Frodi su carte di pagamento

31 Ott 2008

Il fenomeno delle frodi in danno delle carte di pagamento ha subito una profonda trasformazione negli ultimi anni, in Italia come in molti altri paesi.

La diffusione dei sistemi di pagamento "a distanza" ed elettronici, l'incremento dell'offerta delle soluzioni di e-commerce, un maggiore utilizzo delle carte di pagamento (sia di debito sia di credito), la presenza di un numero sempre maggiore di ATM e POS, sono solo alcuni dei fattori che hanno segnato da un lato nuove vulnerabilità al rischio di frode delle carte di pagamento e, dall'altro, nuove opportunità per criminali e frodatori.

Qualche "numero"...

Il "business" delle frodi in danno delle carte di pagamento è difficile da quantificare perchè - come per molti altri crimini economici - mancano dati "attendibili".

Secondo alcune stime, nel 2005 il giro d'affari, solo in Europa, sarebbe stato di oltre 500 milioni di euro, mentre nel 2006 sarebbe aumentato fino a raddoppiare, superando il miliardo di euro. In Gran Bretagna, secondo i dati diffusi da APACS, nel 2006, le frodi in danno delle carte di pagamento hanno causato perdite per £ 428 milioni, con una lieve flessione rispetto ai circa £ 439 milioni del 2005. Negli Stati Uniti, i dati della Federal Trade Commission, relativi all'anno 2005, identificano nel 67% ii casi di furto di identità segnalati dai cittadini che hanno riguardato le carte di credito. Le vittime sono state 6,5 milioni.

In Italia, negli ultimi anni, c'è stato un progressivo aumento nel numero delle carte di pagamento in possesso dei cittadini e, al contempo, un incremento del volume delle transazioni; i dati riferiti al 2005, ad esempio, parlano di un aumento medio del volume delle operazioni effettuate carta di pagamento stimabile intorno al 7%, per un valore totale di oltre 55 milioni di euro. Secondo le rilevazioni di ABI, le carte di credito e debito in circolazione in Italia sarebbero 52 milioni. Su questa mole di carte, sempre secondo ABI, 20 mila sono state oggetto di frode o clonazione. Anche VISA Europe ha confermato che, nel 2006, il numero delle carte in circolazione è cresciuto nel nostro Paese dell’11%, mentre in Europa l'incremento è stato dell'8,8%.
 

Il fenomeno, in sintesi

I rischi per le carte di pagamento sono diversi a seconda che si parli di carte di debito o di carte di credito.

Nel primo caso,ovvero quello dei bancomat, i problemi principali si riscontrano sia durante il prelievo di denaro dagli ATM (acronimo di Automatic Teller Machine) sia al momento del pagamento mediante POS (acronimo di Point of Sale). Entrambi questi strumenti, infatti, possono essere manomessi, al fine di carpire i dati presenti nella banda magnetica e riutilizzarli, in brevissimo tempo, per clonare altri bancomat e per effettuare acquisti. Generalmente, i criminali sfruttano il tempo che può intercorrere tra il furto del dato e il momento della scoperta della clonazione da parte del titolare della carta.
Tra gli elementi di "difficoltà" per i frodatori, vi è la necessità di conoscere il PIN, in quanto indispensabile per l'utilizzo del bancomat. I casi disponibili evidenziano la diversità delle soluzioni e delle tecniche adottate dai criminali per ottenere le informazioni necessarie per la clonazione.

Nel caso delle carte di credito, invece, i profili di rischio sono diversi, in virtù del fatto che possono essere utilizzate per acquisti sia nel "mondo fisico" sia attraverso la Rete. Secondo la letteratura più recente e la casistica disponibile, è possibile identificare tre principali tipologie di frodi in danno di questi mezzi di pagamento:

  • Card ID-theft: comprende tutti i casi di frode finalizzati ad entrare in possesso e poter utilizzare una carta di pagamento, intestata ad un’altra persona. Come si evince già dalla definizione, esiste una correlazione stretta tra il furto di identità e la frode in danno della carta: vi è, in altre parole, un processo di impersonificazione del titolare della carta da parte del frodatore. I due principali schemi di frode che rientrano in questa categoria sono le frodi applicative e le frodi da subentro
  • Card-present fraud: identifica le tipologie di frode che avvengono quando la carta di pagamento è fisicamente presente durante la transazione, ovvero deve essere esibita perché l'acquisto del bene o il pagamento del servizio possa perfezionarsi. I principali schemi di frode che rientrano in questa categoria sono l'uso di carte smarrite/rubate, la contraffazione delle carte e l'utilizzo di blank card 
  • Card-not-present fraud: comprende le tipologie di schemi di frode che interessano non la carta di per se stessa, ma i dati che la identificano in maniera univoca e che sono necessari per i pagamento nelle transazioni non face-to-face. Tra le principali tecniche di acquisizione dei dati, riutilizzati per questa categoria di frodi, sono lo skimming, il phishing/pharming, il trashing, il data hacking, lo spamming, il furto di corrispondenza, il social engineering...

 

Attività

L'attività di RiSSC riguarda:

  • lo studio del fenomeno, delle sue tendenze e dell'evoluzione delle tecniche di acquisizione e sfruttamento dei dati personali e dei dati relativi alle carte di pagamento
  • la comparazione con gli altri contesti nazionali
  • l'analisi delle buone pratiche sviluppate a livello internazionale, delle possibili soluzioni e contromisure di riduzione del rischio sia per le imprese sia per i titolari delle carte
  • la realizzazione di rilevazioni empiriche ed indagini

Attualmente, RiSSC sta sviluppando, in collaborazione con il UCAMP-Ufficio Centrale Antifrode sui Mezzi di Pagamento del Ministero dell'Economia e delle Finanze, il Progetto ALIAS, finalizzato allo sviluppo di un modello di cooperazione pubblico-privato contro le frodi di identità e le frodi in danno delle carte di pagamento.