La ricevuta del bancomat sembra solo un pezzo di carta, ma può contenere informazioni più utili di quanto si pensi. Non riporta il pin e, di norma, non mostra il numero completo della carta, quindi da sola non consente a un criminale di svuotare il conto. Il problema nasce però quando quei dati finiscono dentro una truffa più ampia. Data, ora, importo, sportello utilizzato, ultime cifre della carta e talvolta saldo residuo possono aiutare un finto operatore bancario a sembrare credibile. È per questo che, quando l’Atm chiede se stampare la ricevuta, la scelta più prudente è premere “No”.
Perché la ricevuta può diventare un rischio. Il rischio non è lo scontrino in sé, ma l’uso che ne può fare chi vuole costruire una frode su misura. Un truffatore che recupera una ricevuta lasciata vicino allo sportello può conoscere dettagli reali dell’ultima operazione: dove è avvenuta, a che ora e per quale importo. Sono informazioni che, durante una telefonata o in un messaggio, possono rendere molto più credibile una falsa comunicazione della banca. La vittima, sentendo riferimenti precisi al prelievo appena effettuato, può abbassare la guardia e pensare di parlare davvero con un addetto dell’istituto.
Quali lauree danno più opportunità di lavoro? Non solo medicina, le “sorprese” e l’errore da evitare
Come funziona la truffa
Lo schema è quello dell’ingegneria sociale. Il criminale non ha bisogno di entrare subito nel conto: prima deve convincere la vittima a fidarsi. Può presentarsi come operatore antifrode, parlare di un’anomalia dopo il prelievo, di un movimento sospetto o di una carta da bloccare con urgenza. Poi arriva la richiesta decisiva: comunicare un codice ricevuto via sms, confermare un’operazione dall’app, cliccare su un link o trasferire denaro su un conto indicato come “sicuro”. A quel punto il danno può essere già fatto.
I riscontri dall’estero. Il tema non riguarda solo l’Italia. Anche diverse fonti internazionali inseriscono la gestione delle ricevute ATM tra le buone pratiche di sicurezza. Texas Bank & Trust, per esempio, raccomanda ai clienti di non lasciare mai la ricevuta allo sportello, perché può contenere informazioni sensibili e favorire furti d’identità o tentativi di accesso illecito al conto. Anche HSBC, nelle indicazioni sull’uso sicuro degli sportelli, invita a portare via la ricevuta e a non abbandonarla dopo l’operazione.
Il nodo delle false comunicazioni bancarie. All’estero il rischio viene spesso collegato alle truffe di impersonificazione bancaria, cioè quelle in cui i criminali si fingono operatori dell’istituto. La Federal Trade Commission statunitense ha segnalato i falsi sms bancari come una delle forme più diffuse di truffa via messaggio: comunicazioni che imitano avvisi di sicurezza e spingono l’utente a cliccare, richiamare o confermare presunte operazioni. Fbi ha pubblicato avvisi analoghi sulle frodi di account takeover, in cui i criminali si presentano come assistenza bancaria per rubare credenziali, codici o denaro.
Scandalo delle scommesse nel calcio italiano
Perché pochi dettagli possono bastare. Nelle frodi moderne i criminali raramente partono da un solo elemento. Raccolgono frammenti: una ricevuta, un numero di telefono, un indirizzo email finito in un data breach, il nome della banca o l’area in cui vive la vittima. Poi assemblano tutto in una storia plausibile. È qui che lo scontrino diventa utile: non perché permetta direttamente l’accesso al conto, ma perché offre dettagli concreti con cui rendere credibile la messinscena. Nel social engineering, spesso non serve sapere tutto: basta sapere abbastanza per farsi credere.
Cosa fare al bancomat
La regola più semplice è non stampare la ricevuta se non serve. Se invece si decide di stamparla, non bisogna lasciarla nello sportello, appoggiarla sulla macchina o gettarla intera nel cestino vicino all’Atm. Va conservata come un documento riservato e distrutta quando non serve più, tagliandola in piccoli pezzi o usando un distruggidocumenti. Dopo il prelievo, inoltre, è sempre opportuno verificare che la sessione sia conclusa: se lo sportello chiede se si vuole effettuare un’altra operazione, bisogna premere “Annulla” o “Cancel” prima di allontanarsi.
Cosa fare se arriva una chiamata sospetta. Una banca non chiede mai pin, password, codici otp o conferme urgenti di sicurezza tramite telefono o sms. Non chiede nemmeno di trasferire soldi su un conto “sicuro”. Se dopo un prelievo arriva una chiamata sospetta, la cosa più prudente è interrompere la conversazione e contattare la banca usando solo i canali ufficiali: numero presente sul sito, sull’app o sul retro della carta. Non bisogna richiamare numeri ricevuti via messaggio né cliccare su link inviati da presunti operatori. La ricevuta non svuota il conto, ma può dare al truffatore il dettaglio giusto per sembrare affidabile.