Trustpilot

ISTITUTO PER LA DIFESA DEL CONSUMO

Hai subito una truffa?

Clickjacking: cos’è, come funziona e come tutelarsi

clickjacking

Stai navigando su un sito web, clicchi su un pulsante che sembra perfettamente normale — “Play”, “Conferma”, “Scarica” — e qualcosa va storto. Qualche giorno dopo scopri di aver autorizzato un pagamento, concesso l’accesso al tuo conto bancario o condiviso contenuti a tua insaputa. Non hai commesso un errore: sei stato vittima di clickjacking, una tecnica di frode informatica progettata per dirottare le tue azioni senza che tu te ne accorga.

In questo articolo spiego cos’è il clickjacking, come funziona tecnicamente, quali sono le varianti più diffuse, come proteggersi e — soprattutto — quali tutele prevede l’ordinamento italiano per chi ne subisce le conseguenze.

Cos’è il clickjacking e perché è una minaccia concreta

Il clickjacking — termine che unisce “click” e “hijacking” (dirottamento) — è un attacco informatico nel quale un soggetto malintenzionato induce l’utente a cliccare su un elemento della pagina diverso da quello che vede. L’inganno è totale: l’interfaccia visibile sembra autentica, ma nasconde un secondo livello di interazione che opera a tua insaputa.

Non si tratta di una tecnica nuova, ma la sua efficacia si è amplificata con la diffusione dei servizi bancari online, dei pagamenti digitali e dei sistemi di autenticazione via web. Oggi un attacco di clickjacking ben congegnato può tradursi in trasferimenti di denaro non autorizzati, furto di credenziali o concessione di permessi ad applicazioni malevole.

La caratteristica che lo rende particolarmente insidioso è proprio la sua invisibilità: non c’è un link sospetto da cliccare, non arriva un’email con un mittente strano. L’utente interagisce con un sito che sembra legittimo, compie un gesto del tutto ordinario, e subisce comunque il danno.

Come funziona tecnicamente il clickjacking: iframe invisibili e pulsanti sovrapposti

Dal punto di vista tecnico, l’attacco si basa sulla sovrapposizione di due livelli di contenuto sullo stesso spazio della pagina web.

Il primo livello — quello visibile all’utente — mostra un’interfaccia apparentemente innocua: un video da riprodurre, un modulo da compilare, un pulsante di download. Il secondo livello, reso trasparente tramite CSS, è un iframe invisibile che carica una pagina esterna — spesso un servizio bancario, una piattaforma di pagamento o un social network — posizionato in modo tale che il pulsante critico di quella pagina (il tasto “Conferma”, “Autorizza”, “Paga”) coincida esattamente con il pulsante visibile del primo livello.

Quando l’utente clicca su ciò che vede, in realtà attiva il pulsante nascosto. Il suo consenso — tecnicamente registrato come un click volontario sul sito-vittima — viene catturato dall’iframe e usato per compiere un’azione che l’utente non ha mai inteso autorizzare.

Questa tecnica sfrutta un meccanismo legittimo dei browser (gli iframe, usati normalmente per incorporare contenuti di terze parti) e lo trasforma in uno strumento di frode. I browser moderni dispongono di contromisure come l’intestazione HTTP X-Frame-Options e la Content Security Policy, che impediscono il caricamento di pagine sensibili all’interno di iframe non autorizzati. Tuttavia, molti siti — specie quelli non aggiornati — non implementano correttamente queste protezioni, lasciando aperta la vulnerabilità.

Le varianti più diffuse: likejacking e cursor-jacking

Il clickjacking non si manifesta in un’unica forma. Nel tempo si sono affermate varianti specializzate, alcune delle quali particolarmente diffuse.

Likejacking

È la forma più nota e storicamente la prima a diventare virale. L’attaccante sovrappone il pulsante “Mi piace” o “Condividi” di Facebook (o di altri social network) a un elemento visibile della pagina. L’utente crede di cliccare su un video o su un link, e invece mette “Mi piace” a una pagina, condivide un contenuto o segue un profilo. Le conseguenze dirette sul patrimonio sono limitate, ma l’attacco serve a costruire un pubblico falso, a diffondere disinformazione o a far crescere artificialmente la reputazione di pagine commerciali o politiche.

Cursor-jacking

In questa variante, il malware o lo script malevolo modifica la posizione apparente del cursore del mouse rispetto alla sua posizione reale. L’utente vede il cursore in un punto della schermata, ma i click vengono registrati in un punto diverso, quello selezionato dall’attaccante. È una tecnica più sofisticata, usata principalmente per indurre l’utente ad autorizzare operazioni in parti della pagina che non sta guardando.

Clickjacking su interfacce bancarie e di pagamento

La variante più grave dal punto di vista patrimoniale. L’attaccante costruisce una pagina ingannevole che incorpora, tramite iframe invisibile, l’interfaccia di conferma di un bonifico o di un acquisto. L’utente, loggato al proprio home banking, pensa di stare compiendo un’azione neutra, e autorizza invece una transazione. Questa forma di attacco può essere configurata come frode informatica a tutti gli effetti, con rilevanza penale diretta.

Come riconoscere un tentativo di clickjacking

Riconoscere un attacco di clickjacking non è sempre possibile, ma esistono segnali che devono insospettire.

  • Un pulsante non produce l’effetto atteso, oppure la pagina si comporta in modo incoerente dopo il click.
  • Dopo l’interazione con un sito, appaiono notifiche da servizi che non hai intenzionalmente usato (un “Mi piace” su Facebook, un’app che ha ottenuto accesso al tuo account).
  • Un sito richiede di cliccare ripetutamente su elementi prima di mostrare il contenuto promesso, senza spiegare il perché.
  • Il browser visualizza avvisi di sicurezza relativi a contenuti incorporati da terze parti.

La difficoltà sta nel fatto che l’attacco è concepito per non lasciare tracce visibili nell’immediato. Il danno si scopre spesso solo a distanza di ore o giorni, quando si nota un’anomalia nell’estratto conto, nelle app autorizzate o nelle condivisioni sui social.

Come proteggersi: misure concrete

La protezione dal clickjacking passa da comportamenti individuali e da misure tecniche, alcune delle quali non richiedono competenze informatiche avanzate.

  1. Mantieni il browser sempre aggiornato. I browser moderni (Chrome, Firefox, Safari, Edge) implementano protezioni attive contro gli iframe non autorizzati. Un browser aggiornato riduce significativamente la superficie di attacco.
  2. Verifica i permessi concessi alle app. Controlla periodicamente, nelle impostazioni di Google, Facebook e degli altri servizi che usi, quali applicazioni di terze parti hanno accesso al tuo account. Revoca i permessi a quelle che non riconosci.
  3. Attiva l’autenticazione a due fattori (2FA) su tutti i servizi critici. Anche se un click dirottato invia una richiesta di autorizzazione, il secondo fattore impedisce il completamento dell’operazione senza il tuo intervento diretto.
  4. Installa estensioni anti-tracciamento affidabili. Strumenti come uBlock Origin possono bloccare script e contenuti di terze parti che costituiscono il substrato tecnico degli attacchi di clickjacking.
  5. Naviga in modo consapevole. Su siti che non conosci, diffida dei pulsanti che richiedono click ripetuti o che sembrano non funzionare come previsto. Se qualcosa sembra anomalo, chiudi la pagina.
  6. Esci sempre dai servizi bancari al termine della sessione. Un iframe malevolo può sfruttare solo le sessioni già aperte. Fare logout dal home banking prima di visitare altri siti riduce il rischio di clickjacking su transazioni bancarie.

Le tutele legali per chi è vittima di clickjacking

Quando il clickjacking produce conseguenze concrete — un pagamento non autorizzato, l’accesso ai dati personali, la sottoscrizione di un contratto — ci troviamo di fronte a condotte che il nostro ordinamento qualifica come reati informatici e, a seconda delle circostanze, come illeciti civili e violazioni del GDPR.

Frode informatica: art. 640-ter del Codice penale

L’articolo 640-ter del Codice penale punisce chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità sui dati, procura a sé o ad altri un ingiusto profitto con altrui danno. Il clickjacking rientra pienamente in questa fattispecie: l’attaccante interviene sull’interazione dell’utente con un sistema informatico per ottenere un vantaggio patrimoniale illecito.

La pena prevista è la reclusione da sei mesi a tre anni, aumentata nei casi in cui il fatto sia commesso con abuso della qualità di operatore del sistema o produca un danno di rilevante entità. Il soggetto leso ha diritto a costituirsi parte civile nel procedimento penale per ottenere il risarcimento del danno.

Accesso abusivo a sistema informatico: art. 615-ter del Codice penale

Quando il clickjacking è funzionale a ottenere accesso non autorizzato a un sistema informatico altrui — per esempio, all’home banking della vittima o al suo account di posta elettronica — può configurarsi anche il reato di accesso abusivo a sistema informatico previsto dall’art. 615-ter c.p. Questa norma punisce chiunque si introduca abusivamente in un sistema informatico protetto da misure di sicurezza, anche se l’accesso avviene attraverso la mediazione inconsapevole del legittimo titolare.

Trattamento illecito di dati personali e GDPR

Quando il clickjacking determina la raccolta non autorizzata di dati personali dell’utente, si configura un trattamento illecito ai sensi del Regolamento (UE) 2016/679 (GDPR). In assenza di un consenso valido — che non può dirsi tale quando è stato ottenuto mediante inganno — il titolare del trattamento risponde delle conseguenze di tale violazione. L’interessato ha diritto a presentare reclamo al Garante per la protezione dei dati personali e a ottenere il risarcimento del danno patrimoniale e non patrimoniale subito.

Responsabilità civile e rimborso bancario

Sul piano civilistico, chi subisce una transazione bancaria non autorizzata a causa di un attacco informatico ha diritto al rimborso delle somme sottratte. La direttiva PSD2 (recepita in Italia con il d.lgs. 218/2017) impone alle banche di rimborsare tempestivamente le operazioni di pagamento non autorizzate, salvo prova di dolo o negligenza grave dell’utente. È orientamento consolidato che la negligenza del consumatore non possa essere presunta, specie quando l’attacco è tecnicamente sofisticato e non riconoscibile con la normale diligenza.

Quando rivolgersi a un avvocato

Non ogni episodio di clickjacking richiede immediatamente l’intervento legale. Se il danno si è limitato a un “Mi piace” indesiderato su Facebook, probabilmente è sufficiente revocare l’autorizzazione e segnalare la pagina alla piattaforma.

Il quadro cambia radicalmente quando:

  • sono stati sottratti denaro o beni tramite una transazione non autorizzata;
  • dati personali sensibili — credenziali bancarie, dati di pagamento, documenti d’identità — sono stati acquisiti illecitamente;
  • la banca ha opposto resistenza al rimborso delle somme sottratte;
  • l’attacco ha determinato la sottoscrizione inconsapevole di un contratto o di un abbonamento a pagamento.

In questi casi è opportuno agire su più piani in modo coordinato: presentare una denuncia-querela per frode informatica, azionare le tutele previste dal GDPR, e avviare la procedura di rimborso nei confronti dell’istituto bancario. Un avvocato esperto in diritto informatico e tutela del consumatore è in grado di valutare la situazione concreta, individuare le azioni più efficaci e assisterti in ogni fase del procedimento.

Se anche tu sei stato vittima di clickjacking o di altre frodi informatiche, fissa subito una consulenza gratuita e valuteremo insieme le tutele disponibili e le azioni concrete da intraprendere per difendere i tuoi diritti.

Domande frequenti

Cos’è esattamente il clickjacking?

Il clickjacking è una tecnica di attacco informatico che induce l’utente a cliccare su un elemento invisibile sovrapposto a quello visibile sulla pagina. In pratica, credi di cliccare su un pulsante innocuo, ma il tuo click viene diretto su un elemento nascosto che compie un’azione a tua insaputa — autorizzare un pagamento, concedere permessi ad un’app, condividere un contenuto. È una forma di frode informatica rilevante sia sul piano penale che civile.

Come faccio a sapere se sono stato vittima di clickjacking?

I segnali più comuni sono: transazioni bancarie che non riconosci, applicazioni che hanno ottenuto accesso ai tuoi account senza che tu lo ricordi, condivisioni sui social effettuate a tua insaputa, abbonamenti o iscrizioni a servizi che non hai mai richiesto. Il danno spesso si scopre solo a distanza di ore o giorni dall’attacco, perché l’interazione visivamente non lascia tracce immediate.

Il clickjacking è un reato in Italia?

Sì. Quando produce un danno patrimoniale o consente accesso non autorizzato a sistemi informatici, il clickjacking può configurare il reato di frode informatica (art. 640-ter c.p.) e quello di accesso abusivo a sistema informatico (art. 615-ter c.p.). Se comporta raccolta illecita di dati personali, rileva anche sotto il profilo della normativa GDPR. La vittima può presentare denuncia-querela e costituirsi parte civile per ottenere il risarcimento.

La banca è obbligata a rimborsarmi se il denaro è stato sottratto tramite clickjacking?

In linea generale, sì. La direttiva PSD2, recepita nell’ordinamento italiano, impone agli istituti bancari di rimborsare le operazioni di pagamento non autorizzate. La banca può sottrarsi all’obbligo solo se dimostra dolo o negligenza grave dell’utente. Nel caso di un attacco informatico sofisticato come il clickjacking, è difficile sostenere che l’utente abbia agito con negligenza grave. Tuttavia, in caso di diniego da parte della banca, può essere necessario ricorrere all’Arbitro Bancario Finanziario (ABF) o avviare un’azione civile.

Cos’è il likejacking e come si differenzia dal clickjacking?

Il likejacking è una variante specifica del clickjacking, orientata ai social network. Consiste nel sovrapporre il pulsante “Mi piace” o “Condividi” di una piattaforma social all’interfaccia visibile di un sito, inducendo l’utente a interagire con quel pulsante senza saperlo. Le conseguenze dirette sono meno gravi sul piano patrimoniale rispetto ad altre forme di clickjacking, ma il fenomeno può essere usato per diffondere disinformazione, gonfiare artificialmente il gradimento di pagine commerciali o politiche, e raccogliere dati sugli utenti.

Cosa devo fare immediatamente se sospetto di aver subito un attacco di clickjacking?

Agisci su più fronti nell’immediato. Cambia le password dei servizi potenzialmente coinvolti, revoca i permessi alle app che non riconosci nelle impostazioni dei tuoi account social e Google, contatta la banca per bloccare eventuali transazioni sospette e richiedere il rimborso. Conserva tutti gli screenshot delle anomalie riscontrate: saranno utili sia in sede di denuncia che per la richiesta di rimborso. Poi valuta con un avvocato se e come procedere legalmente.

Il GDPR tutela chi subisce un furto di dati tramite clickjacking?

Sì. Se il clickjacking ha determinato la raccolta non autorizzata di tuoi dati personali, si configura un trattamento illecito ai sensi del GDPR. Hai diritto a presentare un reclamo al Garante per la protezione dei dati personali e a chiedere il risarcimento del danno, sia patrimoniale che non patrimoniale. Il responsabile del trattamento è tenuto a dimostrare di aver adottato misure adeguate a prevenire la violazione: se non ci riesce, risponde delle conseguenze.

Immagine di Centro Studi Difesa Consumatori
Centro Studi Difesa Consumatori
Tutti gli articoli
Ti potrebbe interessare
Trustpilot

Verifica subito una piattaforma

Inserisci il nome del broker o il dominio del sito per controllare se è già stato segnalato dalle autorità di vigilanza.

Un controllo rapido può aiutarti a evitare versamenti su piattaforme potenzialmente abusive.

In evidenza
Commenti
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

!
SUPPORTO IMMEDIATO
Attenzione: non credere a semplici opportunità di guadagno. Se hai investito denaro o hai condiviso i tuoi dati con piattaforme di trading non sicuramente affidabili, potresti essere a rischio. Fissa subito una consulenza gratuita per salvare i tuoi risparmi
Fissa una consulenza
!
SUPPORTO IMMEDIATO
Attenzione: non credere a semplici opportunità di guadagno
Se hai investito denaro con piattaforme di trading non sicuramente affidabili, potresti essere a rischio. Fissa subito una consulenza gratuita per salvare i tuoi risparmi
Fissa una consulenza