Perché i casi di frode per l'acquisizione di un conto sono in aumento

In breve

• La frode dell'Account Takeover (ATO) ha già rubato oltre 262 milioni di dollari nel 2025.
• I criminali si spacciano per banche attraverso messaggi, chiamate, siti web falsi e annunci fraudolenti.
• I primi segnali di allarme includono l'improvvisa perdita del servizio mobile, strani avvisi di accesso, nuovi beneficiari o modifiche al conto non effettuate.
• Proteggetevi con MFA non SMS, password uniche, segnalibri e PIN del conto mobile.
• ScamAdviser vi aiuta a controllare rapidamente link, numeri di telefono e dettagli sospetti prima di cadere in una truffa.

Interrompete quello che state facendo. Fate un respiro profondo. Ora controllate il login del vostro conto corrente. Quando l'FBI lancia un allarme a cinque allarmi su un singolo tipo di crimine informatico, è perché sta accadendo qualcosa di grosso, e in questo momento la minaccia è la frode dell'account takeover (ATO). Secondo l' Internet Crime Complaint Center (IC3) dell'FBI, dal gennaio 2025 i criminali informatici hanno già rubato oltre 262 milioni di dollari introducendosi nei conti finanziari, nei portali di pagamento e persino nei conti di risparmio sanitario delle persone. Più di 5.100 vittime hanno dichiarato di essere state colpite, e sono solo quelle che se ne sono accorte in tempo.

Non si tratta di qualcuno che indovina la password. Si tratta di un'invasione digitale coordinata, in cui i criminali si spacciano per il personale della vostra banca, imitano i loro siti web, vi ingannano e vi costringono a consegnare le vostre credenziali, per poi escludervi dalla vostra vita finanziaria. Sono stati presi di mira individui, famiglie e aziende di ogni dimensione. Nessun settore è immune.

Che cos'è l'Account Takeover (ATO) e perché è così pericoloso?

Immaginate il vostro conto bancario come un caveau. Voi possedete la chiave, la vostra password, e un allarme di sicurezza, la vostra autenticazione a più fattori (MFA). L'ATO si verifica quando i criminali riescono a rubare la chiave, a disattivare l'allarme e a portarsi via tutto quello che c'è dentro. Una volta ottenuto l'accesso, si muovono con una velocità spaventosa: reimpostano la password, cambiano l'e-mail, alterano le informazioni di contatto e trasferiscono il denaro a portafogli di criptovalute o a conti controllati da criminali. Quando ci si accorge che qualcosa non va, il danno è spesso irreversibile.

L'FBI sottolinea che questa ondata di frodi ATO è guidata non solo da fughe di password, ma anche da criminali che si spacciano per team di assistenza delle istituzioni finanziarie. Non si limitano a rubare le informazioni, ma si fanno strada con le parole.

Come fanno i criminali a entrare negli account?

Mentre il riempimento di credenziali, il phishing e lo scambio di SIM rimangono le tattiche principali, l'FBI avverte che gli attacchi basati sull'impersonificazione stanno aumentando. I criminali informatici ora fingono di essere dipendenti di banche, assistenza clienti, dipartimenti antifrode o persino agenti delle forze dell'ordine che vi "aiutano" con un falso problema.

L'ingegneria sociale svolge un ruolo fondamentale. I criminali chiamano o inviano messaggi di testo fingendo di avvisare l'utente di un "acquisto fraudolento" o di un "accesso non autorizzato" e possono persino affermare che il presunto acquisto riguarda qualcosa di grave, come le armi da fuoco, per creare panico. Poi vi guidano verso un sito web falso o vi convincono a leggere il vostro codice di reimpostazione della password o il codice MFA/OTP. Una volta ottenuto, si collegano al sito bancario reale, resettano tutto e vi bloccano.

I siti web di phishing stanno diventando quasi impossibili da distinguere da quelli reali. Alcuni truffatori utilizzano persino il SEO poisoning, acquistando annunci sui motori di ricerca in modo che il loro sito fraudolento appaia al di sopra del sito bancario legittimo. Se si clicca sul link sbagliato, si arriva su una replica impeccabile della pagina di login della banca, si consegnano le proprie credenziali e si dà inconsapevolmente ai criminali pieno accesso.

Una volta entrati, i criminali agiscono rapidamente. Le password vengono cambiate. Gli indirizzi e-mail vengono scambiati. Vengono aggiunte nuove regole al conto. I fondi vengono trasferiti, spesso direttamente ai portafogli di criptovalute, dove scompaiono all'istante. In molti di questi casi, le vittime perdono l'accesso ai propri conti in pochi minuti.

Quali sono le prime bandiere rosse di un attacco ATO?

Il primo indizio è spesso il più silenzioso. Se il vostro telefono perde improvvisamente il servizio senza motivo, potrebbe significare che qualcuno ha scambiato la vostra SIM per prendere il controllo dei vostri codici MFA. Le notifiche inaspettate relative a modifiche della password, nuovi dispositivi, nuovi beneficiari o tentativi di accesso che non avete effettuato sono importanti segnali di allarme.

Alcuni criminali cambiano persino gli indirizzi postali o disattivano le e-mail di notifica per non farvi notare i depositi mancanti o i nuovi prelievi. Piccole transazioni di prova, come pochi centesimi, sono spesso utilizzate per verificare le credenziali rubate prima di prosciugare il vostro conto ore dopo.

E se improvvisamente ricevete chiamate da qualcuno che dichiara di essere un "investigatore di frodi", un "tecnico della banca" o un "agente di polizia che sta aiutando con attività sospette", pensate che si tratti di una truffa fino a prova contraria. L'FBI lo dice chiaramente: gli istituti legittimi non chiederanno il vostro nome utente, la password o il codice MFA.

Come ci si protegge dalle frodi ATO?

Iniziate aggiornando le vostre abitudini di sicurezza. Se il vostro MFA si basa ancora su codici SMS, siete vulnerabili allo scambio di SIM e all'intercettazione. Passate a un'app di autenticazione o, meglio ancora, a una chiave hardware fisica.

Le password devono essere uniche e complesse per ogni account, senza eccezioni. Un gestore di password semplifica questa operazione e impedisce gli attacchi di credential stuffing.

Quando accedete a siti web finanziari, non affidatevi mai ai risultati di ricerca o agli annunci. Inserite nei preferiti il sito ufficiale o digitatelo manualmente. L'MFA non vi salverà se inserite le vostre credenziali in un sito web falso.

Riducete anche ciò che condividete online. I criminali amano i dettagli personali come nomi di animali domestici, compleanni e scuole: sono ingredienti perfetti per indovinare la password o le domande di sicurezza.

Proteggete il vostro servizio mobile proprio come il vostro conto bancario: impostate un PIN o una passphrase con il vostro operatore per evitare scambi di SIM non autorizzati.

Controllate regolarmente i vostri conti bancari per individuare eventuali depositi mancanti, trasferimenti inaspettati o spese insolite. Prima si individuano le irregolarità, maggiori sono le possibilità di recuperare i fondi.

Cosa fare se si è vittima di ATO?

Se pensate che il vostro conto sia stato compromesso, agite immediatamente. Contattate il vostro istituto finanziario e richiedete il ritiro o lo storno di tutti i trasferimenti non autorizzati. Chiedete una lettera di manleva o di indennizzo: spesso le banche la richiedono prima di tentare un recupero.

Resettate tutte le credenziali che potrebbero essere state esposte. Se avete usato la stessa password altrove, cambiatela anche lì.

Presentate quindi una denuncia dettagliata su IC3.gov, includendo ogni dettaglio rilevante: siti web falsi che avete visitato, numeri di telefono utilizzati dai truffatori, screenshot, ID delle transazioni e la frase "Account Takeover" o "SEO poisoning" nella vostra denuncia. Infine, informate l'azienda impersonata in modo che possa avvertire gli altri e richiedere la rimozione della pagina di phishing.

FAQ: Risposte rapide a grandi preoccupazioni
I truffatori possono davvero impersonare le banche in modo convincente?
Sì. L'FBI conferma che i criminali si spacciano per personale bancario, finti dipartimenti antifrode e persino forze dell'ordine per ingannare le vittime.

L'avvelenamento da SEO è davvero comune?
Sempre di più. I criminali acquistano annunci di ricerca che reindirizzano gli utenti a false pagine di login che sembrano identiche ai siti delle banche reali.

E se ho cliccato su un link ma non ho inserito i miei dati?
Potreste essere ancora al sicuro, ma monitorate i vostri conti. Alcuni siti di phishing installano anche malware.

L'MFA può essere aggirato?
Sì, se fornite ai criminali il vostro OTP o se dirottano il vostro numero di telefono attraverso lo scambio di SIM.

Devo richiamare i numeri che dicono di provenire dalla mia banca?
No. Riattaccate, cercate il numero ufficiale e chiamatelo.

La mia banca mi rimborserà?
A volte. Una segnalazione rapida aumenta notevolmente le possibilità.

Qual è l'abitudine più importante da adottare oggi?
Inserire tra i preferiti la pagina di accesso della propria banca e non accedere mai più da un'e-mail, da un testo o da un annuncio.

Fermate la truffa prima che inizi con ScamAdviser

Non sempre si viene avvisati prima che la frode ATO colpisca, ma si può avere una possibilità di combattere. Prima di cliccare su un link, rispondere a un messaggio "bancario" o inviare denaro, verificate prima.

L'App ScamAdviser vi aiuta a controllare rapidamente:

• siti web e URL per verificare la presenza di malware e phishing
• Numeri di telefono con ID chiamante in tempo reale
• Dati IBAN per confermare a chi state realmente inviando denaro
• Link sospetti da testi ed e-mail

Un rapido controllo potrebbe fermare la prossima truffa da 262 milioni di dollari.

Scaricate oggi stessol'App ScamAdviser per essere sempre un passo avanti alle frodi dell'ATO.