Il settore bancario britannico sta affrontando un’ondata crescente di truffe digitali particolarmente sofisticate che sfruttano le vulnerabilità dei portafogli elettronici come Apple Pay e Google Pay. Le istituzioni finanziarie segnalano un aumento esponenziale dei tentativi di frode attraverso una tecnica che combina ingegneria sociale e tecnologia mobile, trasformando strumenti pensati per la comodità degli utenti in vettori di attacco capaci di svuotare conti correnti in pochi minuti. Un fenomeno che si sta diffondendo anche in Italia, dove i carabinieri hanno recentemente fermato una donna con strumenti sospetti per il cosiddetto pickpocketing 2.0. Il meccanismo della truffa si basa su una catena di attacchi che inizia settimane prima della telefonata finale. I criminali raccolgono inizialmente dati personali e bancari attraverso campagne di phishing mirate: messaggi che promettono sussidi governativi, offerte commerciali aggressive sui social media, finte comunicazioni da enti credibili. Una volta ottenute le credenziali, attendono abbastanza tempo perché la vittima dimentichi l’episodio, poi colpiscono con una chiamata che simula perfettamente il servizio clienti della banca.
La chiave tecnologica della truffa risiede nell’aggiunta del metodo di pagamento della vittima a un portafoglio digitale controllato dai criminali. Danai Antoniou, responsabile scientifica di Gradient Labs, azienda specializzata in intelligenza artificiale per servizi finanziari, spiega che l’approccio appare innocuo perché non viene richiesto alcun trasferimento diretto di denaro. Durante la chiamata fraudolenta, i truffatori forniscono dettagli personali autentici per costruire credibilità, poi inventano transazioni sospette che la vittima naturalmente non riconosce. A quel punto scatta la fase critica: il criminale comunica di aver bloccato i pagamenti fraudolenti ma dichiara necessario mettere in sicurezza l’account. Viene quindi inviata una notifica di autenticazione completamente legittima, generata dai sistemi della banca quando si aggiunge una carta a Apple Pay o Google Pay su un nuovo dispositivo. La vittima, convinta di proteggere il proprio denaro, approva la richiesta o comunica il codice ricevuto via SMS o app bancaria. La notifica che il cliente riceve è del tutto autentica, generata dalla banca: il problema è che sta autorizzando il proprio account su un dispositivo controllato dai truffatori.
Una volta ottenuto l’accesso al portafoglio digitale, i truffatori agiscono con velocità estrema. Le transazioni si concentrano su rivenditori di elettronica e moda di fascia alta: smartphone costosi e abbigliamento griffato vengono acquistati in rapida successione per essere immediatamente rivenduti sul mercato secondario con perdite minime durante il processo di riciclaggio del denaro. La scelta di questi merchant ad alto valore non è casuale ma strategica per massimizzare il profitto prima che la vittima si accorga dello svuotamento del conto. Santander ha confermato che la frode tramite portafoglio digitale rappresenta la seconda causa principale di perdite da truffa con carta nel 2024, mentre HSBC ha registrato un incremento significativo negli ultimi 18 mesi. UK Finance, l’organismo di rappresentanza del settore bancario britannico, attribuisce l’impennata dei tentativi proprio ai miglioramenti dei sistemi di sicurezza: i criminali, trovando maggiore resistenza nelle tecniche tradizionali, moltiplicano gli attacchi per compensare il tasso di successo ridotto.
La componente psicologica risulta determinante quanto quella tecnologica. Antoniou sottolinea che le vittime descrivono uno stato di panico e pressione durante la chiamata, con l’interlocutore che insiste sull’urgenza di proteggere il denaro da un presunto attacco in corso. In questa condizione emotiva alterata, approvare una notifica appare l’azione responsabile, quando in realtà equivale a consegnare le chiavi del proprio conto. I truffatori anticipano persino gli avvisi di sicurezza standard che accompagnano le notifiche, presentandoli come messaggi di routine per neutralizzare qualsiasi campanello d’allarme. Ma la minaccia non arriva solo dalle telefonate. In Italia i carabinieri parlano di pickpocketing 2.0, un fenomeno diverso ma collegato. A Sorrento è stata fermata una donna peruviana di 36 anni che aveva nella borsa un pos mobile contactless, verosimilmente utilizzato per rubare denaro dai conti correnti. La donna aveva tra i suoi precedenti un furto effettuato a una turista a Roma con un importo di 9mila euro. Il meccanismo è apparentemente più semplice ma altrettanto insidioso: con un pos portatile, i ladri danno vita a transazioni avvicinandosi semplicemente alle carte contactless nelle borse o nelle tasche, senza che la vittima debba tirare fuori nulla.
Le carte bancarie dotate di tecnologia NFC (Near Field Communication) consentono infatti pagamenti rapidi senza contatto per piccoli importi. È proprio questa funzione che i truffatori potrebbero sfruttare per avvicinare un pos modificato a ignari passanti, simulando una transazione. Non è ancora completamente chiaro come il dispositivo venga modificato per prelevare denaro in modo illecito: è stato alterato in profondità da un esperto informatico, oppure funziona grazie a una semplice app non ufficiale installata su uno smartphone. Il terminale, collegato a un dispositivo mobile con un’app dedicata, sarebbe in grado di attivare pagamenti contactless senza che l’utente digiti un PIN o autorizzi l’operazione. Il furto con il pos pirata colpisce soprattutto le carte americane, più vulnerabili all’uso contactless senza codice. A livello internazionale, i casi simili sono rari. Uno dei pochi episodi documentati proviene dal Canada, dove una banda criminale era riuscita a farsi versare rimborsi fasulli usando terminali modificati. In quel contesto, però, le vittime erano gli esercenti. Il caso italiano, se confermato in tutti i suoi aspetti tecnici, rappresenterebbe un’evoluzione della truffa verso il consumatore finale.
Le contromisure tecnologiche stanno evolvendo rapidamente. HSBC ha introdotto nuove misure di sicurezza specifiche contro questo tipo di frode e annuncia ulteriori implementazioni per il 2025. Nationwide raccomanda particolare attenzione al contesto d’uso dei codici monouso, mentre UK Finance suggerisce di attivare le notifiche in tempo reale nell’app bancaria per rilevare immediatamente transazioni sospette. Per proteggersi dai furti con pos pirata, gli esperti sconsigliano di affidarsi ai portafogli anti-NFC venduti online. Secondo uno studio italiano pubblicato nel 2023, sono accessori che non garantiscono una efficace barriera contro le letture indesiderate. Una soluzione più idonea è tenere nel portafoglio più carte sovrapposte o documenti plastificati, in modo tale da creare interferenze che ostacolano il segnale. Sarebbe meglio attivare notifiche in tempo reale per ogni pagamento e controllare costantemente i movimenti bancari. Nell’eventualità di transazioni sospette, il consiglio è contattare immediatamente la banca e bloccare le carte.
Un suggerimento ancora più efficace arriva dall’informatico Jacopo Jannone: smettere di usare le carte fisiche e affidarsi invece ai pagamenti tramite smartphone. Sistemi come Google Wallet su Android o Apple Wallet su iPhone utilizzano protocolli di sicurezza avanzati. I dati trasmessi da uno smartphone a un pos durante una transazione non sono quelli reali della carta: anche se il dispositivo fosse hackerato, i dati sottratti non potrebbero essere utilizzati. Inoltre, quando si paga con il telefono non viene richiesto il PIN della carta, che quindi non è possibile intercettare. La prevenzione dalle telefonate fraudolente si basa su un principio fondamentale che contradice l’esperienza della chiamata stessa: le banche non hanno bisogno dell’aiuto del cliente per proteggere un account, disponendo di sistemi automatici per bloccare e congelare conti quando necessario. Gli esperti raccomandano di non fidarsi mai di chiamate in arrivo che dichiarano di provenire dalla banca, a meno che non sia stato il cliente stesso a programmare il contatto. In caso di dubbio, la procedura corretta prevede di chiudere la comunicazione e richiamare autonomamente utilizzando il numero riportato sul sito ufficiale o sul retro della carta fisica, mai quello fornito dal chiamante.
Apple ha chiarito di non essere responsabile dell’approvazione delle carte aggiunte ai portafogli digitali, ma di fornire alle banche informazioni utilizzabili per contrastare le frodi. Google non ha risposto alle richieste di commento. Il quadro tecnico evidenzia come la sicurezza dei sistemi di pagamento mobile dipenda dall’integrazione tra protocolli tecnologici e consapevolezza degli utenti, con il fattore umano che rimane l’anello più vulnerabile della catena di sicurezza nonostante i progressi nell’autenticazione multifattore e nei sistemi di rilevamento delle anomalie basati su intelligenza artificiale.
