Phishing: i suggerimenti per proteggersi

Com’è noto, nell’ultimo anno si è registrato un sostanziale incremento di attacchi informatici, che si manifestano con tecniche sempre più sofisticate.

Il phishing costituisce una delle principali minacce in tal senso. È una tecnica illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda – username e password, codici di accesso (come il PIN del cellulare), numeri di conto corrente, dati del bancomat e della carta di credito – con l’intento di compiere operazioni fraudolente.

La truffa avviene di solito via e-mail, ma possono essere utilizzati anche sms, chat e social media. Il «ladro di identità» si presenta, in genere, come un soggetto autorevole (banca, gestore di carte di credito, ente pubblico, ecc.), che si avvale, peraltro, di imitazioni realistiche di loghi o addirittura di pagine web ufficiali, ed invita a fornire dati personali per risolvere particolari problemi tecnici con il conto bancario o con la carta di credito, per accettare cambiamenti contrattuali o offerte promozionali, per gestire la pratica per un rimborso fiscale o una cartella esattoriale, ecc..

In genere, i messaggi di phishing invitano a fornire direttamente i propri dati personali, oppure a cliccare un link che rimanda ad una pagina web dove è presente un form da compilare. I dati così carpiti possono poi essere utilizzati per fare acquisti a spese della vittima, prelevare denaro dal suo conto o addirittura per compiere attività illecite utilizzando il suo nome e le sue credenziali.

Come evitare di cadere nella trappola? Ecco alcuni suggerimenti:

• In generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e- mail, sms, social media o chat: quindi, meglio evitare di fornire dati personali, soprattutto di tipo bancario, attraverso tali canali;
• Se si ricevono messaggi sospetti, è bene non cliccare sui link in essi contenuti e non aprire eventuali allegati, che potrebbero contenere virus o programmi trojan horse capaci di prendere il controllo di pc e smartphone. Spesso dietro i nomi di siti apparentemente sicuri o le URL abbreviate che si trovano sui social media si nascondono link a contenuti non sicuri;
• Prestare sempre attenzione al mittente (che potrebbe avere un nome vistosamente strano o eccentrico) o al suo indirizzo di posta elettronica (che spesso appare un’evidente imitazione di quelli reali);
• Diffidare dei messaggi con toni intimidatori, che ad esempio contengono minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente;
• Installare e tenere aggiornato sul pc o sullo smartphone un programma antivirus che protegga anche dal phishing.

Ai sensi dell’art. 32 del GDPR, ogni organizzazione è tenuta a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, al fine di prevenire violazioni di dati personali che potrebbero compromettere i diritti e le libertà degli interessati, nonché gli interessi economici aziendali.

Il mancato adeguamento alle disposizioni del GDPR comporta sanzioni amministrative pecuniarie fino ad € 20.000.000 o pari al 4% del fatturato globale se superiore.