Sembra strano da dirsi, ma sì, Google ne ha combinata “una grossa”, a seguito di un nuovo tipo di truffa che non conoscevo e che mi vede vittima in prima persona. Quello che vi sto per raccontare è un (nuovo) metodo con cui i criminali utilizzano i dati di una carta di credito bypassando i vari fattori a doppia autenticazione che dovrebbero evitare transazioni non autorizzate, ed il tutto grazie ai servizi di pagamento Google! Ma andiamo con ordine e vediamo cos’è successo.
In data 11 Luglio, alle ore 13:39, ricevo un SMS in cui mi si avvisa di un addebito di Euro 41,73 da parte di GOOGLE*SERVICES. Stranito da questo tipo di operazione (di cui vi riporto lo screenshot qui sotto) decido di chiamare subito il centro assistenza della mia banca per chiedere maggiori informazioni.
Una volta entrato in contatto con il customer care, chiedo di verificare se “GOOGLE*SERVICES” è effettivamente un pagamento a carico del famoso motore di ricerca, oppure se si tratta di un gateway differente (truffaldino, ndr) che, utilizzando il nome di una famosissima azienda, cerca di far passare le transazioni come “lecite”, al fine di non insospettire la vittima. Il centro assistenza, dopo una rapida verifica, mi conferma che il gateway è effettivamente quello di Google e, su consiglio dell’addetto della banca, procedo ad effettuare il blocco della carta.
Facendo una ricerca non semplicissima (in quanto la pagina che vi sto per mostrare è abbastanza “nascosta”), scopro che la dicitura “GOOGLE*SERVICES”, che mai avevo sentito fino a quel giorno, viene utilizzata per contabilizzare due servizi che in Italia non esistono:
- Google Fiber
- YouTube TV
A questo punto, la situazione iniziava a diventare più chiara: di certo non si trattava di una transazione relativa ad acquisti “In-App” o di servizi di cui non ricordavo l’attivazione, ma di un furto dati vero e proprio! In poche parole, la situazione era la seguente: un soggetto non autorizzato dal sottoscritto aveva utilizzato i dati della mia carta di credito per aprire un account Google Fiber o YouTube TV, senza che Google effettuasse alcuna verifica come da normativa PSD2.
Decido quindi, utilizzando la funzione “Reclami di acquisti non autorizzati” di Google, di avviare una pratica per annullare la transazione, indicando tutti i dati utili all’individuazione della transazione. La segnalazione è stata aperta non più tardi di 30 minuti dopo il pagamento non autorizzato. Qui di seguito, i dettagli che ad oggi posso vedere del reclamo.
Speranzoso di ricevere un’ottima risposta da parte di Google, avendo fatto tutto il necessario in brevissimo tempo e dato che la situazione era abbastanza chiara (in quanto i due servizi non sono disponibili in Italia), aspetto i fatidici 12 giorni, indicanti come “tempo medio di risposta”.
La risposta arriva effettivamente il 23 Luglio e non è quella che mi sarei aspettato. Cito testualmente: “Dopo aver esaminato la tua rivendicazione, non possiamo confermare che nel caso in questione sia stata commessa un’attività fraudolenta, pertanto Google non elargirà alcun rimborso”. Qui di seguito, lo screenshot relativo all’email ricevuta da parte del team “Google Payments” in data 23 Luglio, ore 13:59
Insomma, Google, alla fine di tutto, non si ritiene responsabile di quanto accaduto, nonostante l’addebito sia avvenuto mediante il loro gateway di pagamento e nonostante i servizi acquistati siano loro (motivo in più per verificare chi sta effettivamente utilizzando gli account acquistati).
Molto probabilmente l’account YouTube TV (dubito possa essere Google Fiber), è stato messo in vendita a poche decine di Euro all’interno di uno dei tanti e-commerce che offrono account rubati o, come in questo caso, acquistati utilizzando dati di carte di credito rubati non si sa bene come.
Un tema da approfondire sarebbe: che ne è della normativa PSD2, per cui Google dovrebbe richiedere l’autenticazione forte del cliente (Strong Customer Authentication – SCA) per disporre ordini di pagamento online e per effettuare operazioni che implichino rischi di abuso o frode?
Salve, a me è appena successo di trovare un addebito non autorizzato di 300 euro e addirittura il nome del contraente non è il mio ma una certa MARTINA COPPOLA che non conosco assolutamente! Domani mi toccherà sporgere denuncia presso le autorità e intanto ho già chiesto a Google un rimborso ma è assurdo che succeda tutto ciò. E pensare che ho l’autorizzazione a due fattori attiva e non mi è MAI e dico MAI arrivata alcuna richiesta di autorizzazione per il collegamento di altri dispositivi. Ma dico io, com’è possibile tutto questo???
Ciao, tu pensa che a me hanno addebitato 10 giorni fa 3000€ di Google ASD, mai usato questo servizio, non capisco come e chi abbia utilizzato il mio account visto che nei dispositivi che hanno accesso c’è solo il mio smartphone e il mio PC, che tra l’altro ho password a 2 fattori.
Hanno detto che rimborseranno, spero sia così, ma è una cosa assurda, vediamo l’evolversi della faccenda, sono senza parole, mai successo in 15 anni di web una cosa del genere.
Pazzesco. Tienici informati con un nuovo commento, sarebbe molto interessante capirne gli sviluppi!
Ciao so che sono passati anni ma mi sto trovando in questa situazione proprio adesso. 260 euro da Google Ads nonostante io non lo abbia ne abbia la mia carta collegata a Google. Come si è evoluta la tua situazione?
Si è evoluta nel nulla: risposte vaghe da Google che non hanno portato ad alcuna conclusione positiva per il sottoscritto
a me hanno annullato tutto, non ho pagato nulla, ho fatto denuncia tramite nexi.
Peccato… peccato che succedono queste situazioni, e mi dispiace ancora di più che un’Azienda come Google non cerchi effettivamente di risolvere un problema che dovrebbe essere di “facile” soluzione per loro…
Concordo. Più che altro, credo sia abbastanza semplice, per loro, avere cortezza del fatto che l’account che ha utilizzato la mia CC non è del sottoscritto.
Questa volta è andata così 😀