da anni nella sensibilizzazione dei suoi clienti su questo tema.
Negli ultimi 2 anni abbiamo lanciato ben 15 campagne di comunicazione rivolte ai clienti, attraverso e-mail, internet e social media. Sono state inviate ben dieci milioni di comunicazioni ai nostri clienti, evidenziando un tema fondamentale: non dare mai le credenziali, perché è come consegnare le chiavi di casa. Ribadisco un concetto detto prima: i nostri colleghi, come quelli di qualsiasi altra banca, non chiederanno mai i dati per accedere ai conti dei clienti.
Arriverà un momento in cui il settore del digital banking potrebbe essere immune alle cyber frodi?
Gli avanzamenti tecnologici, incluse le recenti evoluzioni dei sistemi basati sull’intelligenza artificiale, forniranno alle banche strumenti ulteriori per identificare potenziali nuovi comportamenti frodatori e bloccarli.
Ma non dimentichiamo che gli stessi strumenti sono in mano anche ai truffatori, che a loro volta li utilizzeranno per rendere più credibili le loro azioni, attraverso ad esempio messaggi vocali fake o mail che potranno sembrare ancor più realistiche.
Il momento dell’immunità dalle cyber frodi è ancora lontano ma, guardando al lungo termine, una speranza c’è. Quando, infatti, grazie ai dispositivi “wearables”, vale a dire gli strumenti che si possono indossare come ad esempio gli smart watch, e a nuovi processi “invisibili” ai clienti, le identità del chiamante e del chiamato saranno certificate e incluse in modo nativo nell’interazione fra due soggetti, allora probabilmente il fenomeno delle truffe si ridimensionerà fortemente. Nel frattempo, e nell’attesa di tali automatismi, la cultura della verifica resta il maggiore strumento preventivo.
