La nuova truffa è stata chiamata “truffa svuota conti correnti” o semplicemente Man in the Middle: una trappola nella quale sono caduti centinaia di utenti di banche, per lo più online, ai quali sono state prelevate ingenti somme di denaro dai conti correnti, in alcuni casi persino svuotati.
Il bottino complessivo degli hacker, scoperti dai Carabinieri, è stato di oltre 1 milione di euro, prelevato da ignari correntisti contattati tramite messaggi di Posta Elettronica Certificata, ovvero la Pec. A mettere in atto la truffa un gruppo di hacker, peraltro non nuovi a reati analoghi, che hanno sfruttato la semplice tecnica del phishing, ovvero un contatto via internet attraverso il quale il malvivente riesce a ottenere informazioni e dati personali, ma soprattutto codici di accesso e password, fingendo di essere un Ente istituzionale o bancario.
“Molto probabilmente hanno contattato le loro ‘vittime’ utilizzando gli indirizzi Pec di ignari utenti, raggiunti tramite altrettanti account fittizi, creati tramite gestori di posta elettronica certificata come Legalmail o Aruba. Chiunque, infatti, può creare un indirizzo di Pec, che lo rende più credibile agli occhi di chi riceve un suo messaggio. Il problema è che nessuna banca, neppure un servizio di home banking, invia un messaggio di posta elettronica in caso di bonifico. Hanno giocato sull’ingenuità e la superficialità di molta gente” spiega a Donna Moderna Umberto Rapetto, informatico, ex finanziere e comandante del Nucleo Speciale Frodi Telematiche.
Il caso e la tecnica Man in the Middle
Con questo termine di intende una strategia che punta a insinuarsi tra l’utente, soprattutto di banche online, e gli istituti stessi. In questo caso gli hacker sono riusciti a modificare alcuni indirizzi di Pec di banche online italiane e straniere, presenti nei database di Enti istituzionali, tra i quali Telemaco Infocamere, Registro Imprese o Inipec.gov.it, e hanno scritto messaggi a cittadini e correntisti, ottenendo i loro dati e credenziali di accesso ai conti correnti online. “Il sistema è lo stesso già messo in atto dagli stessi cyber-pirati finiti in manette ora e che si trovavano già ai domiciliari per una truffa analoga, scoperta dalla Guardia di Finanza due anni fa” spiega Rapetto. “La differenza è che hanno sfruttato la Pec, ben sapendo che gli utenti, di fronte alla posta certificata, avrebbero obbedito più facilmente a richieste come quella di modificare la propria password o reinserirne una nuova”.
Una volta entrati in possesso delle credenziali di accesso, i criminali hanno gestito le somme di denaro dei correntisti, spostandole su altri conti e investendole in bitcoin, la moneta virtuale che si sta diffondendo sempre più per transazioni anche illegali. Nel mirino della truffa sono finiti gruppi come Banca Mediolanum, Banca Fineco, CheBanca!, Ing Bank, Iw Banck e Barclays Bank.
La Pec è sicura?
La Pec rappresenta un sistema di comunicazione certificato che ha valore legale e che in molti casi ha sostituito le raccomandate per comunicazioni ufficiali da parte di Enti come l’Agenzia delle Entrate o le Amministrazioni comunali (come per la notifica delle multe). Il problema non è la Pec, ma l’uso che se ne fa. “È vero che lo spam nella Pec sarebbe vietato, ma è vietato anche uccidere, eppure vengono commessi crimini tutti i giorni, soprattutto nei confronti dei più deboli o sprovveduti. Occorre il buon senso: se stiamo attenti quando attraversiamo la strada sotto casa, dobbiamo esserlo ancora di più lungo le autostrade dell’informazione, dove mettiamo dati sensibili e facciamo correre i nostri sogni, come per i risparmiatori” avverte l’ex Comandante delle Fiamme Gialle.
Come proteggere i nostri dati
“Occorre adottare delle misure di autodifesa. Se stiamo attenti quando riceviamo email sospette, dobbiamo esserlo anche con la posta certificata, nonostante questa abbia spesso un effetto simile alle buste verdi delle notifiche di atti giudiziari o altre comunicazioni da parte dell’Agenzia delle Entrate. Quello che è successo è che i correntisti hanno abbassato la guardia, ricevendo messaggi via Pec. Ma mai una banca manda una email per un bonifico.
Quali regole seguire? “La prima è quella di comportarsi come con l’omeopatia, usando il buon senso. Se ci arriva un messaggio definito ‘urgentissimo’, che ci chiede di reinserire dati personali, cambiare password, ecc, è meglio perdere qualche minuto e recarsi nella filiale della nostra banca. Forse allo sportello qualcuno potrà essere un po’ scocciato, ma ci guadagneremo in sicurezza” consigli Rapetto.
“La seconda regola è quella di essere meno distratti e non agire con precipitazione e fretta eccessiva. Se facendo un click possiamo ribaltare virtualmente il mondo, facendone due potremmo ribaltarci noi stessi e trovarci truffati” dice l’esperto informatico.
Chi risarcisce?
Di fronte a “furti informatici” sempre più frequenti, che fare? Secondo le associazioni dei consumatori, se si rimane vittime di truffe di questo genere, specie per prelievi illegittimi dai conti correnti online da parte di pirati informatici, è quello di chiedere alla banca la restituzione dei soldi sottratti. La giurisprudenza, infatti, parte dal presupposto che sia responsabilità degli istituti adottare misure tali da evitare rischi per i propri clienti. Èquello che viene chiamato “inversione dell’onere di prova”, secondo cui i correntisti devono dimostrare di aver subito un prelievo dal proprio conto online senza autorizzazione.
Il consiglio è dunque quello di presentare alla propria banca una istanza di rimborso tramite raccomandata a.r. (o Pec). In caso di resistenze da parte dell’istituto, è possibile fare ricorso all’Abf, l’Arbitro bancario finanziario, un procedimento più rapido ed economico, che non richiede l’intervento di un avvocato (a differenza di un processo “normale”) e che permette di ottenere il rimborso legittimo, come dimostrato dai dati relativi alle sentenze dell’Abf.