Phishing bancario: come proteggere il tuo profilo di home banking

Il phishing è un pericolo sempre più diffuso che punta a rubare i tuoi dati di accesso a siti e servizi, e il phishing bancario è una minaccia particolarmente grave: in caso di successo, garantisce l'accesso al tuo home banking a terzi malintenzionati. Scopri le nostre 5 regole d'oro per riconoscerlo e difenderti. 

Il phishing è un tipo di truffa online che punta a rubare i tuoi dati (in particolare dati di accesso all’home banking o il numero della carta di credito) attraverso email, sms e siti fasulli. I truffatori che usano la tecnica del phishing non cercano di introdursi a forza nel tuo computer o smartphone; fingono di essere un’azienda affidabile, come la tua banca, le poste o un brand famoso, e cercano di convincerti a rivelare questi dati.

Secondo i dati più recenti del Clusit, l'Associazione italiana per la sicurezza informatica, nel 2020 il tipo di truffa online più diffuso in assoluto è stato proprio il phishing (classificato come "phishing e social engineering", ovvero l'insieme di tecniche usate dai malintenzionati per spingere gli utenti a rivelare i propri dati direttamente ai truffatori). Anche il precedente rapporto Clusit sul 2019 aveva evidenziato un aumento esponenziale (+81,9%) per questi crimini.

Sapere che cos’è il phishing e come riconoscerlo è fondamentale per difendersi, soprattutto quando la truffa punta a rubare il codice ID e la password del tuo account per il servizio di home banking.

Di seguito trovi alcuni consigli utili per riconoscere un tentativo di phishing del tuo internet banking. 

• Phishing: che cos'è e come funziona
• Home banking e phishing: come riconoscere un tentativo di furto delle tue credenziali bancarie
• Come difendersi dal phishing: 5 regole d’oro da seguire quando ricevi una mail sospetta
• Cosa fare se sei vittima di phishing bancario

1. Phishing: che cos’è e come funziona

Il significato di “phishing” deriva dall’inglese e significa pescare: l’email o l'sms falsi inviati dal truffatore sono “l’amo” usato per cercare di ingannarti. La truffa inizia sempre da un messaggio, spesso email o sms (chiamato anche "smishing", da "sms" + "phishing") ma a volte anche telefonico, che imita l’aspetto di un messaggio ufficiale della tua banca. 

Nel caso di phishing via email, i messaggi possono essere anche molto simili a quelle originali, imitando colori ufficiali della tua banca, aspetto grafico dei messaggi, logo ecc., e spesso cercano di spaventarti avvisando che il tuo account è stato violato, oppure che ci sono movimenti sospetti nel tuo conto: si tratta dell’amo. La mail di phishing ti invita a cliccare su un link per collegarsi all’internet banking e risolvere il problema. Inutile dire che il link non porta al tuo internet banking, ma a un sito creato ad arte per sembrare identico a quello originale: i dati inseriti finiranno nella mani del truffatore.

Anche nel caso di phishing via sms, o smishing, l'sms ricevuto ti chiede (spesso con urgenza) di toccare il link fornito per verificare, modificare o aggiornare dei dati personali.

Esiste poi il phishing telefonico, o "vishing", in cui un finto operatore oppure un messaggio pre-registrato ti chiede di fornire o confermare i dati del tuo account di home banking o della carta di credito.

2. Internet banking e phishing: come riconoscere un tentativo di truffa

Quando conosciamo il modus operandi di questa truffa, è più semplice riconoscerne i campanelli d’allarme. Nel caso del phishing bancario, il metodo più usato è quello della finta e-mail dalla tua banca. Nella maggior parte dei casi i messaggi possono sembrare perfino maldestri, ma non abbassare mai la guardia: fai attenzione a ogni tipo di messaggio che chiede di fornire o confermare i tuoi dati.

Ecco una lista di alcune caratteristiche tipiche di una mail di phishing bancario:

• chiede di comunicare o aggiornare urgentemente i propri dati di accesso (CiviBank non ti chiederà mai questi dati via mail: non fornirli);

• presenta errori di battitura o di grammatica;

• l’aspetto grafico cerca di imitare quello di mail ufficiali, ma presenta differenze nel logo o nella disposizione di testo e immagini;

• il mittente non ha un indirizzo ufficiale CiviBank (ovvero che termina in “@civibank.it”);

• l’oggetto della mail vuole sembrare una risposta a una tua mail (ovvero inizia con “Re:”), oppure è molto vago, poco comprensibile o in inglese;

• presenta un link a una pagina web che chiede di inserire i tuoi dati di accesso, spesso chiedendo dati in più rispetto al tuo codice ID e password (per esempio, il numero di telefono).

Se non sei sicuro su come riconoscere un link affidabile da uno sospetto oppure su come proteggere in modo efficace i tuoi dati di accesso all'home banking, puoi leggere la nostra guida Home banking sicuro: 10 consigli utili per la tua sicurezza online.

3. Come difendersi dal phishing: 5 regole d’oro da seguire quando ricevi una mail sospetta

Riconoscere una mail di phishing piena di strani errori di lingua o con un logo sbagliato non è troppo difficile, ma il phishing punta soprattutto sulle nostre emozioni (spaventandoci oppure ingolosendo con la promessa di un premio) o sulla nostra disattenzione. Ecco quindi 5 buone regole da seguire quando ricevi una richiesta sospetta:

• non fornire mai dati personali e/o di accesso via mail;

• se hai dei dubbi sulla provenienza di una mail con un link al tuo interne digita l’indirizzo della tua banca ed entra da lì nel tuo account per verificare se quanto comunicato sia vero;

• controlla la destinazione del link passandoci sopra il puntatore del mouse, senza cliccarci sopra;

• controlla sempre il mittente della mail e nel dubbio, rivolgiti alla tua filiale per verificare che la richiesta sia legittima;

• se viene chiesto direttamente di fornire dati personali, non rispondere e cancella la mail.

4. Cosa fare se sei vittima di phishing bancario

Nonostante tutte le precauzioni, basta un momento di disattenzione per commettere un errore. Se hai inavvertitamente fornito i tuoi dati attraverso un link sospetto, ci sono comunque delle azioni che puoi fare per proteggerti e correre ai ripari:

1. se hai fornito dati legati alla tua carta di debito o credito (numero della carta, data di scadenza e/o codice di autenticazione), richiedi immediatamente che siano bloccate. A questo link trovi i numeri di telefono da chiamare per bloccare le carte di pagamento CiviBank.

2. Se hai fornito i dati di accesso al tuo home banking (ID di accesso e password, ma anche numero di telefono e codice fiscale), cambia subito la password. Se usi la stessa password anche su altri siti, potresti doverla cambiare anche sui tuoi social o sulla tua casella e-mail. Nel dubbio, è sempre meglio modificare la password di entrambi.

3. Non cancellare la mail o l'sms che ti ha ingannato: ti servirà per il punto 4.

4. Contatta la nostra assistenza clienti e denuncia l'accaduto, allegando la mail di phishing alla tua segnalazione. In questa segnalazione puoi anche richiedere, se non l'hai già fatto, che il tuo conto corrente venga monitorato per qualunque movimento sospetto.

5. Denuncia l'accaduto alle autorità, sempre presentando la mail di phishing. 

Essere consapevoli di questi pericoli è fondamentale per proteggere i tuoi dati: quando conosci i trucchi usati dal phishing, è molto più difficile che un truffatore riesca a ingannarti.

Se pensi di aver ricevuto un file o una mail sospetta da qualcuno che si finge CiviBank, puoi segnalarlo alla nostra assistenza clienti.