Diversamente, le card not present frauds non necessitano della presenza “fisica” della carta per essere realizzate. Nel novero delle più note rientrano:
- l’utilizzo dei dati della carta a seguito di furto o acquisizione illecita: nel primo caso l’autore della truffa ruba la carta e ne riutilizza i dati in Rete; nel secondo la carta non viene rubata, ma chi si trova a maneggiarla (esercente o conoscente della vittima) ne memorizza, ad insaputa del titolare, i dati per riutilizzarli in un secondo momento;
- la card number generation (o carding matematico): tecnica che si basa sull’utilizzo di specifici applicativi per generare il numero della carta. Il software in questo caso conosce l’algoritmo usato da questa o quella società emittente per generare i vari numeri di carta.
Le suddette tipologie di frode e le relative tecniche non esauriscono il novero delle truffe perpetrabili ai danni di un titolare di smart card e l’elencazione presenterebbe tratti indefinibili laddove si considerasse la versatilità e l’intrecciabilità di talune con le altre.
Considerando, in ultimo, la seconda forma di moneta elettronica, quella software based, ed i conseguenti rischi per i gestori ed i fruitori, i principali pericoli sono rappresentati dal:
- phishing: famigerata e diffusissima frode caratterizzata dall’invio di email fittizie -da parte di un criminale (c.d. phisher) ad un utente- provenienti in apparenza da un istituto di credito o da una società di pagamenti. Il fine della truffa è di ingannare la vittima inducendola a collegarsi al sito fittizio il cui link è presente nell’email, una volta nel sito, l’utente -dietro le motivazioni più disparate- viene invitato ad inserire le credenziali di autenticazione al servizio di e-banking del proprio istituto di credito o il numero della propria carta di pagamento. Ad operazione conclusa, il phisher avrà acquisito i suddetti dati ad insaputa della vittima.
- pharming: tecnica prettamente informatica, si basa come il phishing sull’inganno. Il pharmer (criminale di turno), manipolando il server DNS di un provider o i files di sistema del pc di un utente, ne modifica l’associazione tra indirizzo IP e dominio Internet, reindirizzando l’utente -ogniqualvolta digiti l’indirizzo del dominio compromesso- verso un sito clone messo in Rete dal truffatore.
- man in the middle: tecnica basata sull’intercettazione dei dati che transitano tra due o più hosts. Nel caso di specie il criminale, riuscendo a convogliare sul proprio computer i dati che la vittima desidera inviare in via telematica ad un istituto di credito (o viceversa), si frappone tra i due soggetti in maniera “invisibile” senza interrompere la trasmissione. Nell’intercettare la comunicazione, oltre a decifrarne il contenuto (c.d. sniffing), il malintenzionato potrà manipolare o filtrare una parte con ovvie conseguenze per gli interessati.
- software malevolo: una categoria ampia e che ricomprende virus, worms, trojans e keyloggers, in grado di pregiudicare direttamente o indirettamente il pc di un utente e di acquisire a vantaggio di terzi, credenziali di accesso ed altri dati personali della vittima.
Oltre ai succitati pericoli vanno aggiunti i tentativi di instrusione informatica nel server del sito web della società che gestisce moneta elettronica e, a titolo esemplificativo, il rischio connesso per l’utenza a seguito anche di un “defacement” truffaldino della home page.
È evidente quindi come la moneta elettronica, pur avendo una portata rivoluzionaria nelle relazioni commerciali, vada regolamentata con una giusta ponderazione. Nulla esclude che in un prossimo futuro sostituisca del tutto quella tradizionale, ma a tal fine è necessario che il progresso e la sicurezza nelle transazioni si muovano parallelamente, per non ridurre ad un labile strumento ciò che si presenta ormai come un elemento propulsore della new economy.