Patti chiari

QR Code criminali / Come ti rubo l’auto

Patti chiari - Puntata del 4.4.2025

  • Ieri, 21:00
1:05:12

QR Code criminali / Come ti rubo l’auto

Patti chiari 04.04.2025, 20:40

Di: Paola Leoni, Marco Dorici / Produzione ZDF  

QR code criminali - di Paola Leoni e Marco Dorici

Un link-trappola, e in pochi minuti, i malviventi saccheggiano il conto

Sono utili, comodi, facili da usare: i codici QR sono ormai onnipresenti. Ma non sono privi di rischi. Dietro a questi codici a quadretti bianchi e neri, infatti, ci può essere di tutto: anche un link creato da organizzazioni criminali per farci cadere in una pericolosa trappola.

È proprio partendo da questi link che alcune persone, nella Svizzera italiana e non solo, si sono viste sottrarre centinaia o addirittura migliaia di franchi: “Non credevo a quello che è successo – racconta Marco Paltenghi - Non immaginavo che potessero sparire questi soldi, in poco tempo, da un conto in banca.” Tra loro c’è anche chi, come la grigionese Ludmilla Rosati, si è visto non solo sottrarre del denaro, ma ha scoperto addirittura che il suo conto è stato usato dai criminali per spostare proventi illeciti: “Sono stata interrogata dalla polizia: mi hanno spiegato che spesso vengono utilizzati i conti per riciclare il denaro rubato.”

Ma partiamo dall’inizio. L’inchiesta di Patti chiari inizia proprio dalla segnalazione di Marco Paltenghi: a fine dicembre, era stato contattato da una persona che si firmava “Alice” ed era interessata ad acquistare un lettore dvd che lui aveva messo in vendita sulla piattaforma Tutti.ch.

“Alice” gli aveva mandato un codice QR da scansire per poter incassare il denaro via Twint: ma il link era una trappola creata ad hoc dai criminali.

 Il trucco è sempre il solito, cambia solo lo strumento: a volte sono le email, a volte gli sms, questa volta… i QR code. Tramite questo codice,  i truffatori ci invitano a cliccare su un link. Quel link ci porta ad una pagina internet che sembra quella del proprio account Twint, ma in realtà è una copia della pagina originale: un clone creato e gestito dai malviventi, che con qualche scusa e tante bugie, ci invitano a inserire lì le nostre credenziali di accesso. E il gioco è fatto:  così facendo, stiamo consegnando direttamente ai malviventi la chiave per prendere il controllo del nostro conto :“E’ un po’ come se arriviamo in un parcheggio e c’è un finto parcheggiatore al quale consegniamo le chiavi della nostra macchina… e lui se ne va” - spiega l’ esperto di cyber sicurezza e ingegneria sociale Ivano Somaini.

Ad andarsene, sono stati oltre 3mila franchi nel caso di Marco Paltenghi, oltre 400 in quello di Ludmilla Rosati, senza contare altre vittime in tutta la Svizzera.

Cadere in queste trappole, insomma, può costare caro: seppur inconsapevolmente, la vittima del furto “ha ceduto il controllo completo del suo account Twint” - spiega una delle banche coinvolte. Il “mancato rispetto degli obblighi di diligenza preclude qualsiasi indennizzo” conferma l’altra. Insomma: responsabilità e danni sono degli utenti.

Anche Twint conferma che il problema risiede nel loro comportamento, e sottolinea che  « Twint è un metodo di pagamento molto sicuro: non siamo a conoscenza di nessun caso in cui l’applicazione Twint è stata compromessa o hackerata”. Un tale caso si può verificare «unicamente se un utente trasmette i propri dati sensibili, i propri codici di sicurezza e i dettagli dell’e-banking a una terza persona.”

D’altronde è un fatto: le banche investono molto per garantire la massima sicurezza. E lo sanno anche i criminali, che infatti puntano il mirino sull’anello debole della catena di protezione dei conti bancari: gli utenti.

E se pensate che dietro queste truffe c’è qualche ladruncolo, o magari un giovane hacker che vuole arricchirsi stando davanti alla tastiera di un computer… beh, vi sbagliate di grosso. “Tendenzialmente nella criminalità cibernetica ci sono delle vere e proprie organizzazioni – ci spiega ancora l’esperto - Hanno gerarchie e ruoli ben definiti, coinvolgono decine o addirittura centinaia di persone che ci lavorano.”

L’inchiesta di Patti chiari sembra confermare questo preoccupante fenomeno, non a caso – è notizia recente – le truffe online sono in aumento.

E proprio dietro alla truffa on line che ha mietuto vittime anche nella Svizzera italiana sembra esserci una rete criminale strutturata: chi ha creato la pagina-trappola che ha ingannato le nostre vittime ha aperto anche altre 13mila pagine simili. Una vera industria della truffa che lavora senza sosta, week end inclusi.

A proposito: le cattive notizie non sono finite. Perché mentre i truffatori si danno da fare, molte banche nel fine settimana sono chiuse, e non hanno numeri di emergenza attivi per questi casi.

E allora cosa fare se, come è successo a Ludmilla Rosati,  vi accorgete di aver subito una truffa il sabato sera? Oppure a chi chiedete aiuto la domenica mattina se, come ha fatto Marco Paltenchi, vi accorgete che la vostra app Twint è bloccata?

Twint ci fa sapere che « ogni banca è responsabile dell’assistenza per la propria app Twint, e mette a disposizione dei clienti un’assistenza appropriata”. Dal canto loro le banche coinvolte si difendono: una volta trasmessi ai truffatori i dati d’accesso al proprio conto Twint,  la frode si concretizza rapidamente “ e anche con un numero di emergenza 24 /24 l’epilogo non sarebbe stato diverso” scrive un istituto bancario; “L’esperienza insegna che i pagamenti fraudolenti avvengono nel giro di poco tempo dopo la violazione dell’account TWINT – risponde l’altra banca coinvolta -  cosicché spesso non è più possibile evitarli anche reagendo immediatamente.” Sarà. Certo che le vittime, a volte, finiscono col sentirsi sole e forse anche un po’ indifese di fronte a organizzazioni criminali sempre più agguerrite e ben organizzate.

Prese di posizione:

  • Presa si posizione - TWINT
  • Presa di posizione - BancaStato
  • Presa di posizione - BANCA MIGROS

Come ti rubo l’auto - Produzione ZDF

Una fuga di dati, diverse app per controllare l’auto a distanza e…troppe falle.

Oggi sono tante le case automobilistiche che offrono le cosiddette “app per auto”: comodissime applicazioni che permettono di gestire il proprio veicolo, anche a distanza. Così si può aprire e chiudere l’auto con un clic, o avviare il motore. Oppure si puo’ controllare il livello di carica della batteria stando seduti in casa, o far partire il riscaldamento qualche minuto prima di partire… Insomma, pratiche, comode, ma… possono avere qualche controindicazione.

Lo ha scoperto un team di esperti, dopo aver individuato un cosiddetto “data leak”: una raccolta di dati trafugati che conteneva email e password di parecchi proprietari di queste app. Il team si è allora chiesto: cosa potrebbe fare un malintenzionato con quei dati? E ancora: queste app offrono sufficienti protezioni ?

E le risposte, sorprendono!

Correlati

Ti potrebbe interessare