Nel panorama delle frodi informatiche, il pharming (coniato dall’unione di “phishing” e “farming”) è tra le tecniche più insidiose, perché non punta tanto a convincere la vittima con un messaggio ingannevole, quanto a farle percorrere una strada sbagliata senza che se ne accorga. Il punto è proprio questo: l’utente può digitare correttamente l’indirizzo del sito legittimo, oppure aprirlo dai preferiti, e finire comunque su una pagina clone progettata per carpire credenziali, dati bancari o informazioni personali.
A differenza del phishing “classico”, che di solito lascia qualche indizio (email sospette, urgenze artefatte, link strani), il pharming agisce a un livello più profondo: colpisce il modo in cui un nome di dominio viene tradotto nell’indirizzo “tecnico” del server da raggiungere, oppure altera direttamente il dispositivo della vittima. Ed è proprio questa invisibilità a renderlo così efficace.
Che cos’è il pharming e perché è diverso dal phishing
Con “pharming” si intende una frode online che reindirizza il traffico da un sito autentico a una copia fasulla, intervenendo sulla risoluzione dei nomi di dominio (DNS) o sul sistema dell’utente. L’obiettivo è sempre lo stesso: sottrarre informazioni riservate, come credenziali di accesso, codici dispositivi, dati di carte, OTP, oppure ottenere l’autorizzazione a operazioni di pagamento.
La differenza sostanziale rispetto al phishing sta nella dinamica dell’inganno. Nel phishing la vittima viene “portata” sul sito fasullo tramite un’esca (un link in una email, un SMS, un annuncio sponsorizzato). Nel pharming, invece, la vittima può compiere un’azione in apparenza corretta e prudente, come digitare l’URL o usare un preferito, e venire comunque reindirizzata. Da qui l’idea di una minaccia più “silenziosa”, spesso difficile da riconoscere in tempo.
Come funziona: le principali tecniche di attacco
Manipolazione del DNS
Il DNS (Domain Name System) è, in sostanza, la “rubrica” di Internet: traduce i domini comprensibili (ad esempio, il nome del sito della banca) in indirizzi IP numerici. Se un attaccante riesce a interferire con questa traduzione, può far sì che, pur digitando il nome corretto, il browser raggiunga un server controllato dai truffatori.
Una prima modalità è l’avvelenamento della cache DNS. Alcuni server DNS memorizzano temporaneamente le corrispondenze tra dominio e indirizzo IP per velocizzare le richieste. Se l’aggressore riesce a inserire un record falso nella cache, chiunque interroghi quel server per quel dominio riceverà l’indirizzo del sito clone. In questi casi l’attacco può colpire un numero elevato di utenti, proprio perché è “a monte” rispetto al singolo dispositivo.
Un’altra modalità, più grave, è la compromissione diretta del server DNS o dell’infrastruttura che gestisce i record di un dominio. Qui l’attaccante può modificare stabilmente le associazioni e reindirizzare il traffico in modo mirato. Il risultato, per l’utente, è identico: si ritrova su una pagina perfettamente somigliante a quella autentica, senza aver cliccato nulla di sospetto.
Infezione del dispositivo: file hosts e manipolazioni di rete
La seconda grande famiglia di attacchi è quella che passa dall’installazione di malware sul computer o sullo smartphone. In questo scenario il reindirizzamento non dipende dal DNS “esterno”, ma da modifiche locali sul dispositivo.
Il caso più tipico è la modifica del file hosts, un file di sistema che può forzare la corrispondenza tra un dominio e un determinato indirizzo IP. Se il malware inserisce una regola che associa, ad esempio, il dominio del sito legittimo all’indirizzo del server truffaldino, ogni accesso verrà deviato automaticamente, anche bypassando la risoluzione DNS standard.
In varianti più sofisticate, il malware può cambiare i DNS usati dal dispositivo o dal router, impostando server malevoli; può agire da proxy locale intercettando le richieste; oppure può manipolare le risposte in tempo reale. In tutte queste ipotesi il tratto comune è che l’utente vede un sito “identico” all’originale e viene indotto a compiere l’azione decisiva: inserire credenziali o autorizzare operazioni.
I segnali deboli: perché spesso non ci si accorge di nulla
Il pharming riesce proprio perché riduce al minimo i segnali di allarme. È possibile che la grafica sia perfetta, che il linguaggio sia credibile e che la navigazione sembri normale. In alcuni casi, però, qualcosa “stona”: richieste anomale di dati che di solito non vengono richiesti in quel modo; schermate che chiedono più passaggi del solito; improvvisi errori o “aggiornamenti di sicurezza” non richiesti; oppure una gestione insolita dell’autenticazione a due fattori.
Va chiarito un punto importante: la presenza del lucchetto HTTPS non è, da sola, una garanzia assoluta. È vero che HTTPS e certificati corretti alzano la soglia di sicurezza, ma esistono scenari in cui una pagina malevola può comunque presentarsi con un certificato valido per un dominio “somigliante” o con tecniche di inganno che confondono l’utente. Il controllo dell’indirizzo completo e del dominio esatto resta quindi decisivo, anche se il pharming, per definizione, cerca di rendere questo controllo difficile o inutile.
Il danno: conseguenze economiche, reputazionali e giuridiche
Dal punto di vista della vittima, l’impatto più immediato è economico: accessi non autorizzati, disposizioni di bonifici, pagamenti con carta o con strumenti digitali, attivazioni di servizi e, nei casi peggiori, un vero e proprio furto d’identità. Il danno però non si esaurisce nel singolo addebito. Quando vengono sottratte credenziali e dati personali, questi possono essere riutilizzati nel tempo, venduti in circuiti illegali o sfruttati per frodi successive, con effetti a catena su reputazione, affidabilità creditizia e serenità personale.
Sul piano legale, le condotte tipicamente integrate da chi orchestra un attacco di pharming possono ricadere, a seconda dei casi, in fattispecie penali come l’accesso abusivo a sistema informatico (art. 615-ter c.p.), la frode informatica (art. 640-ter c.p.), la detenzione e diffusione abusiva di codici di accesso (art. 615-quater c.p.), oltre ai reati connessi alla falsificazione o al danneggiamento di sistemi e dati (in particolare nel perimetro dei delitti informatici previsti dal codice penale). In concreto, la qualificazione dipende da come l’attacco è stato realizzato e da quali condotte sono state poste in essere.
C’è poi il tema, delicatissimo, delle operazioni di pagamento non autorizzate. In ambito bancario e dei servizi di pagamento, trova applicazione la disciplina di matrice PSD2, recepita in Italia nel d.lgs. 11/2010, che prevede regole specifiche su disconoscimento, obblighi informativi e ripartizione delle responsabilità. In sintesi, quando un’operazione non è autorizzata dall’utente, il prestatore di servizi di pagamento è tenuto a ripristinare la situazione del conto, salvo che dimostri la sussistenza di dolo o colpa grave dell’utilizzatore e la corretta autenticazione/registrazione dell’operazione secondo i requisiti di sicurezza. È proprio qui che, nella pratica, si gioca la partita: nella ricostruzione dei fatti, nella prova tecnica e nella valutazione della condotta dell’utente, distinguendo tra una disattenzione ordinaria e una condotta realmente gravemente negligente.
Infine, quando l’attacco comporta sottrazione o esposizione di dati personali, entra in gioco anche la tutela privacy: il GDPR impone ai titolari del trattamento obblighi di sicurezza adeguati al rischio e, in presenza di data breach, specifiche valutazioni e adempimenti (tra cui, nei casi previsti, la notifica all’Autorità e la comunicazione agli interessati). Anche qui il punto non è solo “che cosa è accaduto”, ma se le misure adottate erano proporzionate e se la gestione dell’incidente è stata tempestiva e corretta.
Come difendersi davvero: prevenzione multilivello, senza illusioni
Contro il pharming la difesa più efficace è quella stratificata, perché l’attacco può avvenire su più livelli. Sul piano del dispositivo, contano aggiornamenti regolari del sistema operativo e delle applicazioni, protezione antivirus/antimalware, attenzione ai software installati e alle estensioni del browser. Sul piano dell’autenticazione, è fondamentale usare password uniche e robuste e attivare l’autenticazione a più fattori, preferendo soluzioni più resistenti agli attacchi (ad esempio app di autenticazione o chiavi hardware) rispetto agli SMS quando possibile.
Sul piano della rete, assume rilievo la qualità dei DNS utilizzati e l’attenzione ai router domestici, spesso trascurati: firmware aggiornato, credenziali amministratore robuste, disattivazione di impostazioni insicure. Nelle organizzazioni, poi, misure come DNSSEC (dove implementabile), policy di sicurezza, monitoraggio e formazione interna riducono sensibilmente il rischio. Anche la prudenza sui Wi-Fi pubblici non è “vecchia scuola”: resta una regola pratica di buon senso, perché riduce l’esposizione a scenari in cui un aggressore può tentare intercettazioni o manipolazioni.
Cosa fare se si sospetta un pharming o si scopre una frode
Quando si percepisce qualcosa di anomalo, la prima regola è interrompere subito l’operazione e non inserire ulteriori dati. Se si è già inserita una password, va cambiata immediatamente (non solo sul servizio interessato, ma anche su tutti i servizi dove quella password fosse stata riutilizzata). Se sono coinvolti conti o carte, è opportuno contattare immediatamente la banca o il provider, bloccare gli strumenti e attivare la procedura di disconoscimento delle operazioni, conservando ogni elemento utile (screenshot, email, SMS, date e orari, movimenti, indirizzi web visualizzati). In parallelo, ha senso eseguire una verifica di sicurezza del dispositivo e della rete domestica, perché se l’origine è un malware o un DNS alterato localmente, il problema rischia di ripresentarsi.
Sul fronte giuridico, la tempestività è un fattore che spesso pesa: sia nella gestione dei rimborsi e delle contestazioni, sia nell’eventuale denuncia/querela e nella ricostruzione tecnica dei fatti.
Conclusione
Il pharming è una minaccia che sfrutta la fiducia “strutturale” che riponiamo nei meccanismi di navigazione. Proprio perché non si affida soltanto all’errore umano, ma interviene sull’infrastruttura o sul dispositivo, può colpire anche utenti prudenti e attenti. La risposta efficace non è l’ansia digitale, ma la combinazione di buone pratiche costanti, strumenti di sicurezza aggiornati e consapevolezza dei segnali, anche minimi, che indicano che qualcosa non torna.
In un contesto in cui la nostra vita quotidiana passa sempre più da autenticazioni e pagamenti online, conoscere il pharming non è un tecnicismo: è una forma moderna di autodifesa, utile tanto per prevenire quanto per reagire con lucidità, limitando i danni e tutelando i propri diritti.
