Il settore bancario britannico sta affrontando un'ondata crescente di truffe digitali particolarmente sofisticate che sfruttano le vulnerabilità dei portafogli elettronici come Apple Pay e Google Pay. Le istituzioni finanziarie segnalano un aumento esponenziale dei tentativi di frode attraverso una tecnica che combina ingegneria sociale e tecnologia mobile, trasformando strumenti pensati per la comodità degli utenti in vettori di attacco per svuotare conti correnti in pochi minuti.
Il meccanismo della truffa si basa su una catena di attacchi che inizia settimane prima della telefonata finale. I criminali raccolgono inizialmente dati personali e bancari attraverso campagne di phishing mirate: messaggi che promettono sussidi governativi o offerte commerciali aggressive sui social media. Una volta ottenute le credenziali, attendono abbastanza tempo perché la vittima dimentichi l'episodio, poi colpiscono con una chiamata che simula perfettamente il servizio clienti della banca.
La chiave tecnologica della truffa risiede nell'aggiunta del metodo di pagamento della vittima a un portafoglio digitale controllato dai criminali. Danai Antoniou, responsabile scientifica di Gradient Labs, azienda specializzata in intelligenza artificiale per servizi finanziari, spiega che l'approccio appare innocuo perché non viene richiesto alcun trasferimento diretto di denaro. Durante la chiamata fraudolenta, i truffatori forniscono dettagli personali autentici per costruire credibilità, poi inventano transazioni sospette che la vittima naturalmente non riconosce.
A quel punto scatta la fase critica: il criminale comunica di aver bloccato i pagamenti fraudolenti ma dichiara necessario "mettere in sicurezza" l'account. Viene quindi inviata una notifica di autenticazione completamente legittima, generata dai sistemi della banca quando si aggiunge una carta a Apple Pay o Google Pay su un nuovo dispositivo. La vittima, convinta di proteggere il proprio denaro, approva la richiesta o comunica il codice ricevuto via SMS o app bancaria.
.jpg)
Una volta ottenuto l'accesso al portafoglio digitale, i truffatori agiscono con velocità estrema. Le transazioni si concentrano su rivenditori di elettronica e moda di fascia alta: smartphone costosi e abbigliamento griffato vengono acquistati in rapida successione per essere immediatamente rivenduti sul mercato secondario con perdite minime durante il processo di riciclaggio del denaro. La scelta di questi merchant ad alto valore non è casuale ma strategica per massimizzare il profitto prima che la vittima si accorga dello svuotamento del conto.
Santander ha confermato che la frode tramite portafoglio digitale rappresenta la seconda causa principale di perdite da truffa con carta nel 2024, mentre HSBC ha registrato un incremento significativo negli ultimi 18 mesi. UK Finance, l'organismo di rappresentanza del settore bancario, attribuisce l'impennata dei tentativi proprio ai miglioramenti dei sistemi di sicurezza: i criminali, trovando maggiore resistenza nelle tecniche tradizionali, moltiplicano gli attacchi per compensare il tasso di successo ridotto.
La componente psicologica risulta determinante quanto quella tecnologica. Antoniou sottolinea che le vittime descrivono uno stato di panico e pressione durante la chiamata, con l'interlocutore che insiste sull'urgenza di proteggere il denaro da un presunto attacco in corso. In questa condizione emotiva alterata, approvare una notifica appare l'azione responsabile, quando in realtà equivale a consegnare le chiavi del proprio conto. I truffatori anticipano persino gli avvisi di sicurezza standard che accompagnano le notifiche, presentandoli come messaggi di routine per neutralizzare qualsiasi campanello d'allarme.
Le contromisure tecnologiche stanno evolvendo rapidamente. HSBC ha introdotto nuove misure di sicurezza specifiche contro questo tipo di frode e annuncia ulteriori implementazioni per il 2025. Nationwide raccomanda particolare attenzione al contesto d'uso dei codici monouso, mentre UK Finance suggerisce di attivare le notifiche in tempo reale nell'app bancaria per rilevare immediatamente transazioni sospette.
La prevenzione si basa su un principio fondamentale che contradice l'esperienza della chiamata fraudolenta: le banche non hanno bisogno dell'aiuto del cliente per proteggere un account, disponendo di sistemi automatici per bloccare e congelare conti quando necessario. Gli esperti raccomandano di non fidarsi mai di chiamate in arrivo che dichiarano di provenire dalla banca, a meno che non sia stato il cliente stesso a programmare il contatto. In caso di dubbio, la procedura corretta prevede di chiudere la comunicazione e richiamare autonomamente utilizzando il numero riportato sul sito ufficiale o sul retro della carta fisica, mai quello fornito dal chiamante.
Apple ha chiarito di non essere responsabile dell'approvazione delle carte aggiunte ai portafogli digitali, ma di fornire alle banche informazioni utilizzabili per contrastare le frodi. Google non ha risposto alle richieste di commento. Il quadro tecnico evidenzia come la sicurezza dei sistemi di pagamento mobile dipenda dall'integrazione tra protocolli tecnologici e consapevolezza degli utenti, con il fattore umano che rimane l'anello più vulnerabile della catena di sicurezza nonostante i progressi nell'autenticazione multifattore e nei sistemi di rilevamento delle anomalie basati su intelligenza artificiale.
