È capitato a tutti e forse, con l’arrivo delle festività natalizie, anche più volte nel giro di pochi giorni. Abbiamo già parlato della truffa dei finti pacchi e del phishing di Natale, ma nel calderone – stavolta – ci finiscono pure attività lecite, o meglio: non perseguibili, che non rappresentano sicuramente un reato, ma una scocciatura, di certo, sì. Partiamo dall’inizio: come entrano in possesso, i truffatori, dei nostri dati? Tolto il caso di consenso informato, che corrisponde all’espressa concessione dell’uso dei nostri dati, data consapevolmente barrando la casella delle varie informative sulla privacy di contratti e altri documenti che in passato possiamo aver firmato, in tutti gli altri casi, i nostri dati sono stati acquistati o ceduti in cambio di altra merce, da dei truffatori a pieno titolo. A volte alla luce del sole, violando le leggi sulla privacy, in barba al famoso “registro delle opposizioni”, altre volte sfruttando i vantaggi del “dark web“. Questa parte di Internet è un sottoinsieme della rete mondiale, ma non è indicizzata dai motori di ricerca e vi si accede solo conoscendo a priori e direttamente gli indirizzi da digitare. In questo mondo e più facile mantenere l’anonimato e, per questo motivo, il dark web è molto apprezzato da chi naviga alla ricerca di mezzi illeciti per guadagnare denaro.
Truffe di Natale: lo spaccio dei database sul dark web
Nel dark web vengono spacciati interi database di dati, catalogati in base ai riscontri che si hanno degli stessi. Ad esempio: un pacchetto “verificato” di dati ha un valore maggiore sul mercato, perché qualcuno ha speso del tempo nella verifica. Ad esempio è stato inviato un messaggio di posta elettronica al quale l’ignaro destinatario ha replicato, è stata fatta una chiamata al numero di cellulare, al quale qualcuno ha risposto, è stato tentato l’accesso ad un sito con le credenziali disponibili e quel sito ha garantito l’accesso riconoscendo l’utente. Insomma, anche nel sottobosco delle attività digitali illecite, la qualità si paga.
Partendo da questi dati, i truffatori entrano in contatto con le vittime, anche solo con un messaggio su WhatsApp. Ultimamente va di moda l’offerta di lavoro particolarmente allettante. Si riceve un testo simile: “Ciao, mi chiamo XXX e sono un reclutatore per XXX. Stiamo reclutando alcuni lavoratori della rete che hanno tempo libero. Questo lavoro non influenzerà il tuo normale lavoro e la tua vita e la retribuzione arriva fino a 100-400 euro al giorno”. Le parole possono variare, ma in genere il comun denominatore è: offerta economica sbalorditiva, requisiti pressoché nulli, linguaggio claudicante.
Truffe di Natale: come funziona il task scam
Questo tipo di truffa è chiamata “task scam” e prevede 4 fasi: adescamento, assegnazione dei compiti, apertura di un conto o di un portafoglio digitale che permette la ricezione di criptovalute o altre forme di moneta digitale, richiesta di pagamento in valuta corrente per “sbloccare” i guadagni. Il lavoro svolto è realmente utile ai truffatori. Spesso si tratta di singoli o perfino aziende che vendono servizi di “click a pagamento” che reclutano la manodopera in questo modo. Gli “stipendi” vengono pagati, quando davvero accade che qualcuno riesca ad arrivare alla soglia della riscossione del denaro, in monete virtuali. Questo meccanismo è utilizzato perché la vittima possa illudersi di ottenere guadagni facili, visualizzando le cifre che però non riuscirà mai a convertire in denaro reale. A volte la strategia passa per il meccanismo del “paga per essere pagato”. E le cifre tutto sommato esigue, in relazione a quanto si è guadagnato finora in monete virtuali, spingono le vittime a inviare denaro vero per sbloccare fantomatici bonifici dall’estero.
Taluni raffinati truffatori arrivano a replicare siti web di aziende note per far cadere nella trappola chi tenta una verifica preliminare prima di accettare l’impiego. Su Reddit, dove si possono passare ore a leggere le brutte esperienze capitate alle vittime, qualcuno racconta di gruppi di WhatsApp o Telegram con altri presunti dipendenti, generati dai finti datori di lavoro per simulare un team e ritardare il riconoscimento della frode.
Come è facile intuire, avere dei database selezionati, con numeri di persone anziane o fragili, fa la differenza. Recentissima è la truffa del presunto nipote/figlio in difficoltà, che invia un messaggio WhatsApp alla vittima, cercando di ottenere informazioni, password e addirittura l’invio di denaro. C’è la variante del “numero cambiato”, o quella dell’incidente, che inducono il parente in pena per le sorti del nipote/figlio a comporre i numeri suggeriti da quello che è in realtà il truffatore, il più delle volte numerazioni a valore aggiunto che fanno spendere denaro al malcapitato per pochi minuti di conversazione.
Truffe di Natale: l’assedio delle telefonate “mute”
Molto di moda, ultimamente, è anche il contatto che fa finta di aver sbagliato numero. C’è l’asiatica molto avvenente (le foto dei profili vengono fatte ad arte, in modo che possano incuriosire i malcapitati) che, dopo aver ricevuto la risposta della vittima, chiede scusa per l’errore, ma in maniera davvero troppo compita ed eccessivamente mortificata. Quindi parte con una conversazione volta a capire meglio quale possa essere il raggiro più facile da mettere in atto e più adatto al caso. Si va dal cosiddetto “love/romance scam” (far innamorare la vittima fingendo poi di aver bisogno di denaro), passando per la “sextortion” (ricattare la vittima dopo averla indotta a mettersi nuda in video), fino ad arrivare al classico “crypto scam“, termine molto generale che comprende una quantità gigantesca di truffe tutte diverse. Alcuni utenti segnalano un approccio diverso: chi sbaglia numero è qualcuno che chiede di una “guida turistica“. Molto comune soprattutto all’estero: “Hello, are you my tour guide?”. Altre volte si tratta di un finto errore di invio fattura (questa tecnica è usata anche via email, ma lo scopo è diverso perché mira ad infettare il computer della vittima con un virus informatico).
Da segnalare che questi truffatori – nel tempo – hanno capito un aspetto fondamentale per l’ottimizzazione dei tempi di adescamento delle vittime: non serve essere insistenti, non serve perseguitare le vittime. L’insistenza è molto sospetta. Molto meglio passare al prossimo destinatario, magari meno attento piuttosto che molestare qualcuno che inizia a farsi qualche domanda.
Truffe di Natale: cos’è il ping-call
Un altro sistema per spillare denaro in maniera molto più immediata è quella di registrare una numerazione a valore aggiunto ossia un numero di telefono che non corrisponde ai codici di identificazione geografica della zona dove ha origine la chiamata, ma che è soggetto ad una tariffa maggiorata rispetto alle chiamate di telefonia tradizionale. Si tratta di un’attività in genere lecita che serve, ad esempio, quando si vuole ottenere da un cliente una pagamento per un’assistenza tecnica particolarmente specializzata o per un’attività che è si esplica attraverso il telefono (consulenze di ogni tipo dove è la competenza di chi è dall’altra parte della cornetta a fornire il “valore aggiunto”). Una volta riusciti – con gli stratagemmi più disparati – a portare a compimento la registrazione di queste numerazioni, si procede con il cosiddetto “ping-call” ossia con la chiamata di un numero a caso, nella speranza che si venga richiamati. A volte, ad indurre le vittime all’azione è semplicemente la curiosità, a volte l’ansia, a volte l’attesa di una chiamata di lavoro o di un parente di cui non si ha il numero in rubrica. Quando viene portata a termine, questa truffa prende il nome di “wangiri“. È una tecnica molto datata, ma evidentemente ancora molto redditizia.
Pratiche aggressive ma il Garante Privacy ne avalla alcune
In mezzo a tutto questo mare di truffe e raggiri, c’è – purtroppo – anche quell’attività perfettamente legale e inattaccabile delle “telefonate mute” di riscontro. L’interesse a verificare se un’utenza è attiva è giustificata dai casi citati all’inizio, ma è abbastanza diffusa anche in altri frangenti. Al massimo, in questa eventualità, si può essere accusati di maleducazione, di stalking, se le chiamate sono ripetute, ma non c’è alcuna violazione di norma della privacy (che semmai è a monte di questa attività) o di altro.
Tra l’altro esiste addirittura il caso di “telefonata muta” da instradatore automatico e, anche qui, tutto è legale, c’è perfino l’avallo del Garante della Privacy che associa queste chiamate alle attività di un call-center. A spiegare bene la situazione è proprio la fonte ufficiale del sito del Garante che, sorpendentemente, non ritiene ci sia nulla da rilevare se un un call center, “per ottimizzare i tempi, utilizza sistemi automatizzati che generano più chiamate rispetto al numero degli operatori disponibili a gestirle, i quali, quindi, non possono parlare con l´utente (e la telefonata resta appunto “muta”) finché non si liberano dalle chiamate precedenti che il sistema ha instradato automaticamente”. Nessun paletto, nessun obbligo, nessun regolamento da rispettare, per loro.
