Amazon è il sito di ecommerce più famoso al mondo, e anche in Italia ci sono milioni di clienti. La qualità del servizio, la garanzia e i prezzi convenienti hanno creato un meccanismo basato sulla fiducia, e come spesso accade i truffatori sono pronti ad abusarne.
Un nostro lettore ci ha segnalato alcuni strani annunci relativi a monitor gaming piuttosto costosi, in particolare l'Acer Predator Z35, l'Acer Predator X34A e l'Asus ROG PG348. In tutti i casi il nostro lettore ha trovato offerte davvero molto vantaggiose, con prezzi inferiori del 50% rispetto a tutte le altre. Un'esca perfetta per un consumatore che è sempre alla ricerca del maggior risparmio, ma quando lo sconto è sproporzionato dovrebbe sempre scattare un campanello di allarme. A maggior ragione se il venditore non è Amazon. A partire da questa segnalazione, abbiamo voluto approfondire la questione.
Gli annunci in questione infatti sono quelli del cosiddetto Amazon Marketplace. Tramite questo sistema Amazon ospita un venditore esterno e gli fa da vetrina, in cambio di una commissione. Nella maggior parte dei casi tutto funziona, magari con tempi di spedizione un po' più lunghi, ma ci sono anche dei rischi.
I prodotti del Marketplace sono quelli sotto a cui vediamo la frase "Venduto e spedito da XYZ" invece che "Venduto e spedito da Amazon". Esiste anche una forma ibrida: se vedete "Venduto da XYZ e spedito da Amazon", il venditore si appoggia alla logistica di Amazon, e la transazione è più sicura.
Nel caso specifico G., il nostro lettore, ha notato un'altra stranezza, oltre al prezzo molto basso. Il prodotto risultava non disponibile, e veniva richiesto di mandare una mail a un certo indirizzo di posta. Un indirizzo scritto in modo tale che il controllo automatico non lo riconosca (vedi immagine), qualcosa simile a indirizzo at gmail com. Arriva anche, se richiesto, un messaggio con ulteriori spiegazioni in inglese:
I will try to explain in this email to all terms and conditions
The price for Acer predator monitor is 500 euro, shipping included with the product has been used only for advertising purposes, and the price is so low the product is able to the latest NEW 24-month Italian collateral, includes box, instructions, all. I send you the bill. If you buy my goods to send me your information (name, address, telephone number) eg delivery. After I will get in touch with Amazon to process your order. The packet arrives at your address in maximum (3 days with 'DHL).
Return policy is full refund in 21 days
Al cliente si chiede di scrivere a quell'indirizzo per ottenere informazioni. Il truffatore a quel punto risponde al cliente di mandare i dati, poi sarà lui a creare l'ordine e Amazon invierà una mail di conferma. A questo punto il falso ordine si può completare, ma non si riceverà mai la merce in cambio. La vittima principale è Amazon, visto che quasi certamente il cliente sfrutterà le condizioni di garanzia per farsi restituire il denaro.
È possibile però che la mail rimandi a una pagina artefatta per sembrare quella di Amazon. In tal caso, se si completa il pagamento il denarò sarà irrimediabilmente perso.
"Io stesso mi sono visto annullare un ordine di ieri, comprato presso [...], o in realtà da un negozio Amazon che ricalcava per filo e per segno lo store Amazon della vera [...]. E il tutto sotto i baffi di Amazon", ci ha scritto G, aggiungendo che:
"Dopo la mia segnalazione ad Amazon, sono spariti diversi negozi, ma stasera hanno dato il meglio di sé ed hanno riaperto un nuovo negozio, tedesco, che propone l'Acer X34A a 884 euro, anche questa volta nuovo il prodotto e nuovo il venditore".
A quel punto G. ha fatto un po' di indagini in proprio, scoprendo che il negozio corrisponde effettivamente a un distributore tedesco di caldaie, che per qualche ora ha avuto in lista anche uno dei monitor in oggetto. È possibile che questo venditore, apparentemente immacolato, sia un vero truffatore?
Quasi certamente no. Abbiamo infatti appurato che spesso e volentieri i venditori su Amazon Marketplace sono anch'essi delle vittime: qualcuno ruba loro di dati di accesso e pubblica annunci truffaldini. A rimetterci è il compratore, che perde denaro, ma ci sono buone probabilità che cerchi di rifarsi sull'ignaro venditore - che avrà una bella gatta da pelare.
A confermare tale ipotesi abbiamo la mail di un venditore di altissimo profilo, di cui tuteleremo l'identità. Ecco che cosa ha scritto di recente:
Caro compratore
Il nostro account Amazon è stato violato venerdì notte. Qualcuno ha caricato circa 50.000 annunci falsi, nel tentativo di ingannare i nostri clienti. Stiamo lavorando con Amazon per risolvere tutti i problemi causati da questo attacco. PER FAVORE NON FARE ALCUN PAGAMENTO! Qualcuno sta cercando di derubarti!
Ci scusiamo per ogni inconveniente causato.
Un ulteriore conferma giunge dal collega Giancarlo Calzetta di Security Info, che ci ha spiegato come attacchi di questo genere ai venditori Amazon, ma anche di eBay e altri portali simili, siano più o meno all'ordine del giorno. Le aziende coinvolte sono costantemente al lavoro per tamponare il problema, a volte facendo un ottimo lavoro, e altre con risultati deludenti. Amazon Marketplace in ogni caso non è un luogo da temere per definizione, sempre che si faccia un minimo di attenzione. Dovrebbe bastare il buon senso, ma ecco cosa ci ha scritto Amazon:
ll Marketplace di Amazon.it è, di base, un luogo sicuro e affidabile per effettuare acquisti online. I pagamenti all'interno di Amazon.it e degli altri siti Amazon sono l'unica forma di pagamento riconosciuta e autorizzata per i prodotti venduti da venditori terzi su Amazon.it. I clienti che acquistano sul Marketplace di Amazon.it possono beneficiare della Garanzia dalla A alla Z; questo rimedio non trova tuttavia applicazione in caso di pagamenti effettuati fuori dal sito Amazon.it.
Invitiamo i clienti a non effettuare mai pagamenti per prodotti acquistati sul Marketplace al di fuori del sito Amazon.it e, per la sicurezza dei nostri clienti, tutte le comunicazioni relative ai prodotti Marketplace tra venditori e acquirenti devono svolgersi solamente attraverso il sito Amazon.it. Invitiamo inoltre i clienti a segnalarci ogni caso in cui un venditore richieda un pagamento con un qualsiasi altro metodo.
Il metodo del codice EAN
Abbiamo detto che un venditore del marketplace Amazon si riconosce guardando sotto al nome del prodotto. Se è "Venduto da XYZ" e non da Amazon, si tratta di un annuncio Marketplace. La parte "Spedito da" può essere diversa: alcuni pagano Amazon per incaricarsi della logistica, altri invece se ne occupano direttamente.
Nel primo caso c'è qualche sicurezza in più: Amazon per esempio non vi dirà che di un prodotto sono disponibili 10 esemplari quando in verità non ce ne sono. Un venditore esterno può fare più o meno quello che gli pare: un truffatore darà come disponibile un prodotto incredibilmente economico pur di farsi pagare e poi sparire.
Esiste poi un altro trucco potenzialmente pericoloso, anche se non direttamente per il consumatore. Ne abbiamo parlato con un vendor di prodotti informatici, vale a dire qualcuno che crea i suoi prodotti (PC assemblati in questo caso) e li vende ad Amazon con il proprio marchio. A questo punto l'azienda li mette in catalogo, avendoli già nei propri magazzini (o in arrivo). Il venditore crea e gestisce le relative inserzioni.
Per diventare vendor su Amazon bisogna affrontare una procedura burocratica molto rigida, con controlli molto dettagliati. Noi di Tom's Hardware ci abbiamo provato, insabbiandoci in un mare di richieste che non abbiamo potuto completare perché siamo parte di una multinazionale. Questo aiuta a rendere più sicuri e affidabili i prodotti venduti e spediti da Amazon.
Quando un vendor inserisce un nuovo prodotto lo associa a uno specifico marchio che li rende riconoscibile; sotto al nome troviamo "di XXX". Ognuno è "venduto e spedito da Amazon". È un sistema intrinsecamente più sicuro per l'acquirente, se non altro perché si può contare sulla Garanzia dalla A alla Z di Amazon, che garantisce sempre il rimborso. Le transazioni in questo caso restano all'interno di Amazon.
Qui il possibile inganno è più sottile, come ci ha spiegato il venditore. Tutto dipende da uno speciale codice che identifica i prodotti e che si chiama EAN. Un venditore che voglia caricare un nuovo prodotto deve comprare uno di questi codici e associarlo alla sua offerta. E a questo punto qualcuno se ne può approfittare.
Un codice EAN identifica univocamente un certo prodotto, e aiuta anche a creare più velocemente un annuncio. Se devo vendere la tazza di Pincopallo e so che già esiste (sono un altro distributore) non devo far altro che inserire il corrispondente codice EAN, e il sistema di Amazon recupera la relativa inserzione. Non dovrò far altro che inserire i miei dati e il prezzo. È un sistema del tutto onesto, in teoria.
Se inserisco un prezzo inferiore a quello generale, posso essere ragionevolmente sicuro che arriveranno dei compratori. Anche perché Amazon non solo me lo lascia fare ma lo renderà più visibile degli altri, proprio perché costa meno.
E se il prodotto non ce l'ho? Posso comunque incassare, e poi il cliente che non riceve la merce si rifarà su Amazon usando la citata Garanzia dalla A alla Z. L'azienda non ci ha svelato quanto le costano questi imbrogli, ma è lecito supporre che si tratti di una cifra sostanziosa. Il venditore originale, ci ha spiegato il nostro contatto, rischia però di veder danneggiata la propria reputazione: nel nostro esempio, ci sono buona possibilità che Pincopallo si vedà accusato di essere lui il truffatore.
Gli annunci di Amazon infatti non risultano molto chiari su chi sia il venditore e chi il produttore. Se cerchiamo iPhone vedremo che è "di Apple", anche se il venditore è quasi certamente qualcun altro. Per questo il nostro vendor ci ha spiegato che, insieme ad alcuni partner, vorrebbe chiedere ad Amazon di bloccare i suoi codici EAN in modo tale che nessuno li possa usare per creare annunci falsi.
Come evitare di cadere vittima di una truffa su Amazon? Le contromisure non sono difficili, e in generale basta praticare un po' di prudenza.
- Diffidare di prezzi troppo bassi
- Un annuncio che prevede una forma di contatto esterna non è autorizzato da Amazon
- Se dovete contattare il venditore, usate esclusivamente il sistema interno ad Amazon.
- Controllate sempre nella barra degli indirizzi di essere su amazon.it (o de, uk, es o altro).
- In caso di dubbi, non comprate nulla
- Su Amazon si può pagare solo con carte di credito. Se vi viene proposto un metodo diverso, non siete su Amazon.
- Segnalare ad Amazon gli annunci sospetti.
Mentre scriviamo G. deve ancora ricevere un nuovo feedback da Amazon, ma ci ha spiegato che lo stesso schema si ritrova in UK e Germania. Tom's Hardware ha verificato: abbiamo trovato altri annunci simili sempre in riferimento a prodotti tecnologici di fascia alta proposti a prezzi da affare, ma a volte non tanto bassi da suscitare sospetti. Abbiamo trovato anche un post su Facebook con tante persone che hanno vissuto la stessa esperienza.
Va detto che Amazon lavora piuttosto bene su questo fronte, almeno per quanto riguarda i venditori associati, quelli che le vendono i prodotti in anticipo. In questo caso si accorge delle inserzioni insolite molto in fretta, e riesce a intervenire in tempi relativamente brevi - ma non sempre.
La situazione del Marketplace è un po' meno controllata invece. Da quanto ci hanno detto le nostre fonti, Amazon non controllerebbe nemmeno che esista la partita IVA di un venditore. Creare un account è piuttosto semplice, così come lo è mettere in atto il trucco del codice EAN.
Questo non significa che il marketplace di Amazon sia un luogo pericoloso in assoluto, ma di certo bisogna fare più attenzione. Così come dovrebbero farla quei venditori che si sono visti violare l'account, come abbiamo visto nella mail che avete letto sopra. Tant'è, Amazon da parte sua non offre nemmeno l'autenticazione in 2 fattori, né notifiche di accessi sospetti; sono strumenti di sicurezza basilari la cui mancanza stona su un servizio di questa portata.
Tom's Hardware ha richiesto ulteriori dichiarazioni ad Amazon Italia, ma nel momento in cui pubblichiamo questo articolo non abbiamo ancora ricevuto risposta.