Le truffe online sono e saranno sempre più presenti ed il motivo è semplice: sono redditizie e difficili da intercettare o bloccare. Una delle più pericolose per le aziende è la truffa del falso IBAN o Main in the Email.
L’operazione è strutturata in questo modo, due aziende comunicano via email in merito ad una transazione commerciale da portare a termine, ad esempio il pagamento o l’anticipo, mediante bonifico, di un lavoro che l’una fornisce all’altra. Una di queste due aziende ha però le caselle email “spiate e controllate” da un terzo individuo, il truffatore. Nel momento in cui l’azienda creditrice manda la richiesta di pagamento il truffatore si intromette nella comunicazione e “rettifica” chiedendo di inviare il bonifico ad un IBAN diverso, in genere in un paese estero o verso una carta ricaricabile adducendo varie scuse per motivare la richiesta. L’azienda debitrice, che cade nel tranello, invia il bonifico verso l’IBAN del truffatore il quale lo trasferisce subito verso un altro conto in modo da far perdere le tracce del denaro e renderne impossibile il recupero.
E qui entrano in gioco le banche che dovrebbero dotarsi di meccanismi di verifica maggiori. Non è raro vedere questi conti correnti aperti dai truffatori direttamente con il nome reale dell’azienda o della persona a cui si crede di fare il bonifico, quindi per l’utente capire di essere finito in mezzo ad una truffa potrebbe essere molto difficile.
Inoltre non c’è alcun meccanismo per bloccare o recuperare il proprio denaro, per come funzionano i bonifici una volta eseguite, anche se verso un IBAN sbagliato, solo con il consenso del beneficiario è possibile recuperare il denaro. Per non parlare poi dell’impossibilità di seguire il denaro nei vari spostamenti da un contro ad un altro in paesi diversi, perfino le forze dell’ordine faticano a tracciarne i movimenti.
Al pari di come già fanno i gestori delle carte di credito o sistemi di pagamento come PayPal le banche dovrebbero introdurre dei sistemi per informare gli utenti della “reputazione” di un determinato IBAN a cui stiamo inviando denaro. Con l’avanzata delle startup del Fintech che stanno introducendo nuovo metodi per trasferire denaro le banche tradizionali rischiano di perdere la fiducia dei loro clienti e di vederli migrare ad altri sistemi di pagamento.
Resta inteso che prima di tutto le aziende devono porre più attenzione alla sicurezza informatica, la truffa parte quasi sempre da un PC infetto da Virus che invia le credenziali della casella email al truffatore o a password di accesso alle email troppo semplici.
Ma come abbiamo detto all’inizio queste truffe sono estremamente redditizie per chi le porta avanti il quale può dotarsi di strumenti anche molto sofisticati ed evoluto (specie Virus 0-day ovvero non ancora riconosciuti dagli Antivirus) per questo è importante che i livelli di sicurezza siano molteplici e non demandati solamente all’utente del servizio di Home Banking. Inserire un sempre maggiore numero di password, codici, token e chiavette USB per autorizzare un pagamento non servirà a niente se l’utente è stato tratto in inganno a monte.
Per cercare di prevenire queste truffe valgono sempre i soliti consigli:
Per un racconto più dettagliato su questo genere di truffe consigliamo la lettura di questo articolo del La Stampa che racconta di casi reali in cui le banche si mettono addirittura di traverso per rendere più difficili le indagini.