Come clonano la carta di credito?

Aggiornato il: 22/04/2022
di Alessandro Voci
Pubblicato il: 22/04/2022

Chi usa molto la carta di credito, visti i suoi numerosi vantaggi, ha soprattutto una preoccupazione: che la stessa carta possa essere clonata, e quindi utilizzata da malintenzionati per effettuare acquisti pagati con il nostro conto corrente collegato allo strumento di pagamento.

Siccome alcune carte di credito hanno un plafond molto elevato, il rischio è quello di ritrovarsi con spese anche molto rilevanti e mai effettuate sull’estratto conto, quando ormai è troppo tardi. Come fanno a clonare carta di credito, e quali sono le strategie per evitare questo pericolo? Vediamolo qui di seguito.

Che cos’è lo skimming

Il fatto che la carta di credito sia qualcosa di tangibile, una tessera plastificata, ci dà una falsa sicurezza: che senza possederla non si possano effettuare acquisti a nome nostro e a nostra insaputa. In realtà questo non è vero, e ce ne rendiamo conto quando, su Internet, è sufficiente inserire i numeri della carta, comprensivi di data di scadenza e di codice di sicurezza, per comprare qualcosa nei marketplace che supportano il pagamento digitale, ormai la stragrande maggioranza.

Innanzitutto va ricordato che ci sono diversi tipi di “clonazione” della carta di credito. Quello più tradizionale avviene tramite un apparecchio, detto skimmer, che viene attaccato nella fessura degli ATM (altrimenti detti Bancomat) dove si infila la carta. Questa mascherina, praticamente invisibile, serve a leggere i dati della banda magnetica della carta, mentre una microtelecamera, di solito posizionata dove si trova la piccola luce che illumina la tastiera, legge il codice di sicurezza che si trova sul retro della carta. Questi apparecchi funzionano solitamente tramite Bluetooth e inviano i dati ai truffatori che si trovano appostati a poca distanza, quindi ci vuole davvero poco prima che possano utilizzare la carta clonata per acquisti o trasferimenti di denaro. È sufficiente infatti “masterizzare”, un po’ come si fa con i DVD, una scheda vergine che ci si può procurare senza troppe difficoltà, utilizzando i dati carpiti: a tutti gli effetti, ora la carta è clonata.

Lo skimming nei POS

Il trucco dello skimmer per clonare carta di credito si può utilizzare anche nei POS, attraverso il collegamento tramite un circuito direttamente al dispositivo utilizzato per il pagamento; in questo modo i truffatori più abili riescono a clonare non solo una carta, ma più carte in poco tempo senza che i dipendenti dell’esercizio commerciale se ne accorgano. I pagamenti contactless sono leggermente meno rischiosi perché la durata di tutta l’operazione è troppo breve perché possano essere registrati tutti i dati, ma è meglio non provare troppe volte qualora la transazione non vada a buon fine e abbiamo ragionevoli sospetti sulla manomissione del POS. 

Come avviene la clonazione della carta su Internet

Con il grande successo delle transazioni online, sono aumentati i rischi di clonazione digitale delle carte di credito. A differenza della clonazione tradizionale, attraverso la quale i dati vengono estratti dallo skimmer, qui è lo stesso utente a fornire tutti i numeri fondamentali per portare a termine un pagamento: il numero della carta di credito prima di tutto, ma anche, come si è visto, la data di scadenza e il codice CVV che si trova sul retro della carta (o, nel caso delle carte di credito American Express, sempre sul lato principale). Avendo questi dati, infatti, non c’è teoricamente bisogno di altro per poter concludere una transazione.

È chiaro a questo punto come possa esserci spazio per il cosiddetto e-skimming, ovvero l’utilizzo di determinati programmi che riescono a rubare questi dati a chi li inserisce, ignaro. Un esempio classico è quello del phishing: l’utente riceve una mail, apparentemente mandata da una banca, dalle Poste o da siti simili, in cui viene invitato a autenticarsi attraverso un sito, in realtà fasullo, per evitare di pagare multe e penali o per entrare in possesso di una somma di denaro a lui dovuta. Questi siti assomigliano a quelli ufficiali, e quindi chi non fa troppa attenzione si ritrova a consegnare direttamente ai malintenzionati i dati numerici relativi alla propria carta, senza che questi debbano fare assolutamente nulla.

Come difendersi dalle clonazione delle carte di credito

Non è il caso comunque di rinunciare all’uso della carta di credito: si tratta infatti di una soluzione di pagamento molto sicura, e i casi di clonazione sono davvero inconsueti. Non per questo però bisogna evitare di preoccuparsi della sicurezza del proprio conto, o rassegnarsi alla possibilità, per quanto remota, che la nostra carta venga clonata. Esistono infatti degli accorgimenti che si possono adottare per ridurre al minimo, quasi allo zero, le probabilità di clonazione, sia per quanto riguarda le carte fisiche che per i pagamenti digitali.

Come proteggere le carte di credito fisiche

Le regole per evitare che qualcuno possa clonare la carta di credito mentre effettuiamo un prelievo al Bancomat o paghiamo tramite POS sono di puro buon senso: guardarsi sempre intorno con la massima attenzione e verificare se si nota qualche anomalia nell’ATM, in particolare negli spazi che si trovano tra lo sportello e nei sistemi elettronici, come la tastiera o la fessura dove si infila la tessera magnetica. Nel caso ci venisse qualche sospetto, meglio fare qualche centinaio di metri in più e trovare un altro ATM, se proprio abbiamo bisogno di contanti.

Attenzione anche a lasciare i propri dati a voce al telefono a un terzo fidato che ce li chiede, come ad esempio la reception di un hotel: è preferibile, per non rischiare che qualcuno possa ascoltare la conversazione, pagare la caparra o la preautorizzazione utilizzando una piattaforma digitale, meglio se sicura, come quelle dei grandi operatori del settore quali Expedia o Booking.com.

È comunque un’ottima regola – e questo vale anche per le transazioni online – controllare periodicamente la lista movimenti inerenti il conto corrente a cui è legata la carta, in modo da verificare al volo la presenza di prelievi o addebiti imprevisti. Per un chiarimento basta contattare la propria banca con il servizio clienti, o anche richiedere il blocco nel caso che il sospetto di una clonazione sia più che fondato. Ricordiamo anche che più la carta di credito è “premium”, con un maggior costo mensile ma anche con un plafond superiore e servizi aggiuntivi, più è probabile che ci sia un’assistenza 24 ore su 24 per la carta stessa.

Come proteggere le carte di credito dalle transazioni digitali

La prima regola è dare i propri dati solo su siti sicuri, il cui indirizzo mostri la dicitura «https://» in apertura, o utilizzare servizi come PayPal che fungono da «barriera» per proteggere il conto corrente. Un altro aiuto arriva dalla cosiddetta autenticazione a due fattori: attivandola, infatti, non sarà più sufficiente fornire i numeri relativi alla carta di credito per concludere una transazione, ma diventerà necessario inserire anche un codice OTP (one-time password, cioè usa e getta) che ci verrà inviato su un dispositivo da noi precedentemente registrato e collegato ai nostri account (come un SMS per smartphone) oppure via posta elettronica.

Anche le notifiche sono un valido alleato, sia per i prelievi che per i pagamenti: grazie ad esse veniamo informati in tempo reale di una transazione eseguita con la nostra carta di credito, in modo da poter verificare al volo se è qualcosa di previsto oppure no, il tutto grazie anche alla geolocalizzazione che permette di segnalare quando una spesa viene effettuata in una località insolita.