«Tutti gli accorgimenti da seguire per evitare di essere defraudati»

Maurizio Masciopinto, lei è il primo dirigente della divisione investigativa della polizia postale. Che tipi di provvedimenti avete adottato per contrastare il fenomeno del phishing?
«Il nostro è un ruolo di coordinamento di tutte le attività investigative legate ai reati informatici commessi in Italia. Per l'invio massivo di spam non possiamo fare prevenzione, perché di regola i messaggi sono generati da siti stranieri. Ma oltre a trovare e punire i trasgressori, stiamo lavorando affinché gli indirizzari vengano compilati e custoditi con le dovute cautele».
Sono così vulnerabili?
«Non è la regola, ma spesso è l’utente stesso a dare il consenso per la cessione a terzi del proprio indirizzo senza rendersene conto. Succede ad esempio quando lo inserisce nel form di un sito poco affidabile e non si sofferma a leggere i termini e le condizioni d’uso. E poi è un fenomeno molto comune la compravendita degli elenchi: spesso chi raccoglie questi dati lo fa al solo fine di commercializzarli».
Dunque non c'è modo di arginare questa invasione di messaggi fraudolenti?
«La si può limitare, utilizzando filtri anti-spam e altri sistemi analoghi. Certo, occorre tener presente che non sono infallibili. Di messaggi indesiderati ne arrivano parecchi persino nella mia casella professionale, sul cui livello di sicurezza non credo possano esserci dubbi».
Quando il software fallisce, come si può distinguere una mail falsa da una vera?
«Ci sono dei piccoli accorgimenti da seguire. Le banche, per esempio, utilizzano sempre meccanismi di crittografia, cosa che invece nella pagine-clone non avviene. Basta guardare la barra del proprio browser e vedere se c’è un lucchettino in basso o se nell’indirizzo compare la dicitura “https” anziché “http”. E comunque di regola nessun ente chiede ai propri clienti di verificare i dati tramite e-mail».
Ma se si abbocca all'amo del phishing, c'è un modo per essere rimborsati?
«Le banche stanno prestando attenzione crescente al fenomeno e in alcuni casi mandano addirittura dei tecnici a casa dei correntisti per controllare i pc. È un modo per alimentare la cultura della sicurezza e stare vicini ai clienti, ma non si può pretendere che siano gli istituti di credito a pagare in caso di frode.

Se lei affida la sua auto a un parcheggiatore che poi si rivela essere un ladro, non va mica a bussare alla porta della casa automobilistica per essere risarcito, ma se la prende solo con la sua ingenuità. Lo stesso vale con il phishing».