SMS truffa, smentite poco convincenti

Così mi vien detto. Infatti secondo un ben documentato articolo di Portel.it, il reverse billing (il meccanismo che consente di far pagare al destinatario gli SMS ricevuti) in Italia “non funziona come descritto” da me. Le truffe inglesi che mi avevano messo in allarme, descritte eloquentemente dall’Herald, “sono un errore di gioventù cui è già stato posto rimedio“.

Stando a Portel.it, la tutela del consumatore italiano è blindata: “L’iscrizione è regolata da un meccanismo che tutela l’utente dalle brutte sorprese: l’utente entra in una pagina Web dedicata, si autentica con password oppure lascia il proprio numero di cellulare, riceve un sms che chiede conferma per l’iscrizione al servizio. Essere iscritti a propria insaputa è insomma difficile, se non impossibile“. L’articolo di Portel.it cita inoltre le smentite di Wind, Omnitel e Tim: “l’ipotesi di iscrizione via SMS da parte di fornitori senza scrupoli è da escludere a priori, perché il gestore mobile metterebbe in gioco la propria immagine commerciale“.

Se le cose stanno così, devo ordinare una massiccia dose di cenere con cui cospargermi il capo.

Eccezioni pericolose

Ma (e dannazione, c’è sempre un ma che mi rode) osservo servizi come WindRai di Wind e le granitiche certezze appena acquisite cominciano a vacillare. Infatti stando alle pagine Web di WindRai, “tutti i Clienti Wind, sia abbonati che con carta prepagata, sono abilitati già dall’attivazione ai servizi informativi WindRai” e basta inviare un SMS al 5858 per iniziare a ricevere messaggi al costo di 12,40 centesimi di euro (240 lire) ciascuno.

In altre parole, per WindRai non c’è nessuna “pagina Web dedicata” da raggiungere, nessuna “autentica con password”. È quindi banale per un utente malintenzionato diffondere, per il puro gusto di commettere uno dei soliti atti vandalici assai diffusi in Rete, e-mail o SMS del tipo “Vuoi il tuo oroscopo gratis? SMS al 5858, scrivi ASTRI e le prime tre lettere del tuo segno!!“. La vittima esegue e si trova abbonata. In questo caso, verrà avvisata dei costi? Stando alle pagine Web di Wind, no; le prove gentilmente condotte dai lettori lo confermano. In altre parole, il servizio WindRai non è affatto blindato come sostengono gli operatori telefonici e si presta esattamente alla truffa che ho descritto nel mio articolo.

E non è il solo. Il mio articolo originale parla anche di un altro servizio basato su SMS, chiamato premium rate SMS. Si tratta di un messaggino a prezzo maggiorato, usato per esempio per ricevere loghi e suonerie: basta mandarne uno a un numero particolare per ricevere la suoneria o il logo e farselo addebitare sul telefonino. Anche in questo caso l’utente è esposto alle stesse vulnerabilità. Per esempio, Easylogo (per gli utenti Omnitel) non ha “pagine Web dedicate” dalle quali bisogna passare per usare il servizio, né ha alcuna “autentica con password”. Le prove effettuate confermano che non viene inviato alcun SMS di preavviso della spesa. L’utente viene informato dei costi soltanto se visita la pagina Web del servizio o se legge la pubblicità di Easylogo.

In atre parole, in entrambi i casi è perfettamente possibile usare questi servizi senza ricevere alcuna informazione sui loro costi. Le pagine che informano dei costi non sono in alcun modo tappe obbligate per accedere ai servizi, e questa è una grave imprudenza. Altro che “tutela dell’utente da brutte sorprese”: in queste condizioni, è facile per un malintenzionato mandare alle proprie vittime SMS o e-mail omettendo l’indicazione del costo. La vittima manderà l’SMS senza sapere quanto le costerà e ci rimetterà un euro, magari ritrovandosi pure con un logo pornografico sul telefonino. Di nuovo, questo è esattamente quello che dicevo nel mio articolo: occhio ai numeri a cui mandate SMS. Che poi ci sia di mezzo un reverse billing, un premium rate SMS o un’altra tecnologia dal nome altisonante, poco importa all’utente: è comunque lui che paga senza essere preavvisato.

Non voglio dare a nessuno né del ladro né del bugiardo, per carità, ma è dunque evidente che ci sono almeno due eccezioni alle garanzie promesse dagli operatori, e che in generale i servizi tramite SMS soffrono di vulnerabilità che li espongono ad abusi da parte di terzi. Gli operatori telefonici, nel tentativo di rendere le cose semplici per l’utenza, hanno messo in secondo piano la sicurezza e la trasparenza. Si vede che hanno studiato alla stessa scuola di Microsoft. È ora di rimediare: basterebbe un semplice messaggio al cellulare, mandato dall’operatore prima dell’addebito, che informi sui costi e richieda una conferma. Senza questa semplice contromisura, l’utente è alla mercé di ogni sorta di raggiri.

SMS come virus

Ma perché mai qualcuno dovrebbe commettere azioni di questo genere, dato che non ci guadagnerebbe nulla? Dopotutto, i soldi finirebbero comunque in tasca agli operatori, non al malintenzionato.

Mi vengono in mente almeno due ottime ragioni. La prima è il sabotaggio nei confronti dell’operatore che offre il servizio, che verrebbe oberato di proteste e di denunce per truffa, con i relativi costi. La seconda è la dimostrazione di potere, sulla falsariga degli autori di virus informatici. Chi dissemina un virus non lo fa per denaro, ma perché gode nel lanciare indiscriminatamente il sasso e nascondere la mano, stando a vedere quante vittime centra. Lo stesso meccanismo psicologico potrebbe indurre un utente ostile a lanciare una campagna di e-mail o SMS ingannevoli basati su questi servizi. È già successo tante volte in Rete e quini non vedo perché il principio non si debba estendere naturalmente anche alla telefonia, visto che questi due mondi sono sempre più intercomunicanti e sovrapposti.

Fra l’altro, sono liberamente disponibili in Rete programmi che permettono di mandare un gran numero di SMS, alterandone oltretutto l’origine apparente (SMS spoofing), per cui il vero mittente diventa praticamente impossibile da rintracciare. Insomma, tutti gli ingredienti per disseminare SMS truffaldini come se fossero virus sono dunque a portata di mano. È quindi purtroppo improbabile che rimangano inutilizzati a lungo.

C’è anche una terza ragione possibile: fare soldi, ossia la situazione descritta scherzosamente nel mio sketch originale. Gli operatori telefonici affidano a gestori esterni lo sfruttamento commerciale di questi servizi SMS. Uno di questi gestori potrebbe decidere di usare messaggi promozionali molto allettanti e poco trasparenti per raccogliere il maggior numero possibile di clienti, sapendo oltretutto di avere buone probabilità di farla franca usando i meccanismi descritti sopra. Anche questa non sarebbe certo una novità: è un metodo lungamente collaudato in altri settori, come dimostra la cronaca di questi giorni.

Certo, gli operatori dichiarano che i gestori a cui affideranno i servizi saranno selezionati e sorvegliati rigorosamente. Ma la natura umana è quella che è: contare su una sorveglianza fatta da chi lucrerebbe su eventuali trasgressioni è un controsenso evidente. Tanto varrebbe chiedere al lupo di far la guardia al gregge. Sarò cinico, ma mi chiedo quanto potrà essere obiettiva e inflessibile la vigilanza degli operatori, visto che si intascano una bella fetta degli importi raccolti tramite questi servizi.

Illustre precedente

Ma come mi permetto di ipotizzare complicità degli operatori cellulari? È uno scenario implausibile, direte voi. Dopotutto, per dirla con Portel.it, “il gestore mobile metterebbe in gioco la propria immagine commerciale“. Se un operatore mettesse in piedi un traffico del genere, non sopravviverebbe allo scandalo, per cui nessuno lo farà mai.

Invece è già successo, e l’operatore in questione è sopravvissuto e anzi sta benone, grazie. Mi riferisco a Telecom Italia e ai servizi Audiotex, meglio noti come 144 e 166, che sono soggetti non solo a un codice di autodisciplina, ma anche a una regolamentazione di legge.

“Le informazioni o prestazioni audiotex e videotex non devono comunque presentare forme e contenuti a carattere erotico, pornografico od osceno“, recita il decreto (13 luglio 1995, n. 385) che governa questi servizi. Lo conferma anche il sito del Ministero dell’Interno.

E allora come mai esistono siti come www.vellutorosso.com (166.146108), oppure quello associato al numero 166.19658755 (slogan a un soffio dalla pedofilia: “Cosa c’è di più poetico ed arrapante al mondo di una innocente lolita nuda e pronta all’amore?“), Chat Live – Sesso dal vivo (166 132 944), Linea erotica con vere ragazze (166 146 048), Telefono Erotico (166 122 362) e tutti gli altri reperibili in Google con una semplice ricerca con le parole chiave 166 e sesso?

Semplice: Telecom Italia non è legalmente responsabile delle violazioni commesse da chi gestisce i numeri 144 e 166. Non è tenuta a sorvegliarne l’operato e quindi non lo fa. Secondo la legge, infatti, l’attività di vigilanza su questi servizi è svolta dal Ministero delle Comunicazioni. Svolta abbastanza maluccio, par di capire, ma lasciamo perdere. Così assistiamo all’assurdo che i servizi 144 e 166 erotici sono vietati, eppure esistono, e Telecom ci guadagna sopra disinvoltamente. Una posizione legalmente ineccepibile ma moralmente squallida.

Di fronte a questo modello esemplare di azienda che “mette in gioco la propria immagine commerciale” e ne emerge con il forziere pieno di soldi, la tentazione di voler fare altrettanto con i servizi SMS diventa pericolosamente plausibile. Un operatore, insomma, può mantenere intatta la propria immagine commerciale e intascare lo stesso da servizi SMS poco sorvegliati e poco trasparenti: basta che faccia finta di non sapere cosa fanno le aziende alle quali affida la gestione dei servizi. Mi spiace, ma visto il precedente degli 144/166 (e l’attuale pasticcio del prefiso 899), il teorema esposto da Wind, Omnitel e Tim non regge.

Speriamo pertanto che il legislatore abbia il buon senso di adottare per questi nuovi servizi SMS criteri meno ingenui di quelli adottati per l’Audiotex. Nel frattempo, e in attesa dei risultati delle indagini del Garante per la privacy, posso soltanto confermare che il mio consiglio originale rimane valido: niente allarmismi, ma attenzione ai numeri ai quali mandate SMS, possono costarvi caro.