truffe marketplace usato: tecniche phishing, smishing e vishing per prodotti tecnologici

Truffe nei marketplace dell’usato: annunci fake di prodotti tech super richiesti

A cura di:Redazione Ore

Il panorama delle frodi digitali è in continua e rapida evoluzione, con i marketplace dell’usato che si affermano come un terreno particolarmente fertile per attività illecite. Questi ambienti, intrinsecamente caratterizzati da transazioni peer-to-peer e da una percezione di maggiore flessibilità e informalità rispetto ai canali di e-commerce tradizionali, attraggono un numero crescente di attori malevoli. La facilità di accesso per i venditori e la minore formalizzazione dei processi creano vulnerabilità significative, rendendo difficile per gli utenti discernere tra offerte legittime e tentativi di raggiro.

Le statistiche recenti dipingono un quadro allarmante della diffusione delle truffe digitali in Italia. Nel 2024, oltre 2,9 milioni di cittadini italiani sono stati vittime di frodi legate all’uso di carte elettroniche, con un danno economico complessivo che ha superato gli 880 milioni di euro. Un dato sorprendente emerge dall’analisi demografica delle vittime: contrariamente alla percezione comune che gli anziani siano la fascia più vulnerabile, sono i giovani adulti a essere maggiormente colpiti. La fascia d’età tra i 18 e i 24 anni registra un’incidenza del 14,1%, seguita da quella tra i 25 e i 34 anni con l’8,5%, superando nettamente la media nazionale del 6,8%.

Questa distribuzione delle vittime suggerisce che la vulnerabilità non è primariamente legata a una presunta ingenuità tecnologica, ma piuttosto all’intensità dell’interazione digitale e, potenzialmente, a una maggiore propensione al rischio o a una minore percezione del pericolo in ambienti familiari come i social media e i marketplace. Ciò impone una ricalibrazione delle campagne di sensibilizzazione e delle strategie di difesa, che devono focalizzarsi non solo sulla protezione degli utenti meno esperti, ma anche sull’educazione alla consapevolezza del rischio per le generazioni digital-native.

Le tecniche di truffa più diffuse, che i criminali affinano costantemente, includono l’e-mail di phishing (38,1% dei casi), gli SMS fraudolenti (28,4%), i siti web falsi (19,4%) e i finti call center bancari (18,7%). Queste tecniche non operano in isolamento, ma sono spesso interconnesse. Un annuncio fraudolento su un marketplace può fungere da punto di partenza per un attacco di smishing o phishing, che a sua volta può evolvere in un vishing.

Questa convergenza delle tattiche indica che le frodi nei marketplace dell’usato non sono eventi isolati, ma spesso componenti di catene di attacco più complesse e multicanale. Di conseguenza, le contromisure devono essere integrate e olistiche, non limitate a un singolo vettore di attacco, considerando l’intero percorso dell’utente e le possibili deviazioni verso canali esterni.

I prodotti tecnologici “super richiesti”, come console di gioco (es. PlayStation 5), smartphone di ultima generazione, schede grafiche e altri gadget elettronici, sono particolarmente attraenti per i truffatori. La loro elevata domanda, la scarsità sul mercato del nuovo (in certi periodi) e il desiderio degli acquirenti di ottenere un “affare” li rendono obiettivi primari per annunci falsi, tecniche di bait-and-switch e altre frodi.

Il presente report si propone di analizzare le tattiche impiegate dai cybercriminali, le vulnerabilità intrinseche dei marketplace e i fattori psicologici che rendono le vittime suscettibili. L’obiettivo è fornire agli esperti di sicurezza informatica una comprensione approfondita delle dinamiche di queste frodi, supportata da evidenze accademiche e casi reali, al fine di migliorare le strategie di prevenzione, rilevamento e risposta.

Di seguito, si presenta una tabella riassuntiva delle statistiche chiave sulle truffe digitali in Italia per il 2024, utile per contestualizzare l’entità del fenomeno.

Tabella 3: statistiche chiave sulle truffe digitali in Italia (2024)

Categoria Dettaglio Valore Fonte
Vittime Numero totale di italiani colpiti da truffe con carte elettroniche > 2,9 milioni
Danno Economico Danno economico complessivo > 880 milioni di euro
Incidenza per Fascia d’Età 18-24 anni 14,1%
25-34 anni 8,5%
Media nazionale 6,8%
Tecniche di Truffa più Diffuse E-mail di phishing 38,1%
SMS fraudolenti (Smishing) 28,4%
Siti web falsi 19,4%
Finti call center bancari (Vishing) 18,7%
Messaggi tramite app di messaggistica 14,9%
Truffe sui social network 13,4%

L’Ingegneria sociale: fondamento delle truffe online

L’ingegneria sociale rappresenta la pietra angolare di molteplici schemi fraudolenti online, inclusi quelli che proliferano nei marketplace dell’usato. Questa disciplina, che si colloca all’intersezione tra psicologia e sicurezza informatica, si basa sulla manipolazione psicologica degli individui al fine di indurli a rivelare informazioni riservate o a compiere azioni che compromettono la loro sicurezza o i loro beni. I principi psicologici sottostanti, come quelli delineati dalla Social Cognitive Theory (SCT), evidenziano fattori quali l’eccessiva fiducia (overconfidence) e l’influenza sociale come predittori significativi della vittimizzazione da frodi online. I truffatori sfruttano la naturale tendenza umana a fidarsi, presentandosi come entità autorevoli o affidabili e costruendo scenari plausibili per aggirare lo scetticismo delle vittime.

Le tecniche di ingegneria sociale si manifestano in diverse forme, ciascuna con le proprie peculiarità e vettori di attacco:

Analisi dettagliata delle principali tecniche

Phishing

Il phishing è una truffa veicolata principalmente tramite e-mail, sebbene possa estendersi ad altri mezzi. Il malintenzionato effettua invii massivi di messaggi che imitano, nell’aspetto e nel contenuto, comunicazioni legittime di fornitori di servizi, istituti finanziari o enti pubblici. L’obiettivo è richiedere informazioni riservate, come credenziali di accesso, numeri di carte di credito, date di scadenza e codici CVV. Questi messaggi fraudolenti spesso contengono link che conducono a moduli o siti web fasulli, replicando fedelmente lo stile e la grafica del sito autentico, oppure inducono all’installazione di applicazioni malevole.

Gli indicatori di frode tipici del phishing includono: un indirizzo del mittente sospetto, che può presentare errori di battitura o un dominio differente da quello legittimo; un oggetto generico, poco chiaro o scritto in inglese; errori grammaticali, di traduzione o di formattazione nel testo o nel logo aziendale.

Altri segnali d’allarme sono esche allettanti, come promesse di vincite o premi, avvisi di urgenza (es. scadenza password, problemi al conto corrente) che spingono a un’azione immediata, inviti espliciti all’azione (“Verifica subito”, “Vai al sito”), richieste dirette di dati personali e link fasulli con codici numerici strani o URL accorciati. È comune trovare questi messaggi anche nella cartella dello spam. Le aziende legittime, in genere, non richiedono mai la conferma di dettagli sensibili tramite e-mail o messaggi non sollecitati.

Smishing

Lo smishing, o SMS phishing, è una tattica sempre più frequente nel furto di identità che sfrutta i messaggi di testo o le app di messaggistica (come Facebook Messenger, X, Reddit) per ingannare le vittime. Gli aggressori si presentano come entità che le vittime “conoscono” o di cui si fidano, quali istituti finanziari, rivenditori, superiori sul lavoro o agenzie della pubblica amministrazione. Questa familiarità induce le vittime ad abbassare la guardia, rendendole meno propense a valutare criticamente le richieste. I messaggi di smishing efficaci creano un senso di urgenza, presentando un esito negativo da evitare (es. chiusura del conto, sanzione) o un esito positivo da riscattare (es. ricompensa, consegna), richiedendo in entrambi i casi informazioni privilegiate o un pagamento.

I segnali per riconoscere lo smishing includono: messaggi provenienti da numeri non salvati in rubrica (sebbene sia possibile lo “Swap Alias”, dove l’SMS si posiziona nella cronologia autentica della banca); contenuti che chiedono di collegarsi a un link; richieste di dati personali una volta sul sito linkato; richieste di chiamare un numero per “verificare” o “riattivare” l’account; o la richiesta di scaricare un’applicazione tramite un link, spesso da uno store non autorizzato.

Vishing

Il vishing, o “voice phishing”, è una truffa telefonica che utilizza l’ingegneria sociale per indurre le vittime a divulgare informazioni personali, finanziarie o di sicurezza, o a trasferire denaro. Spesso, un attacco di vishing segue un SMS di smishing o un’e-mail di phishing, sfruttando una precedente interazione per aumentare la credibilità. I truffatori si spacciano per rappresentanti di call center di istituti di credito, società di software o telecomunicazioni, utilizzando la tecnologia VoIP per effettuare chiamate a basso costo e nascondere la propria identità e numero di telefono tramite “spoofing”. La manipolazione emotiva e l’urgenza sono leve psicologiche chiave, con il truffatore che può anche conoscere alcuni dati personali della vittima per abbassarne le difese.

I segnali di allarme del vishing includono: la ricezione di una chiamata da un numero sconosciuto o che appare autentico (a causa dello spoofing); il chiamante che si identifica come appartenente a un’organizzazione fidata; e la richiesta di fornire dati del conto, altre informazioni personali o di scaricare un’applicazione sul telefono.

L’Impatto dell’intelligenza artificiale generativa e dei Large Language Models

L’avvento dell’intelligenza artificiale generativa, inclusi i Large Language Models (LLM), sta profondamente trasformando e potenziando gli attacchi di social engineering. Queste tecnologie consentono ai criminali di creare messaggi di truffa altamente personalizzati, adattandoli al contesto culturale e ai dettagli personali delle vittime con una precisione allarmante. Questa capacità supera uno dei principali segnali di allarme tradizionali, ovvero la presenza di errori grammaticali o di traduzione nei messaggi fraudolenti, rendendo gli attacchi più convincenti e difficili da rilevare.

La sofisticazione dell’ingegneria sociale tramite IA implica che l’analisi basata su indicatori superficiali è sempre meno efficace. È imperativo sviluppare e implementare sistemi di rilevamento basati sull’analisi comportamentale e contestuale, capaci di identificare anomalie nel flusso della comunicazione o nelle richieste implicite, piuttosto che solo nella forma del testo. La formazione degli utenti deve evolvere, concentrandosi sulla verifica delle intenzioni e delle richieste piuttosto che sulla mera forma del messaggio.

Il rapporto Europol 2025 Internet Organised Crime Threat Assessment (IOCTA) evidenzia inoltre l’esistenza di un vasto “ecosistema del mercato nero” per i dati rubati e di piattaforme di “Crime-as-a-Service”. Questo ecosistema criminale offre kit di phishing, exploit, infostealers e tutorial, abbassando drasticamente la barriera d’ingresso per i criminali informatici e permettendo anche a individui con competenze tecniche limitate di lanciare attacchi sofisticati.

La disponibilità di strumenti e dati rubati su larga scala rende le frodi più pervasive e difficili da tracciare fino alla fonte. Per gli esperti, ciò significa che la lotta alle frodi deve andare oltre la semplice difesa tecnica, richiedendo un approccio di intelligence sulle minacce per monitorare e disarticolare le infrastrutture del mercato nero e anticipare le nuove minacce emergenti. La collaborazione internazionale tra le forze dell’ordine è fondamentale per contrastare queste reti transnazionali.

Di seguito, si presenta una tabella riassuntiva delle principali tecniche di ingegneria sociale e dei relativi indicatori di riconoscimento.

Tabella 1: tecniche di ingegneria sociale e indicatori di riconoscimento

Tipo di Attacco Vettori Comuni Tattiche Principali Indicatori di Riconoscimento
Phishing Email, Siti web falsi Impersonificazione di enti affidabili (banche, servizi), creazione di urgenza/paura, esca allettante (premi, vincite) Indirizzo mittente sospetto (errori, dominio diverso), oggetto generico/strano, errori grammaticali/logo, link fasulli (URL accorciati, codici), richiesta diretta dati personali, messaggi in spam.
Smishing SMS, App di messaggistica (WhatsApp, X, Reddit) Impersonificazione di enti familiari (corrieri, banche, rivenditori), creazione di urgenza (problemi pacco, conto), promessa di benefici (premi, rimborsi) Messaggio da numero non in rubrica (o Swap Alias), link nel testo, richiesta di dati personali sul sito linkato, richiesta di chiamare un numero o scaricare app da link.
Vishing Chiamate telefoniche (VoIP) Impersonificazione di call center (banche, tech support), manipolazione emotiva (urgenza, empatia), spoofing del numero, conoscenza parziale dati vittima Numero sconosciuto o spoofato (che appare legittimo), chiamante che richiede dati conto/personali/download app, pressione per azione immediata.

Esporta in Fogli

Modus operandi delle truffe sui prodotti tech: pattern e casistiche reali

Le truffe nei marketplace dell’usato, in particolare quelle che hanno come bersaglio prodotti tecnologici altamente richiesti, seguono schemi operativi ben definiti, sfruttando la domanda elevata e la “psicologia dell’affare” per ingannare le vittime.

Annunci fraudolenti: creazione di annunci fake per prodotti inesistenti o contraffatti

I truffatori creano annunci per prodotti tecnologici molto desiderati, come console di gioco (es. PlayStation 5), schede grafiche, smartphone di ultima generazione o altri gadget elettronici, proponendoli a prezzi significativamente inferiori al loro valore di mercato. Spesso, le immagini utilizzate negli annunci sono prese da inserzioni reali di altri venditori o direttamente dai siti dei produttori, conferendo un’apparenza di legittimità all’offerta. L’obiettivo principale è attirare acquirenti incauti, che, spinti dal desiderio di un affare vantaggioso, tendono a ignorare i segnali di allarme.

Questa manipolazione psicologica, che fa leva sul desiderio di un vantaggio economico significativo, abbassa la guardia dell’acquirente e la sua propensione a verificare criticamente l’annuncio. Le piattaforme dovrebbero implementare algoritmi capaci di segnalare o bloccare automaticamente annunci con prezzi anomali per prodotti ad alta domanda, in quanto la leva del prezzo irresistibile è una forma di manipolazione che bypassa i meccanismi razionali di valutazione del rischio.

Una variante comune è la “truffa bait-and-switch”, in cui un prodotto popolare viene pubblicizzato a un prezzo molto basso per attirare l’acquirente, ma una volta stabilito il contatto, il venditore propone un articolo diverso, spesso di qualità inferiore o a un costo più elevato. Questo stratagemma mira a capitalizzare l’interesse iniziale generato dall’offerta fraudolenta.

Tattiche di manipolazione della transazione

Oltre alla creazione di annunci ingannevoli, i truffatori impiegano diverse tattiche per manipolare la transazione e assicurarsi il profitto illecito:

Mancata consegna (Non-delivery)

Uno degli stratagemmi più classici è la mancata consegna dell’articolo. Il venditore incassa il denaro pattuito, ma l’oggetto non viene mai spedito o consegnato all’acquirente. Questo tipo di frode è particolarmente diffuso per gli acquisti che prevedono la spedizione al di fuori dell’area locale dell’acquirente, riducendo le possibilità di un incontro fisico o di una verifica diretta.

Falsi acquirenti/venditori

Le truffe possono colpire anche i venditori, attraverso l’azione di falsi acquirenti:

  • Truffe di Sovrappagamento: Un acquirente fraudolento invia intenzionalmente un pagamento superiore al prezzo concordato per l’articolo e chiede al venditore di rimborsare la differenza. Il pagamento originale, tuttavia, è spesso effettuato con carte di debito o di credito rubate e viene successivamente dichiarato fraudolento e annullato. Ciò lascia il venditore senza l’articolo e senza il denaro rimborsato.
  • Richieste di Codici di Verifica (es. Truffa di Google Voice): In questo scenario, il truffatore, fingendosi un acquirente interessato, chiede al venditore di autenticarsi tramite un codice di verifica. Questo codice è in realtà un codice di autenticazione a due fattori (2FA) inviato da un servizio legittimo (come Google Voice) e avviato dal truffatore stesso. Ottenendo questo codice, il truffatore può accedere all’account del venditore o creare nuovi account a suo nome, utilizzandoli per ulteriori attività fraudolente o transazioni illecite.

Metodi di pagamento fraudolenti

La scelta del metodo di pagamento è un indicatore cruciale di potenziale frode. I cybercriminali prediligono modalità che offrono anonimato e irreversibilità, rendendo estremamente difficile il recupero dei fondi da parte delle vittime.

Ricarica postepay e truffa del Postamat

La ricarica Postepay è un metodo di pagamento estremamente rischioso nelle transazioni tra privati, spesso sfruttato nelle truffe. Il truffatore induce il venditore a recarsi a uno sportello Postamat e, tramite istruzioni telefoniche ingannevoli, lo convince a effettuare una “ricarica” sulla carta Postepay del truffatore, anziché ricevere un pagamento. La vittima, convinta di incassare il denaro, finisce per versarlo. La ricarica Postepay è legalmente equiparabile a una donazione e non ha alcun valore come metodo di pagamento per una transazione commerciale. Una volta effettuata, la ricarica è irreversibile, poiché il truffatore ha immediata disponibilità della somma e può prelevarla istantaneamente.

Il reato di truffa (Art. 640 c.p.) si consuma nel momento e nel luogo in cui la persona offesa effettua la ricarica, poiché tale operazione realizza contestualmente il conseguimento del bene da parte dell’agente e la perdita definitiva dello stesso da parte della vittima. In caso di vittimizzazione, è fondamentale sporgere immediatamente una denuncia-querela entro il termine massimo di tre mesi dalla conoscenza del fatto.

La scelta di questi metodi di pagamento non è casuale, ma è una decisione strategica dei truffatori proprio per la loro mancanza di protezione per l’acquirente e la difficoltà di recupero fondi. Per gli esperti di sicurezza e le piattaforme, ciò impone la necessità di scoraggiare attivamente l’uso di tali metodi per le transazioni con sconosciuti e di promuovere l’adozione di gateway di pagamento sicuri e tracciabili che offrano protezione dell’acquirente.

Pagamenti non tracciabili

L’uso di metodi di pagamento non tradizionali o non tracciabili, come Zelle, Venmo, Cash App, bonifici bancari diretti o carte regalo, è un forte segnale di allarme. Questi metodi sono preferiti dai truffatori perché rendono estremamente difficile il recupero dei fondi una volta che la frode è stata perpetrata. Ad esempio, le truffe con carte regalo hanno causato perdite significative, e piattaforme come Venmo, Cash App e Zelle sono sfruttate per transazioni rapide e spesso irreversibili. I bonifici bancari diretti, sebbene sembrino più formali, non offrono le stesse protezioni di un gateway di pagamento sicuro in caso di frode.

Di seguito, si presenta una tabella che riassume i metodi di pagamento a rischio e i segnali di allarme associati.

Tabella 2: metodi di pagamento a rischio e segnali di allarme nelle transazioni

Metodo di Pagamento Caratteristiche di Rischio Segnali di Allarme Implicazioni per la Vittima
Ricarica Postepay Irreversibilità immediata, equiparabile a donazione, assenza di valore legale per transazioni commerciali. Richiesta di recarsi al Postamat, istruzioni telefoniche ingannevoli, pressione per azione immediata. Difficoltà/impossibilità di recupero fondi, danno patrimoniale diretto, necessità di denuncia-querela tempestiva.
Zelle, Venmo, Cash App Trasferimenti istantanei e spesso irreversibili, anonimato relativo, mancanza di protezione acquirente/venditore. Richiesta di usare queste app per “velocizzare” la transazione, screenshot di pagamenti falsi, richieste di “tasse di sicurezza” o verifica tramite app di terze parti. Fondi difficili da recuperare, esposizione a phishing e sovrappagamento, rischio di furto d’identità.
Bonifico Bancario (diretto a sconosciuto) Difficoltà di tracciamento e recupero una volta completato, assenza di protezione transazionale. Richiesta di bonifico per “sicurezza” o “offerta esclusiva”, pressione per invio rapido, venditore che scompare dopo il versamento. Fondi difficili da recuperare, rischio di perdere l’articolo e il denaro.
Carte Regalo Anonimato, impossibilità di tracciare o recuperare il denaro una volta riscattato il codice. Richiesta di pagamento tramite carte regalo, giustificazioni su “metodi rapidi e sicuri”. Denaro impossibile da rintracciare o recuperare, rischio di furto d’identità.
In generale Mancanza di protezione dell’acquirente, transazioni fuori piattaforma, assenza di alternative sicure. Richiesta di spostare la trattativa fuori dalla piattaforma, pressione per concludere velocemente, rifiuto di metodi di pagamento sicuri. Aumento esponenziale del rischio di frode, perdita di garanzie e supporto della piattaforma.

 

Casi studio emblematici

L’analisi di casi reali offre una prospettiva concreta sulle modalità operative delle truffe:

  • Il Caso della Polizia Postale di Ferrara su Facebook Marketplace: Un cittadino ferrarese ha denunciato la mancata ricezione di uno specchio acquistato su Facebook Marketplace. Dopo aver effettuato un bonifico bancario, il venditore si è reso irreperibile, disattivando l’utenza telefonica fornita. Le indagini della Polizia Postale di Ferrara hanno permesso di identificare e denunciare il truffatore, già noto alle forze dell’ordine per reati analoghi. Questo caso sottolinea l’importanza della prudenza e della verifica degli annunci, nonché l’efficacia dell’intervento delle forze dell’ordine nella risoluzione di tali frodi.
  • La Truffa Arval sulla Vendita di Veicoli Usati su Facebook Marketplace: È stato riscontrato un fenomeno in cui ignoti si fingevano operatori Arval per proporre la vendita di veicoli usati, principalmente sul Marketplace di Facebook. Questi falsi addetti Arval utilizzavano il nome dell’azienda e dei suoi collaboratori, gestendo pagine web, indirizzi e-mail e profili Facebook che imitavano graficamente i canali ufficiali di Arval. Spesso indicavano agenzie e store Arval come punti di ritiro per veicoli per i quali erano già stati versati anticipi. Negli ultimi tre mesi, oltre 300 annunci fraudolenti sono stati intercettati sulla piattaforma Meta, pubblicati da più di 50 venditori fittizi. Arval ha avviato procedimenti penali per contrastare il fenomeno.
  • Esempi di Truffe su Prodotti Tech Specifici:
    • PS5: Annunci di PlayStation 5 a prezzi irrisori su piattaforme come Subito.it o Facebook Marketplace sono comuni. Spesso, i truffatori adducono la scusa di essere fuori città per lavoro e richiedono pagamenti anticipati non tracciabili, come bonifici o ricariche Postepay, per poi sparire.
    • Schede Grafiche: Si sono verificati casi in cui acquirenti hanno ordinato schede madri di alto valore (es. 600 euro) da marketplace (come Amazon Warehouse), ricevendo poi un modello economico di valore nettamente inferiore (es. 50 euro).
    • Smartphone: È stata documentata una finta vendita online di smartphone a 2 euro, con link che reindirizzavano a siti web che imitavano agenzie di stampa per conferire credibilità alla frode.
    • Generale: Un caso ha visto l’acquisto di un controller Dualsense, con la ricezione di un controller generico al posto dell’originale. Annunci con foto prese da inserzioni vere, ma relative a merce inesistente, sono un altro stratagemma diffuso.

Vulnerabilità e indicatori di rischio per gli esperti di sicurezza

Per gli esperti di sicurezza informatica, la comprensione delle vulnerabilità intrinseche dei marketplace e l’identificazione precoce degli indicatori di rischio sono fondamentali per sviluppare strategie di difesa efficaci.

Segnali di allarme e comportamenti sospetti

Diversi segnali e comportamenti anomali possono indicare la presenza di una truffa:

  • Offerte “Troppo Belle per Essere Vere”: Prezzi significativamente inferiori al valore di mercato per prodotti molto richiesti sono un campanello d’allarme primario. Tali offerte sono spesso un’esca per attrarre vittime.
  • Discrepanze nel Sito/Profilo: La presenza di errori di ortografia, foto sfocate o di archivio, grafica scadente o prestazioni scarse del sito web sono indicatori di un’attività fraudolenta. Anche un indirizzo e-mail del mittente sospetto o un logo riprodotto male, con spaziatura anomala, possono rivelare l’inganno.
  • Mancanza di Informazioni Aziendali: L’assenza di sezioni come “Chi siamo”, politiche di reso chiare o dati di contatto standard su un sito o profilo di vendita dovrebbe destare sospetti.
  • Rifiuto di Verifica dell’Identità: Un venditore o acquirente che si rifiuta di effettuare videochiamate, parlare al telefono o fornire documenti di identità per verificare la propria identità è un forte indicatore di frode.
  • Pressione per Decisioni Rapide: I truffatori spesso creano un senso di urgenza per spingere la vittima a prendere decisioni affrettate, ad esempio minacciando la disattivazione dell’account o la perdita di un’opportunità.
  • Spostamento delle Comunicazioni Off-Platform: La richiesta di continuare la trattativa su piattaforme di messaggistica privata (es. WhatsApp, Telegram) o e-mail personali, al di fuori dei canali ufficiali del marketplace, è un tentativo di eludere i sistemi di monitoraggio e le protezioni della piattaforma.

L’Ecosistema del mercato nero: funzionamento dei “Automated Vending Carts” (AVCs) e del “Crime-as-a-Service”

Il cybercrime contemporaneo è alimentato da un vasto e complesso ecosistema di mercato nero, che rappresenta una vera e propria infrastruttura sotterranea per la frode. In questo ambiente, dati rubati, come credenziali di accesso e dati di carte di credito compromesse, vengono venduti e rivenduti su larga scala. Gli “Automated Vending Carts” (AVCs) sono mercati automatizzati specificamente progettati per la vendita di dettagli di carte compromesse, consentendo acquisti senza alcuna interazione diretta con un venditore.

Questo ecosistema include anche il “Crime-as-a-Service”, che offre agli aspiranti criminali strumenti (come kit di phishing, exploit e infostealers) e tutorial passo-passo, democratizzando l’accesso a tattiche di frode sofisticate. La professionalizzazione della frode, supportata da questa economia criminale organizzata, fornisce ai truffatori gli strumenti, i dati e il know-how necessari per operare su vasta scala e con elevata sofisticazione.

Per gli esperti di sicurezza, ciò implica che la lotta alle frodi deve andare oltre la semplice protezione dell’utente finale. Richiede un approccio basato sull’intelligence delle minacce (Threat Intelligence) per monitorare e disarticolare le infrastrutture del mercato nero, identificare i broker di dati e i fornitori di servizi criminali. La collaborazione internazionale tra le forze dell’ordine, come Europol , è fondamentale per contrastare queste reti transnazionali.

Responsabilità dei marketplace: analisi della responsabilità civile degli ISP e obblighi di protezione

La giurisprudenza italiana, in linea con la Direttiva UE sul commercio elettronico (D.lgs. n. 70/2003), distingue tra hosting provider passivi e attivi in relazione alla loro responsabilità civile. I provider passivi, che si limitano alla pubblicazione anastatica dei contenuti caricati dagli utenti, possono beneficiare dell’esenzione da responsabilità, a meno che non rimuovano tempestivamente contenuti illeciti di cui sono a conoscenza. Al contrario, i marketplace, in quanto spesso classificati come “hosting provider attivi”, sono soggetti alle regole della responsabilità civile (ex art. 2043 c.c.) se svolgono un ruolo di “interferenza” attiva, come il filtro, la selezione, l’indicizzazione o la promozione dei contenuti.

Il Tribunale di Trani, ad esempio, ha riconosciuto la configurabilità di una responsabilità astratta del marketplace in un caso di truffa online, evidenziando che i marketplace, in virtù di un “contatto sociale qualificato” con gli utenti, hanno obblighi di protezione e informazione. Questi obblighi vanno oltre la mera rimozione di contenuti segnalati e includono l’adozione di misure adeguate contro profili falsi, l’emissione di avvertimenti efficaci sui rischi e la verifica della capacità degli utenti di percepire tali rischi.

La responsabilità condivisa e la necessità di proattività delle piattaforme sono pertanto cruciali. Le piattaforme non possono più adottare un approccio passivo alla sicurezza. Devono investire in sistemi di verifica dell’identità più robusti, algoritmi di rilevamento proattivo degli annunci fraudolenti (anche quelli con prezzi anomali) e campagne di sensibilizzazione continue e mirate. La mancata adozione di tali misure non solo espone gli utenti a rischi significativi, ma può anche comportare conseguenze legali e reputazionali per i marketplace stessi. La sicurezza, in questo contesto, non è più solo un costo, ma un requisito legale e un fattore critivo per la fiducia e la sostenibilità del business.

Strategie di prevenzione e contromisure tecniche avanzate

La lotta alle frodi online nei marketplace dell’usato richiede un approccio multifattoriale che integri tecnologie avanzate, best practice di cybersecurity e capacità di indagine forense.

Autenticazione a più fattori (MFA/2FA): implementazione e best practice

L’autenticazione a più fattori (MFA) o a due fattori (2FA) è un processo di sicurezza che richiede agli utenti di fornire almeno due forme separate di identificazione per verificare la propria identità, aggiungendo un livello di sicurezza cruciale. Questo rende significativamente più difficile per gli attori malevoli ottenere accesso non autorizzato, anche in caso di compromissione di una singola credenziale. I fattori di autenticazione possono includere qualcosa che l’utente conosce (password), qualcosa che possiede (token hardware, smartphone con app di autenticazione) o qualcosa che è (identificatori biometrici).

Le migliori pratiche per l’MFA includono l’applicazione obbligatoria su tutti gli account critici, come quelli amministrativi o quelli con accesso ai gateway di pagamento, l’implementazione di controlli di accesso basati sui ruoli e la garanzia che tutti i fornitori di servizi terzi supportino e applichino l’MFA.

Gateway di pagamento sicuri: ruolo della crittografia e degli strumenti di prevenzione frodi integrati

L’utilizzo di gateway di pagamento sicuri, come PayPal o Stripe, è fondamentale per elaborare transazioni online in modo protetto. Questi sistemi garantiscono che le informazioni finanziarie sensibili, quali numeri di carte di credito e dati bancari, siano crittografate e trasmesse in sicurezza, prevenendo accessi non autorizzati e frodi. La conformità agli standard PCI DSS (Payment Card Industry Data Security Standard) è essenziale per la protezione dei dati dei titolari di carta.

La tokenizzazione rappresenta un’ulteriore e avanzata misura di protezione. Questa tecnica sostituisce i dati sensibili della carta con token unici e privi di significato per gli hacker, riducendo il rischio di esposizione dei dati reali in caso di violazione del sistema. I gateway di pagamento sicuri spesso integrano anche strumenti di prevenzione delle frodi, come 3D Secure e l’Address Verification System (AVS), che monitorano le transazioni in tempo reale per identificare e bloccare attività sospette.

Intelligenza artificiale e machine learning: sistemi di rilevamento frodi in tempo reale, analisi comportamentale e algoritmi adattivi

L’intelligenza artificiale (IA) e il machine learning (ML) stanno diventando strumenti indispensabili per la prevenzione e il rilevamento delle frodi nell’e-commerce. Queste tecnologie sono capaci di analizzare volumi massivi di dati, identificare schemi complessi e adattarsi rapidamente alle nuove minacce emergenti. I sistemi basati su IA/ML offrono monitoraggio e avvisi in tempo reale, algoritmi intelligenti che apprendono dalle frodi passate, analisi comportamentale per identificare deviazioni significative dai modelli di comportamento normali degli utenti e regole personalizzabili per la classificazione del rischio.

L’evoluzione della difesa è passata da un approccio reattivo a uno proattivo e predittivo. L’IA permette di identificare pattern anomali e comportamenti sospetti prima che la frode si concretizzi o si aggravi, segnando un cambiamento fondamentale nelle strategie di sicurezza. Ciò richiede che gli esperti di sicurezza sviluppino competenze avanzate in data science, machine learning e analisi comportamentale per anticipare e contrastare le minacce. Le metriche cruciali per valutare l’efficacia di questi sistemi includono il tasso di rilevamento, il tasso di falsi positivi, la precisione e il richiamo, il tempo di risposta e la riduzione complessiva delle perdite per frodi.

Cybersecurity best practices: aggiornamenti software, firewall, segmentazione della rete, formazione del personale

Un’efficace strategia di cybersecurity si fonda sull’adozione di best practice consolidate:

  • Aggiornamenti Software Regolari: Le vulnerabilità nel software obsoleto sono un obiettivo primario per i cybercriminali. È fondamentale aggiornare regolarmente piattaforme, plugin e applicazioni non appena vengono rilasciate nuove versioni, testandole in ambienti di staging per garantirne la compatibilità.
  • Firewall e Web Application Firewall (WAF): L’implementazione di firewall e WAF è cruciale per prevenire accessi non autorizzati e proteggere da attacchi specifici a livello di applicazione web.
  • Segmentazione della Rete e Controlli di Accesso: Limitare i diritti di accesso ai sistemi e ai dati in base al ruolo e alla necessità (principio del minimo privilegio) è una pratica essenziale per contenere il danno in caso di violazione.
  • Backup e Disaster Recovery: Disporre di backup recenti, automatizzati e testati regolarmente, archiviati in modo sicuro off-site, è vitale per garantire un rapido recupero dei dati e minimizzare i tempi di inattività in caso di incidente.
  • Formazione del Personale: L’errore umano è una delle principali cause di violazione dei dati. È imperativo educare regolarmente il personale a riconoscere tentativi di phishing, a creare password robuste e a gestire i dati in sicurezza, promuovendo una cultura della cybersecurity all’interno dell’organizzazione.

Digital forensics nelle indagini sulle frodi online

La digital forensics è un pilastro fondamentale nelle indagini sulle frodi online, fornendo gli strumenti e le metodologie per raccogliere, analizzare e presentare prove digitali in modo legalmente ammissibile. Il processo forense digitale si articola in diverse fasi chiave:

  • Identificazione: Individuazione di tutti i reperti informatici potenzialmente rilevanti, inclusi computer, smartphone, tablet, server e supporti di archiviazione esterni.
  • Preservazione: Creazione di copie forensi (immagini esatte) dei dati per mantenere l’integrità delle prove originali. Vengono utilizzati strumenti come i write blockers e vengono generati identificativi univoci (HASH) per garantire la veridicità della copia rispetto all’originale. La tempestività in questa fase è cruciale per la “cristallizzazione” delle prove.
  • Estrazione e Analisi: Recupero di dati rilevanti dai dispositivi identificati, anche da quelli danneggiati o compromessi. Questo include l’analisi di immagini forensi, l’email forensics e il recupero di file cancellati.
  • Documentazione: Meticolosa registrazione di tutte le attività investigative e dei risultati ottenuti, essenziale per la legalità e l’ammissibilità delle prove.
  • Presentazione: Formulazione di relazioni tecniche e perizie informatiche che presentino le prove in un formato comprensibile e legalmente valido per i decisori e i tribunali.

Gli elementi probatori digitali che possono essere sottoposti a perizia includono tabulati telefonici, messaggi WhatsApp, e-mail, PEC, documenti Office, contabili bancarie alterate e log dei sistemi di pagamento (es. PayPal). Gli ambiti di applicazione della digital forensics sono vasti e comprendono frodi economiche, elettroniche e informatiche, furti di identità, intrusioni non autorizzate, accessi non autorizzati ad account, data breach e violazioni della privacy.

La digital forensics funge da pilastro post-incidente e da deterrente. La capacità di condurre indagini forensi digitali robuste e legalmente valide è cruciale per la giustizia e per scoraggiare i criminali. Ciò implica la necessità di formazione continua in digital forensics, l’adozione di strumenti certificati e la comprensione approfondita delle implicazioni legali della raccolta delle prove. La tempestività nella cristallizzazione dei dati è un fattore critico che può determinare il successo di un’indagine e il recupero dei fondi o l’identificazione dei responsabili.

Conclusioni e prospettive future nella lotta alle frodi online

Le truffe nei marketplace dell’usato, in particolare quelle che colpiscono i prodotti tecnologici altamente richiesti, costituiscono una minaccia persistente e in continua evoluzione nel panorama della cybersecurity. La crescente sofisticazione delle tecniche di ingegneria sociale, amplificata dall’adozione dell’intelligenza artificiale generativa, e la presenza di un’infrastruttura criminale organizzata nel mercato nero, rendono la difesa sempre più complessa. La vulnerabilità non è più confinata a specifiche demografie, ma si estende in modo significativo anche a fasce d’età più giovani e tecnologicamente avvezze, sfidando le percezioni tradizionali sulla vittimizzazione.

Per affrontare efficacemente questa minaccia, è imperativo adottare un approccio olistico e proattivo, basato su raccomandazioni strategiche che coinvolgano tutti gli attori dell’ecosistema digitale:

  • Educazione e Consapevolezza Mirata: Le campagne di sensibilizzazione devono evolvere per enfatizzare non solo i segnali di allarme tecnici, ma anche la “psicologia dell’affare” e i segnali comportamentali che indicano una potenziale frode. È fondamentale costruire una resilienza psicologica negli utenti contro offerte eccessivamente allettanti, che spesso rappresentano esche.
  • Tecnologie Avanzate per la Prevenzione: È necessario un investimento continuo in soluzioni basate su intelligenza artificiale e machine learning per il rilevamento delle frodi in tempo reale e l’analisi comportamentale. L’implementazione estesa dell’autenticazione a più fattori (MFA) su tutte le piattaforme e servizi è un baluardo essenziale contro l’accesso non autorizzato.
  • Standardizzazione e Promozione dei Pagamenti Sicuri: Le piattaforme e gli istituti finanziari devono assumere un ruolo attivo nel promuovere l’uso esclusivo di gateway di pagamento tracciabili e sicuri, scoraggiando attivamente l’adozione di metodi a rischio come le ricariche Postepay o i trasferimenti tramite app non protette.
  • Miglioramento della Sicurezza e Responsabilità delle Piattaforme: I marketplace devono assumere un ruolo più proattivo nella verifica dell’identità dei venditori, nel monitoraggio algoritmico degli annunci per identificare anomalie (es. prezzi irrealistici) e nell’applicazione rigorosa delle politiche di sicurezza. La giurisprudenza sta sempre più riconoscendo la loro responsabilità come “hosting provider attivi”, imponendo obblighi di protezione e informazione.
  • Rafforzamento della Digital Forensics e Risposta agli Incidenti: Le capacità di indagine forense digitale devono essere costantemente rafforzate per garantire la raccolta tempestiva e l’analisi accurata delle prove. Questa competenza è cruciale non solo per la persecuzione dei criminali, ma anche per la ricostruzione degli eventi e il potenziale recupero dei danni.

La lotta alle frodi online richiede un ecosistema di sicurezza collaborativo. Le forze dell’ordine, come la Polizia Postale e Europol, devono continuare a disarticolare le reti criminali transnazionali attraverso l’intelligence delle minacce. Le piattaforme devono implementare misure di sicurezza robuste e assumersi le proprie responsabilità legali e morali. Gli utenti, dal canto loro, devono essere informati, vigili e pronti a segnalare attività sospette. Solo attraverso un impegno congiunto e sinergico sarà possibile mitigare efficacemente questa minaccia in continua evoluzione e proteggere l’integrità del commercio digitale.

Fonti:

EPC (European Payments Council). (2024). 2024 Payments Threats and Fraud Trends Report.

Europol. (2025). 2025 Internet Organised Crime Threat Assessment (IOCTA) report.

Intesa Sanpaolo Private Banking. (s.d.). Sicurezza digitale: frodi online, phishing, vishing, smishing.

Keeper Security. (2024). Cosa fare se cadi vittima di una truffa dello shopping online.

Malwarebytes. (s.d.). Come riconoscere una truffa online.

Polizia di Stato. (s.d.). Questure di Ferrara: Denunciato 50enne per truffa sul Marketplace di Facebook.

Polizia di Stato. (s.d.). Guida Truffe Online.

Studio Santino. (s.d.). Truffa commessa mediante ricarica PostePay. Come funziona?

Visa Italia. (s.d.). Truffe di social engineering: Cosa c’è da sapere.

Zscaler. (s.d.). Cos’è lo smishing (SMS phishing)?

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi