Dopo essersi collegati ad Internet dalla postazione di un Internet Point effettuavano transazioni finanziarie e acquisti per migliaia di euro digitando i codici di carte di credito di ignari intestatari. E’ accaduto a Catania l’ennesimo caso di truffa ai danni di possessori di carte di credito: i due responsabili sono stati arrestati in flagranza di reato da un agente della polizia postale libero dal servizio. L’agente, dopo aver visto i due, noti agli investigatori, entrare nell’ Internet point, li ha seguiti e si e’ seduto ad una postazione vicina. Dopo essersi accorto di quello che stavano facendo l’ agente li ha bloccati e arrestati. La Polizia postale ha sequestrato il computer dell’internet point, alcune carte di credito e sei telefoni cellulari trovati in possesso dei due arrestati.

Il problema della truffa tramite carte di credito falsificate o codici di carte reperiti on line e’ ormai tristemente noto e cio’ che per la verita’ piu’ colpisce e’ la mancanza di rimedi efficaci nonostante l’attuale progresso tecnologico che, anzi sotto questo aspetto, sembra favorire piu’ il crimine che la giustizia.
Come e’ noto la carta di credito e’ fornita sul retro di una banda magnetica, cioe’ una striscia di materiale magnetizzabile. La banda e’ suddivisa in tre tracce: le prime due sono registrate in modo permanente e possono essere solo lette, la terza traccia si presenta meno sicura in quanto puo’ essere sia letta che scritta.
Anche se nelle transazioni on line la truffa presenta maggiori probabilita’ (mediante le tecniche di “sniffing” e’ possibile catturare dati durante le transazioni in Rete oppure direttamente dai database delle societa’ di e-commerce o delle banche), e’ opportuno ricordare che la truffa, spesso e volentieri, viene eseguita anche al di fuori di Internet.
I meccanismi piu’ diffusi sono i seguenti:
1. un dipendente infedele di un esercizio commerciale puo’ copiare il numero e la scadenza di una carta di credito di un cliente. Al di la’ della possibilita’ di utilizzare gli stessi dati on line, puo’ cederli ad un esperto di “skimming” (o puo’ esserlo egli stesso) che tramite un particolare strumento denominato “skimmer” collegato all’apparecchiatura ufficiale “succhia” i codici segreti (tale operazione puo’ anche essere eseguita contestualmente al momento dell’utilizzo della carta di credito). Successivamente viene eseguita la clonazione vera e propria con il trasferimento della banda magnetica acquisita dall’originale su carte scadute, smarrite o rubate che vengono cosi’ riprogrammate per essere tranquillamente utilizzate.

2. Altro sistema e’ il c.d. “boxing” cioe’ il furto delle carte inviate tramite posta insieme al codice di attivazione, o comunque la loro intercettazione al fine della clonazione.
3. Un’altra tecnica meno diffusa e’ il c.d. “trashing” che si fonda sulla ricerca degli scontrini di carte di credito.

Nel caso si verifichi la truffa ovviamente e’ necessario chiamare subito la banca o la societa’ che gestisce la carta per bloccarla. Ai fini del risarcimento bisogna distinguere:
1. nel caso di commercio elettronico o di contratti a distanza si applica l’art. 8 del d.lgs. n. 185 del 22 maggio 1999 il quale prevede che “l’Istituto di emissione della carta riaccrediti al consumatore i pagamenti dei quali dimostri l’eccedenza rispetto al prezzo pattuito ovvero l’uso fraudolento della propria carta di pagamento da parte del fornitore o di un terzo”. Ma tale disposizione lascia piuttosto perplessi, in quanto pur preoccupandosi di tutelare il consumatore nell’ipotesi in cui la sua carta di credito sia utilizzata fraudolentemente (come nel caso di chi, venuto a conoscenza del numero di una carta di credito altrui, utilizza tale numero per un suo acquisto fornendo dati personali di fantasia), prevedendo che gli istituti di emissione sono tenuti a riaccreditare al consumatore i pagamenti dei quali dimostri l’eccedenza rispetto al prezzo pattuito ovvero l’uso fraudolento della propria carta di pagamento da parte del fornitore o di un terzo, fatta salva l’applicazione dell’art.12 del decreto legge 3 maggio 1991, n.143 (il quale stabilisce le sanzioni per chi utilizza carte di credito non essendone titolare), finisce per “scaricare” sul solo fornitore le conseguenze di tale illecita attivita’ (salvo la responsabilita’ dell’utilizzatore), in quanto lo stesso non e’ tenuto a controllare la corrispondenza tra il numero fornito e l’effettivo titolare e d’altro canto se lo volesse fare si troverebbe di fronte, in Italia, ad una serie di ostacoli insormontabili (quali inevitabili perdite di guadagno, impossibilita’ pratiche, aumento dei tempi della transazione). In altri paesi, invece, la situazione e’ gia’ molto diversa, come negli Stati Uniti dove viene utilizzato il sistema AVS, Address Verification Service il quale consente di verificare la corrispondenza tra numero della carta di credito comunicato per effettuare una transazione on-line ed il nominativo fornito da colui il quale la effettua, prevedendo che l’indirizzo di consegna dei beni richiesti sia quello indicato sulla carta di credito.
2. Nel caso invece l’acquisto sia stato effettuato in un negozio reale e non virtuale, in genere, nel 99% dei casi si riesce ad ottenere il rimborso, anche se il titolare della carta clonata potrebbe essere chiamato a dimostrare in qualche modo di non essere stato lui a compiere l’acquisto (ed indubbiamente in tal caso si troverebbe di fronte ad una c.d. probatio diabolica).

Ad ogni modo e’ opportuno chiarire che il reato dell’uso indebito delle carte di credito e’ specificamente previsto dall’art. 12 della legge n. 197 del 5 luglio 1991 che ha convertito il D.L. n. 143/91 e prevede la reclusione da 1 a 5 anni ed una multa fino a 1550 euro.
Al fine di evitare spiacevoli sorprese si possono suggerire alcune precauzioni quali quella di controllare meticolosamente l’estratto conto della carta di credito, poiche’ spesso le truffe si nascondono dietro le spese di importo minimo; oppure non perdere mai di vista il negoziante al quale si consegna la carta o ancora non gettare mai le ricevute della carta di credito nei rifiuti.
Pur dando per scontato che la sicurezza totale non esiste, sono state proposte diverse soluzioni alternative per impedire simili truffe (o quanto meno per renderle piu’ difficili).
Innanzitutto l’uso della carta telematica on line, nella maggior parte dei casi, e’ associato all’utilizzo di uno specifico protocollo SSL (secure socket layer), contraddistinto dalla presenza di una chiave dorata o lucchetto, e la sicurezza e’ garantita dalla tecnica di criptatura asimmetrica, la stessa che sta alla base del funzionamento della firma digitale. In particolare la codifica SSL cripta la trasmissione dei dati, nel senso che i dati personali vengono codificati dal browser, che a seconda della versione usera’ 40 bit o 128 bit ( la versione Europea usa 40 bit ) e viaggiano via Internet criptati.
Il problema e’ che una volta raggiunto il server del negozio online, vengono nuovamente messi in chiaro e risiedono in chiaro sul server del provider del negozio da cui si acquista. Un eventuale hacker che violasse la sicurezza del provider troverebbe, quindi, i dati in chiaro. Esistono anche altri sistemi di sicurezza, ma per la verita’ nessuno sembra inviolabile.

Inoltre fra i vari rimedi suggeriti, oltre a questi sistemi di sicurezza, si ricorda chi ha proposto di subordinare l’uso della carta di credito all’uso di un P.I.N. segreto non solo per il prelievo, ma piu’ in generale (ad esempio il fornitore con una macchina specifica potrebbe verificare la corrispondenza del P.I.N. usato con quello registrato sulla carta).
Altra soluzione proposta e’ quella di introdurre delle carte dotate di un piccolo processore e quindi di una memoria in grado di registrare data, luogo ed ora dell’ultimo utilizzo, nonche’ il debito residuo.

Scritto da