E-mail apparentemente ufficiali, provenienti dall'Ufficio Tecnico Comunale di Coldrerio, che contengono l'invito a scansionare un codice QR. È l’ultimo caso, in ordine di tempo, di truffa informatica (o phishing) verificatosi in Ticino. Una truffa, come spesso accade, perpetuata da criminali che sempre più spesso fingono di essere un’autorità di cui il cittadino si fida. Al giorno d’oggi sembra essere ormai divenuto un rischio anche credere a quelle istituzioni a cui siamo abituati a dare ascolto. “Non è più una questione di vero o falso, bensì di vero o verosimile”, afferma a Ticinonews Alessandro Trivilini, responsabile del servizio di informatica forense presso la SUPSI. “Vi è ormai una capacità da parte dei criminali informatici di riprodurre contenuti autorevoli partendo da nominativi e numeri di telefono che si trovano gratuitamente sui siti istituzionali" Tali dati "vengono gettati in pasto alle procedure informatiche dell’AI, le quali sono in grado di elaborare la comunicazione per arrivare ai cittadini e far credere loro che la domanda, richiesta o informazione in questione sia autentica". In seguito, attraverso ad esempio il codice QR, "si indirizzano gli utenti a consultare determinate pagine. Infine, si può arrivare dove risiedono le informazioni personali in modo da poterle violare”.

Per prevenire il phishing, le aziende hanno adottato dei protocolli “zero trust”: non ci si fida di niente e di nessuno a prescindere. Anche gli utenti devono iniziare a pensare così? “Dobbiamo ragionare come un investigatore digitale forense, che tratta i dati come prove: in qualsiasi momento devo poter dimostrare cosa ho fatto e cosa no", spiega Trivilini. "Entrare in quest’ottica è utile, perché con il buon senso possiamo mettere tutto in discussione: mi arriva ad esempio un messaggio con un QR Code che mi chiede di accedere a un sito e il sito in questione sembra autorevole? Provo comunque a fare una telefonata o a mandare un messaggio whatsapp per effettuare una verifica'". A quel punto, se le chiamate per chiedere conferme cominciano ad aumentare, "l'istituzione, nel caso sopracitato il Comune, deve reagire velocemente e pubblicare sulla propria autentica pagina web un messaggio per informare le persone".

Adottare gli strumenti per proteggersi e cercare di prevenire queste truffe è dunque fondamentale. Può tuttavia capitare di cadere nell'inganno. Anche in quel caso “non è tardi per agire. Nel momento in cui la persona prende consapevolezza che qualcosa potrebbe essere andato storto, deve anzitutto chiamare l'istituzione e chiedere informazioni". L'autorità, da parte sua, "dovrebbe essere pronta a reagire a questo tipo di richieste e disporre di piccoli protocolli di risposta agli incidenti. Ciò significa anche rassicurare l'utente vittima della truffa: ‘non si preoccupi, abbiamo capito che c’è stato un inganno. I nostri tecnici hanno in mano la situazione, la terremo informata, stia tranquilla,...'", conclude Trivilini.

L'intervento completo di Trivilini a Ticinonews: