‘Smishing’, i consigli del Garante per la privacy

Occhio allo ‘smishing’ - o ‘phishing’ tramite ‘SMS’ -, una forma di truffa che sfrutta messaggi di testo e sistemi di messaggistica (compresi quelli delle piattaforme ‘social media’) per appropriarsi di dati personali a fini illeciti, come, ad esempio, per sottrarre denaro da conti correnti e carte di credito. A lanciare l’allarme è il Garante per la privacy, spigando perché lo ‘smishing’ può essere molto pericoloso e fornendo alcuni suggerimenti utili per imparare a riconoscere il fenomeno e a difendersi adeguatamente. La consapevolezza è la prima linea di difesa dei nostri dati personali, osserva il Garante. Ecco perché è utile capire come funziona in concreto lo ‘smishing’. I messaggi invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, per non rischiare danni (ad esempio, blocco di utenze, blocco della carta di credito o del conto) o sanzioni. I tuffatori inviano messaggi per chiedere, ad esempio, alle vittime di: cliccare un link che conduce ad un ‘form’ online in cui inserire dati personali, dati bancari o della carta di credito, ecc.. Il link da cliccare può anche essere utilizzato per installare sullo smartphone della vittima programmi malevoli capaci di carpire dati personali conservati sul dispositivo o addirittura in grado di accedere alle ‘app’ e ai programmi con cui si gestiscono Internet banking, carte di credito, ecc.; scaricare un allegato che può contenere programmi malevoli capaci di prendere il controllo dello smartphone o accedere ai dati in esso contenuti; rispondere ai messaggi ricevuti inviando dati personali (il codice fiscale, il PIN del bancomat o quello utilizzato per l’‘internet banking’, il numero della carta, il codice di sicurezza della carta, la password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.); chiamare un numero di telefono, dove poi un finto operatore o un sistema automatizzato chiedono di fornire informazioni di vario tipo, compresi dati bancari o della carta di credito. Gli autori dello ‘smishing’ fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso. Meglio diffidare, quindi, dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza, osserva il Garante. E, in questa ottica, ecco alcuni esempi di messaggi da valutare con particolare attenzione e cautela: una banca o un gestore di carte di credito o una società di recupero crediti che segnalano un ‘account’ compromesso, generici problemi tecnici o anomalie sul conto bancario o sulla carta di credito, da verificare urgentemente, ecc.; offerte di sconti straordinari su beni e servizi, o anche proposte di ricariche telefoniche da effettuare subito a costi incredibilmente vantaggiosi; fornitori di beni o servizi che segnalano bollette o rate non pagate da saldare con urgenza; pacchi, lettere o raccomandate da ritirare o che si ha difficoltà a consegnare, ecc.; amministrazioni pubbliche che segnalano la necessità di fornire dati, sanzioni da pagare (multe, cartelle esattoriali), anomalie da verificare, ecc.; piattaforme che offrono servizi di ‘social media’ o di messaggistica che segnalano una violazione dell’account personale e chiedono di fornire dati o compiere determinate azioni (cliccare link, compilare ‘form’, chiamare numeri o inviare messaggi, ecc.). Il ‘Garante’ fornisce anche consigli su come difendersi dai tentativi di truffa. Non comunicare mai dati e informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito a sconosciuti. In ogni caso, occorre ricordare che istituzioni e banche non richiedono di fornire dati personali tramite ‘SMS’ o messaggistica istantanea, specie se si tratta di informazioni come PIN, password, codici di autorizzazione, ecc., che, di solito, loro stessi invitano a mantenere strettamente riservate. In generale, poi, meglio non conservare le credenziali (password, PIN, codici) di dati bancari o della carta di credito sullo smartphone. In caso di intrusioni informatiche sul dispositivo (tramite malware, ad esempio), questi dati potrebbero infatti essere facilmente sottratti. (Comunicato del 14 aprile 2023 del Garante per la protezione dei dati personali)