Maxitruffa informatica: Pec false dalle banche, svuotati migliaia di conti correnti online

Maxitruffa informatica: Pec false dalle banche, svuotati migliaia di conti correnti online
Martedì 8 Maggio 2018, 08:24 - Ultimo agg. 9 Maggio, 13:09
5 Minuti di Lettura
Banda di cybercriminali sgominata tra Abruzzo e Calabria dai carabinieri del comando provinciale di Messina. I militari hanno arrestato 5 persone accusate di associazione a delinquere finalizzata alla frode informatica, accesso abusivo a sistema informatico o telematico e sostituzione di persona. Sequestrati agli indagati 31 tra conti correnti e depositi bancari per oltre un milione e 200 mila euro.

Il provvedimento nasce da un'inchiesta avviata nel febbraio 2018 dal Nucleo Investigativo del Comando Provinciale dei carabinieri in collaborazione col Ros che ha svelato un'organizzazione di cyber criminali, con base nella fascia ionica reggina e attiva sull'intero territorio nazionale, specializzata nel rubare, online, ingenti somme di denaro da diverse centinaia di conti correnti bancari.

Gli indagati erano in grado di modificare, sui principali siti web istituzionali (Telemaco Infocamere, www.inipec.gov.it, www.registroimprese.it, etc..), gli indirizzi di posta elettronica certificata (p.e.c.) di alcuni tra i più noti istituti di credito nazionali ed esteri, sostituendoli con quelli di analoghe caselle di posta certificata, denominate in modo del tutto simile alle originali, appositamente attivate su provider specializzati e intestate a soggetti ignari o inesistenti.

Grazie a questo espediente i pirati informatici riuscivano, da un lato, ad interporsi tra i titolari dei conti correnti online e i rispettivi istituti - secondo una modalità di attacco cibernetico nota come M.I.T.M. (man in the middle) - e, dall'altro, ad entrare in possesso delle credenziali di accesso ai rapporti finanziari, utilizzando le quali disponevano una sequenza di operazioni «home-banking» in favore di ulteriori conti bancari, intestati a ignare vittime di furto d'identità, ma gestiti dagli stessi pirati informatici.

I truffatori dunque ricevevano la mail del cliente che credeva di contattare la propria banca per rappresentare le proprie necessità (ad esempio chiusura o apertura di conti correnti ovvero successioni mortis causa) e, una volta stabilito il contatto, ottenevano la fiducia delle vittime e le inducevano a fornire le credenziali di accesso ed i codici operativi dei conti che utilizzavano per sottrarre il denaro.

Le somme rubate venivano riciclate attraverso una sequenza di bonifici effettuati su una serie di conti correnti, aperti fraudolentemente e, in taluni casi, intestati alle stesse ignare vittime. Se le disponibilità presenti sui conti correnti di cui si appropriavano erano scarse, la banda provvedeva all'azzeramento del saldo del conto attraverso acquisti di merci su siti di e-commerce, facendosi poi recapitare i beni presso indirizzi di comodo nei comuni di residenza. Inoltre, al fine di rendere più credibile la truffa, i malfattori avevano creato anche profili facebook intestati alle identità fraudolente e, per renderle più credibili, avevano inserito foto, curriculum e falsi loghi per spacciarsi per impiegati degli istituto di credito. 

Era Giuseppe Cesare Tricarico, calabrese, la mente della banda di cybercriminali. Tra gli indagati anche il fratello Davide. Entrambi operavano nonostante fossero agli arresti domiciliari per un'inchiesta analoga della procura di Reggio Calabria. Gli altri arrestati sono Nicola Ameduri e Nicodemo Porporino, anche loro calabresi. Della banda faceva parte anche Antonello Cancelli, residente nella provincia dell'Aquila.

Gli indagati ponevano massima attenzione nel non utilizzare mai i propri nomi per compiere attività riconducibile ai reati commessi, controllavano con maniacale attenzione le proprie autovetture temendo che vi fossero delle cimici, avendo cura di non utilizzare mai schede telefoniche a loro riconducibili.

Uno dei metodi posti in atto per sottrarre denaro alle vittime era quello di simulare l'esistenza di un SDD a loro carico. SDD è l'acronimo di SEPA Direct Debit: si tratta di uno strumento SEPA per l'incasso pre-autorizzato su mandato all'addebito richiesto dal debitore a favore di un suo creditore. In soli pochi mesi di indagine è stato documentato un vorticoso giro di SDD messi all'incasso, 124 in uso solo giorno per un contro valore di quasi 200 mila euro.

Nello schema di SEPA Direct Debit (SDD) il mandato è il contratto con il quale il debitore fornisce due distinte autorizzazioni. Autorizza il creditore a disporre uno o più addebiti a valere sul proprio conto. Autorizza altresì la propria banca ad addebitare il conto in base alle istruzioni fatte arrivare tramite il creditore.

Le indagini hanno permesso di accertare come Tricarico, sempre utilizzando le false identità, arruolasse inconsapevoli collaboratori a cui affidava il compito di processare i mandati SDD facendo loro credere di essere il responsabile di un'agenzia di recupero credito cui vari soggetti (istituti bancari, Agenzia delle Entrate e Tribunali). Questi collaboratori avrebbero dovuto istruire digitalmente l'iter degli SDD, acquisire sui loro conti correnti i pagamenti dei debitori e, trattenuta la loro commissione, rigirare sui il denaro sui conti indicati da Tricarico.

La replica. In relazione ala truffa InfoCamere precisa che
«non ci sono state violazioni né delle procedure né dei sistemi informatici attraverso cui vengono gestite le iscrizioni o modifiche delle caselle PEC annotate nel Registro delle Imprese delle Camere di commercio, e che nessun dato ufficiale presente nel Registro risulta essere stato alterato».
Il processo di iscrizione e variazione dell’indirizzo di Posta Elettronica Certificata (PEC) nel Registro Imprese consiste in una comunicazione telematica effettuata dal rappresentante legale dell’impresa (o da un suo delegato, sulla base di una procura regolata dalla 2008 del Ministero dello Sviluppo Economico), sottoscritta con firma digitale e inviata alla Camera di Commercio competente per territorio attraverso il sistema della “Comunicazione Unica”.
«La comunicazione di iscrizione o variazione così ricevuta - precida ancora InfoCamere - viene poi verificata in Camera di Commercio prima di essere resa pubblica. InfoCamere ha fornito tutte le informazioni richieste ai fini dell’indagine».
© RIPRODUZIONE RISERVATA