Chi casca nella rete? Lo studio sul phishing della Facoltà di Economia
Il phishing è una truffa online che, se eseguita a regola d’arte, consente ai criminali di entrare in possesso di dati sensibili delle persone prese di mira, come i codici di accesso ai conti correnti bancari oppure delle carte di credito. Gli istituti di credito dedicano notevoli risorse alle difese contro questo genere di rischi, ma il fenomeno è in crescita.
Al giorno d’oggi, le minacce alle banche non sono più – non solo – gli assalitori armati e a volto coperto che tentano una rapina; le insidie maggiori arrivano attraverso la Rete. Il phishing è una truffa che viene generalmente effettuata tramite email, telefono o SMS, con i malviventi che si spacciano per organizzazioni legittime, come le banche. È un fenomeno in continua crescita a livello mondiale: si stima che vengano inviati circa 3,4 miliardi di email di phishing al giorno. Secondo la letteratura scientifica che si è occupata del tema, nel 2022 si è registrato un aumento del 47,2% degli attacchi di phishing rispetto all’anno precedente e l’84% delle organizzazioni intervistate ha subito almeno un attacco di phishing nel corso dell’anno, con perdite finanziarie aumentate del 76% rispetto all’anno prima.
I proff. Alessandro Fedele, Mirco Tonin e il ricercatore Matteo Valerio (Facoltà di Economia) hanno recentemente pubblicato sulla rivista scientifica Economics Letters una ricerca - Phishing attacks: An analysis of the victims’ characteristics based on administrative data (Attacchi di phishing: Un’analisi delle caratteristiche delle vittime basata su dati amministrativi, ndt.) - effettuata sui dati forniti da una banca attiva in Alto Adige e nel Nord-est e relativi a frodi reali. Nello studio gli autori hanno identificato il legame tra la probabilità di essere vittima e le caratteristiche individuali. Si tratta di uno studio che ha diversi elementi di novità, come spiegano gli autori stessi: “La letteratura esistente sul phishing, prevalentemente nei campi dell’informatica e della psicologia, ha individuato diversi fattori predittivi di vittimizzazione, come tratti della personalità, demografia, livello di istruzione e esperienza con internet. La letteratura economica e finanziaria però non ha ancora approfondito il fenomeno del phishing, concentrandosi molto di più su frodi commesse da consulenti finanziari”. Gli studi esistenti sul phishing si basano inoltre su esperimenti o dati di sondaggi. Sebbene gli esperimenti in laboratorio siano utili per identificare relazioni di causa-effetto, non è ovvio che i risultati si possano poi estendere alla transazioni di tutti i giorni, mentre i dati di sondaggi, pur chiedendo di frodi reali, possono soffrire della riluttanza delle persone intervistate ad ammettere di essere cadute nella trappola. “Il nostro studio è il primo a superare questi problemi utilizzando dati amministrativi, dove le frodi di phishing sono registrate attraverso i sistemi amministrativi bancari, anziché essere auto-segnalate”, sottolineano.
La ricerca. Chi sono le vittime in Alto Adige?
Fedele, Tonin e Valerio hanno analizzato i dati di quasi 150.000 clienti di una banca attiva in Alto Adige e nel Nord-est dell’Italia tra il 2022 e il 2023. Gli attacchi tipici patiti dai clienti si basano sull’invio di un SMS con un avviso di attività non autorizzata che reindirizza i malcapitati verso una pagina di login falsa. Per aggirare l’autenticazione multi-fattore, i criminali contattano poi il cliente fingendosi il servizio-clienti della banca per ottenere l’autorizzazione alle transazioni fraudolente. La buona notizia per i clienti è che l’attività anti-frode della banca spesso riesce comunque a bloccare i trasferimenti anomali, anche se autorizzati. Lo studio ha analizzato 147.751 clienti, di cui 276 sono caduti nella trappola dei truffatori nel periodo gennaio 2022 - dicembre 2023.
I dati esaminati nella ricerca dimostrano che i clienti che comunicano con la banca in italiano sono più suscettibili alle frodi rispetto a quelli che usano il tedesco. Ciò probabilmente è dovuto alla lingua in cui vengono emessi i messaggi di phishing, ossia l’italiano: se un cliente ha scelto di ricevere le comunicazioni della banca in tedesco, è già più propenso a essere sospettoso quando riceve un SMS in italiano. Inoltre, contrariamente a quanto si potrebbe pensare, i giovani sono più propensi alla vittimizzazione rispetto agli anziani, suggerendo che le generazioni più giovani, più familiari con il banking online, potrebbero essere meno caute. Non sono emerse invece differenze significative in base al genere o alla dimensione del luogo di residenza.
Quali indicazioni dai risultati della ricerca?
La crescita della digitalizzazione implica che un numero sempre maggiore di attività migreranno online, compresi i tentativi di frode. Nel settore bancario, in particolare, una quota crescente di servizi viene offerta online. La ricerca di Fedele, Tonin e Valerio può fornire indicazioni importanti per la prevenzione di questo genere di frodi. “Per proteggere i clienti, è importante comprendere le caratteristiche di coloro che sono più inclini a cadere nel phishing. Sapendo questo, gli istituti finanziari e le autorità di regolamentazione possono indirizzare meglio le campagne di sensibilizzazione sui rischi legati agli attacchi di phishing”; concludono, “inoltre si discute spesso della protezione delle persone anziane, ma i nostri risultati suggeriscono che è necessaria una maggiore attenzione nei confronti delle generazioni più giovani”.
(zil)