Il trucco invisibile con la carta bancaria che può svuotare il conto in pochi minuti

By /

Paghi al supermercato, acquisti online e pensi di essere al sicuro.

Eppure esistono tecniche invisibili capaci di prosciugare silenziosamente il tuo conto corrente. I criminali usano metodi sempre più sofisticati per copiare i dati della tua carta — ai bancomat, alle stazioni di servizio e sugli shop online — e spesso te ne accorgi solo quando l'estratto conto è pieno di pagamenti sconosciuti.

Dai bancomat manomessi alle sottilissime sonde nella fessura

Le frodi sui mezzi di pagamento crescono da anni in modo preoccupante. In Francia, nel 2025, le frodi legate a manomissioni fisiche sono aumentate di oltre un terzo, causando danni nell'ordine delle centinaia di milioni di euro. Il meccanismo di fondo è rimasto invariato negli ultimi vent'anni: i criminali cercano di intercettare i dati della tua carta nel momento compreso tra l'estrazione dal portafoglio e l'elaborazione della transazione da parte della banca.

Per lungo tempo il metodo preferito ha riguardato bancomat e terminali di pagamento presso le stazioni di servizio, dove i truffatori ricorrono alle classiche tecniche di skimming.

Come funziona lo skimming classico

Lo skimming prevede il posizionamento di componenti hardware sul bancomat o nelle sue vicinanze. Questi elementi possono sembrare sorprendentemente autentici a un primo sguardo.

  • Un lettore di carte aggiuntivo viene fissato sopra la fessura originale e copia la banda magnetica.
  • Una minuscola telecamera riprende le dita mentre si digita il PIN.
  • In alternativa, una tastiera falsa viene sovrapposta a quella originale, registrando ogni cifra inserita.
  • I dati rubati vengono trasmessi via Bluetooth o rete mobile, così il criminale non deve nemmeno tornare a recuperare il dispositivo.

Con la combinazione di dati della carta e codice PIN, i truffatori producono copie fisiche della carta oppure effettuano prelievi in paesi dove le transazioni con banda magnetica sono ancora accettate.

Lo shimming: il successore invisibile dello skimming

Con la diffusione sempre maggiore delle carte dotate di chip, lo skimming classico ha perso parte della sua efficacia. Il chip EMV genera un codice univoco per ogni transazione, rendendo quasi inutile una semplice copia dei dati.

I criminali hanno quindi ideato una tecnica successiva: lo shimming.

Lo shimming è una spia ultrasottile nascosta nella fessura del lettore, capace di intercettare i dati del chip senza essere visibile.

Uno shimmer è una lamina sottilissima, ricca di elettronica, che viene inserita nella fessura del lettore di carte. Si posiziona tra la tua carta e i contatti del terminale. Mentre esegui normalmente il pagamento, il dispositivo intercetta i dati scambiati tra chip e terminale.

Clonare il chip stesso è ancora praticamente impossibile. Tuttavia, con i dati intercettati, i truffatori creano cosiddette carte di fallback: carte a banda magnetica utilizzate in paesi o presso terminali che accettano ancora questo tipo di transazioni. Nei fascicoli di polizia del 2025 sono emersi casi in cui shimming effettuato presso distributori di carburante francesi aveva portato a prelievi di contante in città straniere, con somme consistenti.

Dalla strada allo schermo: lo skimming si sposta sugli shop online

Poiché bancomat e terminali fisici diventano sempre più sicuri e il pagamento contactless si diffonde rapidamente, molti criminali si sono spostati su internet. Qui impiegano l'e-skimming: lo stesso principio del dispositivo fisico, ma applicato al codice di una pagina di pagamento.

Su un negozio online compromesso, i criminali iniettano poche righe di JavaScript nella pagina di checkout. Non appena inserisci numero di carta, data di scadenza e codice CVV, lo script copia quei dati e li invia a un server controllato dagli aggressori. Per te il pagamento sembra andare a buon fine, e anche il venditore non nota nulla di anomalo nel suo sistema di cassa.

Gruppi organizzati, violazioni di fornitori e attacchi su larga scala

I cybercriminali specializzati in questo tipo di frode vengono spesso raggruppati sotto il nome collettivo Magecart, dal nome di una piattaforma di e-commerce che in passato era frequentemente presa di mira. Le loro tecniche si sono affinate nel tempo.

Invece di compromettere un negozio alla volta, ora prendono di mira i fornitori di script usati su migliaia di siti contemporaneamente.

Tra i bersagli più comuni troviamo:

  • servizi di analisi che misurano il comportamento dei visitatori;
  • script pubblicitari e di tracciamento;
  • widget di pagamento o chat forniti da terze parti.

Se uno di questi servizi viene violato, il codice malevolo si diffonde in un colpo solo su tutti i siti che lo utilizzano. Nel 2024, i ricercatori hanno descritto una vasta campagna in cui una vulnerabilità in una piattaforma e-commerce commerciale ha portato alla compromissione di circa 11.000 negozi online in tutto il mondo. Si stima che centinaia di milioni di numeri di carta siano così finiti sul dark web.

Nascosto nelle icone, negli analytics e nelle pagine di errore

Per eludere i controlli di sicurezza, gli aggressori occultano i propri script in modi sempre più creativi. Sono stati trovati codici malevoli:

  • nascosti in immagini apparentemente innocue, come le piccole icone favicon visualizzate nella scheda del browser;
  • camuffati da noti strumenti statistici, con nomi molto simili a quelli di script di analytics legittimi;
  • incorporati nelle pagine di errore, come la classica pagina 404 "pagina non trovata", che molti negozi online quasi non monitorano.

Una tattica descritta dai ricercatori di sicurezza è particolarmente insidiosa: il cliente compila regolarmente il modulo di pagamento, l'e-skimmer trasmette i dati della carta e poi mostra un messaggio di errore su una sessione scaduta. L'utente pensa a un problema tecnico, ricarica la pagina e riprova più tardi. Nel frattempo, i dati della carta stanno già circolando nelle reti criminali.

Come ridurre il rischio al bancomat e alla stazione di servizio

Con alcune abitudini costanti, i consumatori possono ridurre notevolmente le probabilità di subire skimming o shimming.

  • Usa il contactless quando possibile. Con il pagamento senza contatto la carta rimane fuori dalla fessura, privando skimmer e shimmer di qualsiasi opportunità. Anche per importi più elevati che richiedono il PIN, il vantaggio rimane: non è necessario inserire fisicamente la carta in un lettore potenzialmente compromesso.
  • Proteggi il tuo PIN. Copri la tastiera con la mano formando una sorta di tettuccio. Anche in presenza di una telecamera nascosta o di una tastiera falsa, rendere illeggibile il codice complica enormemente le cose ai truffatori.
  • Scegli location sicure. Preleva denaro dai bancomat all'interno delle filiali bancarie o dei centri commerciali affollati. I bancomat all'aperto, specialmente in luoghi isolati, sono più appetibili per i criminali. Alle stazioni di servizio, le pompe vicino alla cassa sono generalmente sorvegliate meglio.
  • Controlla eventuali componenti anomali. Muovi delicatamente la fessura per le carte e la tastiera. Se qualcosa sembra allentato, noti residui di colla o adesivi sospetti, smetti immediatamente e non utilizzare quel bancomat.

Come rendere i pagamenti online il più sicuri possibile

Anche online puoi erigere diverse barriere concrete contro gli e-skimmer.

Usa carte dedicate o virtuali per gli acquisti su internet

Una carta di pagamento separata con un limite basso, riservata agli acquisti online, rende i danni di una frode molto più gestibili.

Sempre più banche offrono anche carte virtuali: numeri di carta temporanei che scadono dopo un singolo acquisto o dopo un breve periodo. Se i criminali intercettano quei dati, non possono farne alcun uso successivo. Chiedi alla tua banca quali opzioni sono disponibili e come impostare i limiti di spesa.

Attiva le notifiche in tempo reale

Le notifiche sulle transazioni via SMS o tramite l'app bancaria possono portare a galla una frode nel giro di pochi minuti. Se ricevi un avviso per un pagamento che non riconosci, puoi bloccare la carta immediatamente e chiamare la tua banca. Prima intervieni, maggiori sono le possibilità che gli importi vengano stornati.

Valuta criticamente lo shop online

Alcuni controlli rapidi offrono una prima indicazione sull'affidabilità di un negozio online:

  • l'indirizzo inizia con https e non contiene errori di ortografia sospetti;
  • non compaiono pop-up inaspettati durante il processo di pagamento;
  • il browser non mostra schermate rosse di avviso o segnalazioni di sicurezza evidenti;
  • i dati di contatto e le informazioni sull'azienda sono facilmente reperibili.

Se qualcosa ti insospettisce, preferisci pagare tramite un intermediario affidabile — come sistemi di pagamento bancario diretto — oppure cerca un altro rivenditore.

Non salvare i dati della carta ovunque

Conservare i dati della carta nel browser o in un'app sembra comodo, ma ogni ulteriore punto di archiviazione rappresenta un potenziale bersaglio. Soprattutto su dispositivi condivisi o utilizzati su reti Wi-Fi pubbliche, questo aumenta il rischio che soggetti malintenzionati accedano alle tue informazioni di pagamento. L'inserimento manuale richiede solo qualche secondo in più, ma riduce concretamente l'esposizione al rischio.

Nuove norme per i negozi online e cosa significano per te

Anche per i negozi online l'asticella si alza. I moderni standard di pagamento impongono agli esercenti di monitorare con precisione tutti gli script in esecuzione sulle proprie pagine di checkout, compresi quelli di terze parti. Devono inoltre implementare sistemi che segnalino immediatamente eventuali modifiche impreviste.

In pratica, ciò significa verifiche regolari di tutti gli script caricati e una selezione più rigorosa dei servizi esterni. I grandi incidenti degli ultimi anni dimostrano chiaramente che una singola vulnerabilità in uno script o plugin ampiamente utilizzato può scatenare una reazione a catena, colpendo migliaia di negozi contemporaneamente.

Per i consumatori, questo approccio più severo non garantisce una protezione totale, ma riduce il numero di siti non sicuri. Alla fine, la combinazione resta quella più efficace: sicurezza tecnica da parte dello shop online e abitudini più attente da parte dell'utente.

Cosa fare se sei già vittima di una frode

Chi, nonostante tutte le precauzioni, si ritrova con transazioni sospette deve agire rapidamente. Blocca subito la carta tramite l'app bancaria o il numero di emergenza, e segnala ogni pagamento sconosciuto al servizio clienti della tua banca. Di solito viene richiesta una dichiarazione scritta o un modulo online, dopodiché viene avviata un'indagine. Conserva email o SMS relativi ai pagamenti, perché possono aiutare a ricostruire la cronologia degli eventi.

Molte persone esitano a segnalare importi piccoli e strani. Tuttavia, i criminali testano spesso le carte con cifre basse per verificarne il funzionamento, prima di tentare prelievi più consistenti. Qualsiasi importo sconosciuto è un segnale d'allarme.

Chi fa acquisti online frequentemente o preleva spesso durante i viaggi può infine valutare di impostare limiti giornalieri o per area geografica. Un limite standard più basso, da alzare temporaneamente tramite l'app in caso di acquisti importanti, riduce notevolmente i danni in caso di frode. Combinato con carte virtuali, notifiche in tempo reale e una maggiore attenzione ai bancomat, si costruisce così una solida linea di difesa attorno alla propria carta di pagamento — senza dover pensarci ogni singolo giorno.

Author

  • Camilla Boniardi è una content creator e autrice italiana, conosciuta per i suoi contenuti ironici e autentici legati alla vita quotidiana. Nei suoi materiali condivide riflessioni, piccoli lifehack pratici ed emotivi, oltre a consigli su relazioni, routine e benessere. Il suo stile spontaneo e diretto la rende particolarmente vicina al pubblico.

Post correlati

Scroll to Top