Skip to main content
Articoli Cert

Truffa dello scontrino (bancomat): come funziona e come difendersi

14 Ottobre 20256 min read

Nelle ultime settimane abbiamo visto numerose segnalazioni legate alla cosiddetta “truffa dello scontrino”: ricevute ATM/POS recuperate o fotografate diventano il punto di partenza di attacchi di social-engineering che portano allo svuotamento dei conti o al furto d’identità.

Le segnalazioni pubbliche convergono su uno schema ricorrente: il documento cartaceo fornisce informazioni (anche parziali) che vengono poi sfruttate per convincere la vittima a rivelare ulteriori credenziali o OTP.

 

Scontrino: perché è utile ai cyber criminali

Sebbene lo scontrino ATM/POS non riporti quasi mai PAN completo o CVV, può contenere:

  • data/ora e importo della transazione, filiale o identificativo ATM/POS;
  • ultimi 4 cifre della carta e talvolta una parte di numerazione del conto;
  • saldo mostrato o transazione ante/post che aiutano la profilazione.

Questi frammenti, messi insieme con dati reperibili sui social o via OSINT, consentono ai truffatori di costruire una narrativa credibile: “abbiamo rilevato transazioni sospette sul suo conto X, dica il codice che le verrà inviato…”.

Pertanto, si raccomanda di non stampare o conservare la ricevuta se non strettamente necessario.

 

Meccanica dell’attacco

Di seguito la catena operativa tipica che un attaccante segue per trasformare le informazioni ricavate dallo scontrino in accesso e svuotamento del conto:

  1. Raccolta: recupero fisico della ricevuta da ATM o bar/negozio; oppure fotografia di ricevuta consegnata al cliente
  2. Ricostruzione contesto: uso di OSINT e data-enrichment (es. cercare il nome associato al numero telefonico, profili social, pattern di prelievo)
  3. Contatto iniziale: chiamata/sms/Whatsapp fingendosi banca o call center (vishing/smishing)
  4. Escalation richiesta: richiesta di codici OTP, PIN, codici di sicurezza o invito a installare app di “supporto remoto”
  5. Svuotamento: uso delle informazioni ottenute per trasferimenti rapidissimi o autenticazioni push fraudolente.

Questa catena è pericolosa perché un singolo frammento di verità (es. importo/ora reale) rende la comunicazione social-engineered molto più convincente.

Analisi tecnica

Un SOC o il team antifrode di una banca dovrebbe considerare almeno questi segnali:

  • aumento improvviso di richieste di reset/push auth per lo stesso account in finestra oraria ristretta
  • duplicazione di richieste OTP da lockstep device diversi
  • transazioni multiple ad elevato importo in rapida successione su carte che mostrano prelievi regolari mensili.

Per dimostrare un approccio pratico abbiamo preparato un semplice esempio di detection: si conteggia il numero di transazioni per carta in finestre orarie e si segnala quando il conteggio supera una soglia statistica (media + k·std). Questo è un heuristic di base: in produzione servirebbero modelli probabilistici più robusti (MLE, Bayesian change point, modelli ML/seq-anomaly).

 

Codice esemplificativo

Per dimostrare in modo pratico un approccio di rilevamento, abbiamo realizzato un semplice script Python che analizza il numero di transazioni per ogni carta in finestre orarie e segnala automaticamente le anomalie.

L’algoritmo utilizza una soglia statistica di base (la media più quattro deviazioni standard) per identificare comportamenti atipici, come un improvviso aumento di operazioni in un breve intervallo temporale.

Questo metodo, sebbene elementare, permette di visualizzare come un attacco di svuotamento rapido del conto possa emergere chiaramente dai dati transazionali. In contesti reali, lo stesso principio può essere esteso a modelli di machine learning o analisi comportamentale più sofisticate.

Il frammento di codice riportato di seguito mostra il cuore della logica di detection:

# conteggio per finestra oraria
counts = df.groupby(['card_id','hour']).size().reset_index(name='tx_count')
# soglia semplice: mean + 4*std
stats = counts.groupby('card_id')['tx_count'].agg(['mean','std']).reset_index()
counts = counts.merge(stats, on='card_id', how='left')
counts['threshold'] = counts['mean'] + 4*counts['std']
counts['anomaly'] = counts['tx_count'] > counts['threshold']

Nel test di simulazione, il modello ha rilevato un picco anomalo su una delle carte, visualizzato nel grafico di seguito /mnt/data/anomaly_plot_card2.png e il dataset utilizzato come esempio pratico /mnt/data/sample_transactions_scontrino.csv.

Il grafico illustra come una finestra oraria con molte transazioni ATM su una singola carta può essere segnalata come anomala dal rilevamento descritto.

 

Tecniche criminali correlate

Vediamo le tecniche e metodi usati negli attacchi correlati alla truffa dello scontrino:

  • Vishing & Smishing: telefonate o messaggi che sfruttano i dettagli dello scontrino per aumentare credibilità
  • Sim-swap e social engineering: usare i dati per eseguire SIM swap e intercettare OTP
  • Photo-collection + deep-OSINT: coppie data/ora + merchant permettono di incrociare e identificare soggetti che frequentano determinati luoghi.

 

Mitigazioni pratiche (per utenti)

Buone abitudini, consapevolezza e gestione prudente delle informazioni apparentemente innocue come uno scontrino sono le basi per ridurre il rischio di esposizione. Vediamo insieme come comportarsi:

  • Non stampare la ricevuta a meno che non serva davvero; se la stampi, distruggila immediatamente.
  • Verifica sempre il mittente di chiamate/sms; le banche non chiedono PIN o OTP via telefono.
  • Attiva notifiche push sull’app ufficiale (più difficile da intercettare rispetto a SMS).
  • Blocca la carta subito alla prima attività sospetta e segnala alla banca.
  • Usa autenticazione a più fattori con canali diversi (es. push su device protetto + hardware token).

 

Mitigazioni tecniche (per banche)

Oltre alle mitigazioni pratiche, analizziamo come i team di sicurezza, i SOC e gli istituti bancari possono individuare, prevenire e contenere la truffa dello scontrino attraverso controlli automatizzati, monitoraggio comportamentale e strategie di hardening dei sistemi.

  • Implementare rilevamento comportamentale con modelli che analizzino sequence di transazioni e device fingerprinting
  • Rate-limit e challenge step-up (es. chiedere conferma biometrica per transazioni atipiche)
  • Monitoraggio di SMS & vishing campaigns coordinate (threat intel) e takedown degli operatori di smishing
  • Campagne informative ai clienti: evitare stampa ricevute e indicare canali ufficiali di contatto.

 

Esempio operativo: playbook di risposta rapida

In caso di sospetto attacco legato alla truffa dello scontrino, un intervento tempestivo e strutturato è fondamentale. Di seguito un esempio di playbook operativo che sintetizza le principali azioni di risposta rapida:

  1. Isolare la carta e disabilitare i canali di pagamento immediatamente
  2. Fornire all’utente un canale verificato (numero ufficiale) e attivare challenge push su device secondario
  3. Analizzare log per 48–72 ore prima e dopo l’evento per tracciare eventuali account correlati
  4. Collaborare con operatori telefonici in caso di sospetto SIM swap.

 

La “truffa dello scontrino” è efficace perché sfrutta la fiducia: dati apparentemente innocui rendono molto più credibile la narrativa dei criminali. Per difendersi serve una combinazione di hygiene personale (non stampare, non condividere) e contromisure tecniche (rilevamento comportamentale, MFA robusta, campagne di awareness).

Le recenti segnalazioni confermano che il fenomeno è in atto e che è necessario un approccio operativo e formativo coordinato.