Le comunicazioni telefoniche sono spesso usate dai criminali per effettuare vishing, attacchi di ingegneria sociale finalizzati alla truffa.
Lo schema del raggiro usa la falsificazione dei numeri del chiamante per ingannare la vittima.
La soluzione anti-vishing passa per un sistema di autenticazione e tracciabilità, CallTrust, risultato della ricerca applicata svolta dalla Fondazione Security and Rights in CyberSpace (SERICS) nell’ambito dello spoke 5 dedicato alla crittografia e sicurezza dei sistemi distribuiti.
Il team di ricerca è formato da Francesco Buccafurri, professore ordinario dell’Università Mediterranea di Reggio Calabria, Vincenzo De Angelis, ricercatore dell’Università della Calabria, Sara Lazzaro, assegnista di ricerca dell’Università della Calabria, e Carmen Licciardi, dottoranda ACN dell’Università Mediterranea di Reggio Calabria.
Le caratteristiche della metodologia di autenticazione sono state approfondite con Francesco Buccafurri, referente del progetto e coordinatore del team di ricerca.
Ma prima è utile chiarire lo schema tipico delle truffe telefoniche e le tecniche di raggiro.
Indice degli argomenti
Lo schema di truffa da “manipolazione del pagatore”
Dal “Rapporto sulle operazioni di pagamento fraudolente in Italia nel 2° semestre 2024” pubblicato da Banca d’Italia nel 2025, emerge che le frodi cosiddette “da manipolazione del pagatore” sono in preoccupante e continua crescita.
Questo tipo di frode è diffusa soprattutto nei bonifici e sfrutta informazioni sul cliente raccolte con tecniche di ingegneria sociale per indurlo a disporre volontariamente un pagamento verso un beneficiario fraudolento.
A differenza delle frodi “non autorizzate” che avvengono ad esempio in caso di clonazione di carte, le frodi ‘da manipolazione del pagatore’, attuate anche in presenza di presidi di autenticazione forte del cliente, non consentono l’attivazione automatica dei meccanismi di rimborso previsti dalla normativa, rendendo più difficile per l’utente il recupero delle somme.
Questo perché è proprio l’utente che dispone il pagamento e lo autorizza con mezzi di autenticazione forte.
È lo schema di raggiro a convincerlo della bontà di cioè che fa, anche se invece sta eseguendo azioni che lo danneggiano su indicazioni ricevute per telefono. In effetti, le truffe telefoniche (vishing), si sono evolute mediante l’utilizzo di articolati espedienti di raggiro che fanno uso anche tecniche di falsificazione dell’ID del chiamante (noto come spoofing).
Proprio a causa di questa evoluzione, gli scenari di raggiro sono così credibili per le vittime, che al giorno d’oggi rappresentano le frodi più diffuse.
I criminali si fingono appartenenti alle forze dell’ordine, ad operatori bancari e segnalano all’utente che stanno facendo controlli per frodi, chiedendo un bonifico di prova o la verifica di trasferimento fondi come test.
L’ignaro utente segue le indicazioni ricevute e guardando il numero che appare al telefono si convince della veridicità della situazione.
I bersagli di tali raggiri sono cittadini di ogni età e tipologia, ma le conseguenze ricadono sulle entità che erogano servizi come banche, imprese e altre organizzazioni, che quando sono coinvolte, si trovano ad affrontare costi di rimborso, perdita di fiducia e danni reputazionali.
Nonostante questi problemi di raggiro, ognuna di queste realtà per fini leciti ha veramente la necessità di comunicare via telefono con i propri utenti/clienti e in quei casi ha l’esigenza di essere riconosciuta per procedere, ma i sistemi attuali non offrono adeguata protezione.
In particolare, le attuali tecnologie non sembrano consentire l’autenticazione e la tracciabilità del chiamante in un modo tale, da garantire che il chiamante sia davvero chi dice di essere.
Meccanismo di autenticazione e tracciabilità nella comunicazione
Per risolvere questo dilemma il team di ricerca ha realizzato una soluzione capace di garantire l’autenticità del chiamante.
Il prof. Buccafurri spiega che “la soluzione è basata su una app mobile installabile su smartphone che ad ogni chiamata verifica l’effettiva provenienza del chiamante” e chiarisce “questo è possibile attraverso una architettura client server che coinvolge diversi soggetti: il cliente che installa l’app sul suo telefono (componente client); il provider lecito del servizio che espone interfacce capaci di rispondere ad una domanda di verifica dell’identità che viene dall’app mobile (il provider si dota di un server Https che espone interfacce API); un soggetto terzo che è garante delle identità dei vari provider, mediate una lista pubblica verificata”.
Precisa, inoltre, “il canale di comunicazione che usano client e server è un protocollo sicuro (Https) e l’approccio proposto funziona sia su reti telefoniche tradizionali sia su reti VoIP, senza richiedere modifiche all’infrastruttura”.
Il sistema protegge gli utenti dai frodatori perché certifica, per ogni telefonata, che il chiamante è davvero chi dice di essere, grazie alle verifiche in real time presso il soggetto terzo intermediario.
“Questo aspetto”, aggiunge il docente, “ricalca il modello di trust federato e conforme a eIDAS 2.0, in cui il soggetto terzo, che potrebbe essere l’AgID, detiene ed espone una lista di numeri certificati per validità, mediante verifica degli indirizzi web sicuri (oggetti di tipo URL TLS – Uniform Resource Locator Transport Layer Security)”.
E conclude: “in questo modo ogni chiamata ha una credenziale unica verificabile che è temporalmente limitata nel tempo (come accade per i codici OTP, ovvero le One Time Password, usati per autenticazione forte n.d.r.) e se durante la chiamata l’app non trova tale credenziale, significa che il chiamante non è veramente chi dice di essere”.
Preparazione e inizializzazione
Se un provider di servizi (bancari, commerciali o altro) vuole rendersi sempre riconoscibile e autenticato per le chiamate ai suoi clienti si reca dal soggetto terzo, per certificare tutti gli elementi che, associati al suo numero telefonico, lo identificano e autenticano in modo univoco.
Qualsiasi tipo di fornitore può registrarsi a questa lista pubblica di soggetti certificati.
L’utente generico invece scarica l’app CallTrust (per ora solo su sistema android) e in quel momento al dispositivo e numero del cliente sono associate chiavi crittografiche univoche per ogni provider che si è registrato precedentemente al servizio presso il soggetto terzo e che espone la lista dei soggetti certificati.
Se dopo questa prima fase di inizializzazione il numero del cliente fosse clonato, il sistema di sicurezza crittografico non permetterebbe comunque allo stesso numero telefonico di rieseguire la procedura di inizializzazione. Ciò salvaguarda l’utente dal tentativo di un criminale che volesse sostituirsi a lui, verso il provider dei servizi.
Funzionamento del processo di chiamata
Ad ogni chiamata che arriva all’utente generico, l’app mobile effettua le verifiche crittografiche rispetto al numero del chiamante, e verifica in tempo reale alcuni parametri.
In caso di incongruenze con i dati di inizializzazione, determina la telefonata come fasulla e la interrompe avvisando l’utente del numero non verificato.
Anche se fosse l’utente a chiamare la banca e un attaccante si ponesse nel mezzo tentando di impersonare il fornitore di servizi (cosiddetto attacco man-in-the-middle), verrebbe scoperto e smascherato, perché sebbene sia l’utente a chiamare, il vero provider di servizi deve comunque farsi riconoscere, fornendo la sua propria credenziale di riconoscimento.
Solo dopo tale verifica la comunicazione telefonica ha veramente luogo a procedere.
“In pratica”, puntualizza Francesco Buccafurri, “l’app mobile funziona come una rubrica i cui numeri dei provider sono autentici per impostazione predefinita. Le telefonate devono avvenire sempre mediante l’app e il telefono può essere configurato in modo apposito per questo scopo”.
La sicurezza di tutti i componenti
Gli elementi che garantiscono sicurezza alla soluzione riguardano “l’autenticazione in tempo reale delle chiamate tra utenti e servizi certificati (banche, PA, assicurazioni, ecc.), le credenziali digitali pubblicate dai servizi stessi, per attestare l’autenticità della chiamata, l’integrazione in un modello federato, conforme a eIDAS 2.0, che permette di attuare la protezione in maniera interoperabile anche a livello transfrontaliero”.
“Tutto ciò rende la soluzione adeguata nei casi d’uso legati alle banche, governi e istituzioni impegnati a rafforzare la fiducia nelle comunicazioni digitali e alle organizzazioni di diverso tipo che erogano servizi”. Inoltre, continua il prof. Buccafurri, “l’app stessa in questa fase di ricerca è stata validata a livello di protocollo con ProVerif (un verificatore automatico di protocolli crittografici n.d.r.) e BAN logics (logica epistemica appositamente concepita per l’analisi dei protocolli di sicurezza n.d.r.) entrambe metodologie di verifica di sicurezza informatica”.
Le possibili evoluzioni
Qualsiasi azienda che fosse interessata ad evolvere l’attuale prototipo a prodotto di mercato, potrebbe contattare il prof. Buccafurri e lo Spoke 5 della SERICS ed investire nello sviluppo ulteriore aumentando di fatto il correlato TRL (il Technology_Readiness Level, TRL, misura la maturità tecnologica di un prodotto in una scala di valori da 1 a 9, dove 1 è il più basso e definisce i principi base e 9 il più alta espressione dell’utilizzo in ambiente operativo).
