Anche se il fenomeno delle email false (phishing) sembra essere tenuto sotto controllo da banche e società di e-commerce (buona notizia), quello delle frodi online è diventato ormai un business internazionale manovrato dalle grandi società del crimine organizzato. La cattiva notizia, quindi, è che le truffe aumentano e usano software sempre più raffinato per rubare informazioni personali e clonare l'identità delle persone. Ci sono una buona e una cattiva notizia per tutti coloro che si preoccupano ogni volta che accendono il computer o leggono le mail. La buona notizia è che il phishing, la truffa con email false verso falsi siti, è in calo e che soprattutto la tecnologia usata dai criminali per questo tipo di truffe non funziona più così bene. La brutta notizia è che il crimine online, diventato globale e ipertecnologico, consente ai cybercriminali di raggiungere un giro d’affari che supera quello della droga. Una cifra da capogiro. Un fenomeno allarmante. E soprattutto in crescita esponenziale. Anche perché in Italia non c’è nessuna legge specifica (e nessuno ci sta lavorando su) contro questa criminalità informatica. Ma andiamo con ordine.

La buona notizia. Perché il fenomeno delle email false è in calo. Cosa fanno le banche e i siti di e-commerce.
In realtà ciò che sta diminuendo è il numero di truffe con le email false, quelle che invitano a collegarsi a un sito clone di un altro sito, appartenente a una banca, ad esempio e, attraverso il clone, sollecitano a fornire dati privati: come identificativo e password del conto corrente online, o il numero di carta di credito. La retromarcia del phishing ha alcune ragioni precise. Prima di tutto l'informazione costante: le banche, ad esempio, hanno sviluppato pagine di allerta, e poi manuali, e anche corsi e, in alcuni casi, perfino dei giochi anti-phishing, per far passare parola tra più persone sui pericoli delle finte mail. Ma non solo. Banche e siti d' e-commerce, tra quali PayPal ed eBay, i più colpiti dagli attacchi, hanno adottato misure nuove per proteggersi. Le banche hanno attivato sistemi che usano una password tradizionale ma associata a questa un'altra password di convalida che ha una vita brevissima e si usa una sola volta. Per ottenere la password monouso, detta anche “usa e getta” si usano diversi sistemi. Innanzitutto c'è il token, che è simile a un portachiavi ed è in grado di generare una volta premuto un tasto un codice numerico. Poi ci sono altri token quelli che generano la password da una chiavetta usb. E sistemi di ultima generazione che invece danno all’utente ogni volta una password dal cellulare via sms . Senza la password usa e getta non è possibile eseguire alcuna operazione finanziaria dal computer. Il token, il sistema più diffuso, è simile a una piccola calcolatrice e ad ogni clic calcola una password numerica da usare una volta sola. Oggi sono dotati di token i clienti di Intesa Sanpaolo e UniCredit Banca, ma anche molti correntisti di BCC e Banche Popolari come Popolare Pugliese e Popolare di Vicenza. Nell’e-commerce sono molto più attenti. PayPal ha adottato sistemi ancora più restrittivi dove l'utente deve autenticarsi fornendo in tempi brevi risposte a domande del tipo: "Qual è l'importo speso il 2 novembre dell'anno scorso come risulta dal tuo estratto conto cartaceo?". Altri siti di e-commerce non accettano pagamenti se non si indica anche il numero di cellulare a cui inviano un codice aggiuntivo da digitare online insieme all'identificativo e alla password principali. Altri ancora, richiedono di rispondere a domande personali (quale è il nome da nubile della madre, quello della prima insegnante, eccetera), preventivamente inserite nel profilo personale. Anche i browser con i quali si entra in rete, si sono dotati di antiphishing. Firefox, Safari 3.2, ma anche Internet Explorer 7 e Opera 9.5, hanno sistemi in grado di bloccare link fasulli, dove invece, ad esempio, di intesasanpaolo.com, l’indirizzo web di Intesa Sanpaolo, si legge www.intesa.ru, e si tratta di falso sito domiciliato in Russia. Grazie a Google e altri società come StopBadware che forniscono e aggiornano liste di indirizzi falsi, la protezione da phishing e malware viene affettuata dai browser anche confrontando i siti “buoni” da quelli “taroccati”. Se la protezione da phishing e malware è attiva sul pc del cliente, gli elenchi vengono scaricati e aggiornati automaticamente ogni 30 minuti. I dettagli tecnici sul funzionamento del protocollo safe-browsing sono inoltre disponibili pubblicamente. l’impegno dei browser contro il phishing è un elemento cruciale della lotta alla criminalità informatica: il 70% dell frodi avviene attraverso borwser e non bachi del sistema operativo. Tutta questa attenzione alla comunicazione del pericolo e alla difusione di nuove tecnologia è all’origine della buona notizia della riduzione del phishing. Ma, avvertono gli esperti, non si può ancora cantare vittoria.