Maestro Roberto - Tecnologie e didattica

Per iscriversi alla newsletter Maestro Roberto inviare una mail all'indirizzo info@robertosconocchini.it con oggetto Iscrizione newsletter e testo vuoto

Skimming e acquisti online: come proteggere le tue carte di credito PDF Stampa E-mail
Risorse - Sicurezza
Scritto da Administrator   
Lunedì 19 Gennaio 2026 08:39

Negli acquisti online non infiliamo la carta di credito in nessun lettore, eppure i dati possono essere sottratti con la stessa efficacia. Il principio è identico allo skimming tradizionale: intercettare le informazioni prima che arrivino al destinatario legittimo. Cambia solo il mezzo.

Negli ultimi anni si parla sempre più di digital skimming o e-skimming: una famiglia di tecniche che colpiscono direttamente i siti di e-commerce o il dispositivo dell’utente, senza che quest’ultimo se ne accorga.

Il paradosso è  inquietante: l’utente fa tutto correttamente, il sito sembra affidabile, il pagamento va a buon fine. Eppure, da qualche parte, qualcuno sta “ascoltando”.

Cos’è il digital skimming (detto anche Magecart)

Il digital skimming consiste nell’inserimento di codice malevolo all’interno di un sito di e-commerce, spesso nella pagina di checkout. Questo codice intercetta in tempo reale ciò che l’utente digita:

  • numero della carta

  • data di scadenza

  • CVV

  • nome e indirizzo

I dati vengono inviati silenziosamente a server controllati dai criminali, mentre l’acquisto procede normalmente. Nessun errore, nessun allarme.

Queste campagne sono spesso attribuite a gruppi organizzati (noti come Magecart groups), che sfruttano:

  • plugin non aggiornati (WordPress, Magento, PrestaShop)

  • librerie JavaScript compromesse

  • servizi di terze parti insicuri (chat, analytics, banner pubblicitari)

Il risultato è una violazione “a monte”: non sei tu a essere colpito direttamente, ma il negozio online che ti fa da intermediario.

Le frodi più diffuse negli acquisti online oggi

Accanto al digital skimming, convivono altre tecniche che spesso si intrecciano tra loro.

Il phishing evoluto non si limita più a email sgrammaticate: oggi replica perfettamente siti bancari e marketplace, sfrutta SMS e WhatsApp (smishing), e induce l’utente a inserire i dati su pagine clone.

Il malware sul dispositivo è un altro attore silenzioso. Keylogger e trojan possono registrare ciò che digiti o intercettare i moduli di pagamento, soprattutto su computer non aggiornati o smartphone con app installate fuori dagli store ufficiali.

Poi c’è il carding: i dati rubati vengono testati con micro-transazioni automatiche e rivenduti nel dark web entro poche ore. La velocità è cruciale, perché le carte vengono bloccate sempre più rapidamente.

Perché l’utente “attento” può comunque essere colpito

Qui cade un mito rassicurante: “Basta stare attenti”. Non sempre è vero.

Puoi:

  • usare password forti

  • evitare link sospetti

  • acquistare solo su siti conosciuti

Eppure, se un grande e-commerce ha un componente compromesso, la tua attenzione non basta. Per questo oggi la sicurezza negli acquisti online non è solo una questione di comportamento, ma di architettura del pagamento.

Le precauzioni davvero efficaci per gli acquisti online

Il primo grande alleato è l’uso di wallet digitali (Apple Pay, Google Pay, PayPal). Qui non stai comunicando il numero reale della carta al negozio: entra in gioco la tokenizzazione, che sostituisce i dati sensibili con un codice temporaneo, inutilizzabile altrove. Anche se intercettato, è spazzatura per il criminale.

Subito dopo viene l’autenticazione forte (SCA – Strong Customer Authentication): il doppio fattore non è una seccatura burocratica, ma un freno potentissimo al riuso dei dati rubati.

Un’altra difesa sottovalutata è l’uso di carte virtuali o numeri usa-e-getta, ormai offerti da molte banche. Ogni acquisto ha un numero diverso: rubarlo serve a poco.

Conta moltissimo anche la salute del dispositivo:

  • sistema operativo aggiornato

  • browser aggiornato

  • estensioni ridotte al minimo indispensabile

Molti attacchi moderni passano proprio da estensioni apparentemente innocue.

Infine, il controllo costante. Non mensile, ma frequente. Le frodi online spesso iniziano con importi minimi, quasi invisibili. Chi se ne accorge subito limita i danni in modo drastico.

Un cambio di mentalità: fidarsi meno, verificare meglio

La vera evoluzione richiesta all’utente non è la paura, ma una forma di scetticismo funzionale. Non paranoico, ma lucido.

Negli acquisti online moderni non basta chiedersi “il sito è affidabile?”. Serve anche chiedersi:

  • come avviene il pagamento

  • chi gestisce i dati

  • quale tecnologia fa da intermediario

Quando la risposta include token, autenticazione forte e intermediari affidabili, il rischio crolla.

 

Lo skimming non è scomparso: ha cambiato habitat. Dai bancomat ai browser, dalle fessure delle carte alle righe di codice. La buona notizia è che le difese oggi esistono, sono affidabili e spesso già nelle nostre tasche. Serve solo usarle con consapevolezza.

Educare a questi temi significa insegnare una nuova alfabetizzazione: quella del pagamento digitale sicuro, che riguarda adulti, studenti, famiglie e scuole. Una competenza di cittadinanza, prima ancora che tecnologica.
 

Menu Principale

Scrivimi

info@robertosconocchini.it

Risorse

Materiali per discipline