Un messaggio sul cellulare, una cifra a quattro zeri e il classico numero da chiamare “per fermare tutto”. Sono questi gli elementi con cui si attiva una delle frodi più diffuse del momento, quella che usa il marchio Nexi per spingere chi la riceve a fornire spontaneamente i codici della propria carta di pagamento.
La struttura del messaggio ingannevole
Il testo ricalca sempre lo stesso copione: avvisa che è stato autorizzato un acquisto, magari una spesa online o la prenotazione di una struttura ricettiva, per un importo che oscilla tra centinaia ed alcune migliaia di euro. Alla fine del messaggio spunta un recapito telefonico da contattare nel caso l’operazione non sia stata fatta dal proprietario della carta. Nexi, tramite il proprio portale, definisce questo copione come uno degli schemi più segnalati e lo inserisce apertamente tra le modalità di raggiro diffuse via SMS, accanto a phishing, vishing, spoofing e SIM swap. Chiamando il numero riportato, si viene messi in contatto con un sedicente operatore, talvolta una persona reale, talvolta un sistema automatico che ne imita la voce, il quale richiede di confermare i dati della carta, il PIN o codici utili a “bloccare” il pagamento fasullo. In una versione ancora più sofisticata, alla vittima viene chiesto di installare un’applicazione non ufficiale ed avvicinare la carta fisica al telefono per una presunta modifica del codice segreto, un espediente che consente ai malintenzionati di far passare un pagamento reale senza che il titolare se ne accorga. Anche questa variante compare tra gli alert antifrode diffusi da Nexi.
Il motivo del successo: si chiama smishing
Questa tecnica prende il nome di smishing, fusione tra SMS e phishing: cambia il mezzo rispetto alla tradizionale email fraudolenta, ma la finalità resta la stessa, ovvero indurre con l’inganno la vittima a compiere un’azione. La Polizia Postale ha ricostruito le dinamiche di diversi episodi analizzati dal Centro Operativo per la Sicurezza Cibernetica, sottolineando come i messaggi arrivino spesso da numeri che, sul display dello smartphone, sembrano proseguire una conversazione già esistente con la banca o con l’ente reale. La cifra indicata non è scelta a caso: deve essere abbastanza alta da provocare allarme, ma non così elevata da apparire poco credibile.
Come riconoscere l’SMS autentico da quello fraudolento
Nexi fornisce alcuni parametri utili per distinguere una comunicazione genuina. L’azienda non chiede mai, né tramite SMS né per telefono, di comunicare PIN, Key6 o codici OTP, e non include nei propri messaggi collegamenti verso pagine estranee al dominio nexi.it o a quello della propria banca. Qualsiasi link va verificato senza cliccarci sopra, controllando che porti realmente al sito ufficiale (nexi.it). Il numero da contattare in caso di dubbio, ricorda la società, è esclusivamente quello indicato sul sito ufficiale o stampato sul retro della carta, mai quello riportato nel messaggio sospetto.
Cosa fare quando si riceve davvero un SMS del genere
Il primo passo, elementare ma spesso trascurato, è evitare di richiamare il numero presente nell’SMS. Se si sospetta di aver già comunicato dati riservati, Nexi mette a disposizione due canali: bloccare immediatamente la carta tramite l’app Nexi Pay oppure dall’area riservata del sito, oppure contattare il Servizio Blocchi al numero verde 800.15.16.16. Lo stesso sito raccoglie le segnalazioni di SMS ed email sospette all’indirizzo segnalazioni.phishing@nexigroup.com, un canale prezioso per monitorare le campagne fraudolente in corso anche da parte di chi non è caduto nel tranello. Resta infine la possibilità della denuncia formale: la Polizia Postale mette a disposizione il portale del Commissariato di P.S. Online per segnalare i tentativi di truffa informatica, un’azione che in molti casi ha permesso di bloccare le somme sui conti dei destinatari prima che venissero prelevate.
