top of page

La Stangata in versione informatica è ancora più pericolosa: la prevenzione dei reati informatici in


Le frodi man-in-the-middle, truffe informatico-finanziarie che provocano danni da migliaia di euro alle aziende grazie alla violazione della corrispondenza aziendale e ad un pizzico di social engineering. Anche se l’ormai classico phishing, fattispecie criminosa riconducibile alla sostituzione di persona ed alla frode informatica, è divenuta largamente riconoscibile ed in parte evitabile dalla maggioranza degli utenti della rete, nuove e più pericolose varianti sembrano farsi strada tra i cybercriminali. E, proprio come per le infezioni nel mondo reale, pare che queste nuove varianti evolute siano più aggressive, più mirate, più resistenti e, soprattutto, più remunerative per i criminali ed estremamente dannose, sul piano finanziario, per le vittime. Oggi la nuova frontiera è il “man in the mail”, versione riadattata in chiave informatica, di quel “man in the middle” (letteralmente l'uomo in mezzo) che fu usato come meccanismo del film “La stangata”. Negli ultimi mesi, infatti, si sono intensificati gli episodi di truffe finanziarie online ai danni delle aziende di quasi tutta Europa, opera di criminali informatici ed organizzazioni transnazionali che sono riuscite a colpire anche molte società italiane. L’attacco MITM (acronimo di man-in-the-middle), sostanzialmente, è un tipo di attacco silente nel quale l’agente si inserisce nei sistemi della vittima o del suo interlocutore (la dicitura man-in-the-middle si riferisce proprio alla posizione del portatore dell'attacco, interposta tra le due vittime) e per un lungo periodo di tempo, monitorandolo, ne studia le abitudini informatiche, leggendo e modificando, senza darne evidenza, le comunicazioni tra le due parti e nascondendo la sua presenza ad entrambe. Il meccanismo è molto semplice: gli “hacker” violano la casella email di una società, scelta con cura tramite valutazioni principalmente basate sul fatto che effettui operazioni internazionali di import/export, in modo da essere certi che essa abbia una relazione commerciale con un partner o con un fornitore estero. Per poter entrare nelle caselle di posta i criminali utilizzano metodi come phishing, brute forcing o persino trojan inviati via posta sui computer o sui telefoni di chi, all’interno dell’azienda, gestisce i rapporti finanziari con l’estero. La posta elettronica viene poi monitorata per diverso tempo, in maniera da essere difficilmente individuabile, fino al momento in cui vengono scambiate i documenti utili all’importazione o esportazione di materiali, spesso con ingenti capitali in gioco. Al momento giusto i truffatori inviano un’email, fingendo di essere il fornitore estero (attraverso l’artificio della creazione di una casella di posta elettronica simile a quella originale) in cui chiedono che il pagamento per i beni acquistati o venduti avvenga su un differente istituto di credito, con tanto di specificazione delle coordinate bancarie di destinazione, spesso modificando graficamente il modulo d’ordine originale. Il messaggio appare solitamente autentico agli occhi dell’interlocutore, poco attento o non avvezzo allo strumento informatico, proprio per tutte le informazioni che i truffatori hanno potuto acquisire dall’email durante le settimane di monitoraggio. Per leggerezza o troppa fiducia, il cliente dall’altra parte esegue il bonifico utilizzando le nuove coordinate, in alcuni casi chiedendo conferma del cambio con una semplice email, alla quale i criminali rispondono fingendosi la controparte e tranquillizzando circa la legittimità del nuovo conto. I soldi vengono quindi bonificati su un conto in realtà intestato a dei prestanome (i c.d. “financial manager”, già utilizzati indebitamente nei primi casi di phishing a cui siamo ormai stati abituati), dal quale poi entro pochi giorni spariscono senza possibilità di recupero.

Sotto il profilo del diritto penale, la fattispecie può essere inquadrata quale una vera e propria truffa ex art. 640 c.p. (la vittima è indotta in errore tramite artifizi e raggiri, consistenti nella falsa email a nome del fornitore e nell’uso di falsa documentazione contabile), piuttosto che scissa in molteplici condotte, avvinte dal vincolo della continuazione, riconducibili ai reati di sostituzione di persona ex art. 494 c.p. e di frode informatica ex art. 640 ter c.p., soprattutto a seguito della recente modifica legislativa introdotta dall'art. 9, comma 1, D.L. 14.08.2013, n. 93, così come modificato dall'allegato alla legge di conversione L. 15.10.2013, n. 119, che ha previsto l’inserimento di un comma specifico avente ad oggetto la commissione della frode mediante furto o utilizzo indebito dell’identità digitale altrui (letteralmente: “La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”). Le circostanze che rendono, tuttavia, difficile se non addirittura impossibile incardinare l’azione penale nei confronti degli autori delle condotte illecite sono relative ai limiti temporali (quando ci si accorge della truffa, solitamente i soldi sono stati sottratti dal conto di destinazione) e giurisdizionali (per nostra esperienza diretta, le connessioni risultano sempre originate da Paesi stranieri quali la Costa d’Avorio, la Russia o altri territori che non garantiscono l’assistenza giudiziaria necessaria per l’individuazione e la repressione dei colpevoli), che rendono la presentazione di denunce-querele contro ignoti più un adempimento burocratico che una effettiva soluzione del problema.

In aggiunta a ciò, anche sul parallelo versante civilistico della eventuale ripetizione dell’indebito pagamento mediante interpello della banca disponente e, soprattutto, di quella del beneficiario (sebbene sine titulo), l’unica strada percorribile sembrerebbe quella di richiedere lo storno del pagamento nel più breve tempo possibile. Una soluzione purtroppo esperibile solo fintantoché i fondi sono ancora presenti sul conto di destinazione. Del resto, ove – come nella maggioranza dei casi concretamente accade – la richiesta di ripetizione dell’indebito pagamento arrivi in ritardo e a conto ormai “svuotato”, neppure sembrerebbe possibile addebitare alcuna responsabilità alle imprese creditizie: deve infatti essere sottolineato che le disposizioni comuni europee (discendenti tutte dalla direttiva 2007/64/CE del Parlamento europeo e del Consiglio, relativa ai servizi di pagamento nel mercato interno), declinate poi nei testi normativi quali il Payment Service Regulation (PSR) inglese del 2009 (specificamente l’art. 74, rubricato “Liability - Incorrect unique identifiers”) o in Italia il Decreto Legislativo 27 gennaio 2010, n. 11 (specificamente all’art. 24, rubricato “Identificativi unici inesatti”) tendono a giustificare – e di conseguenza a garantirne l’efficacia – le disposizioni di pagamento in cui l’indicazione del titolare del conto e le relative coordinate bancarie non coincidono, finendo di fatto per escludere ogni responsabilità in capo alle banche.

Di certo permane il dubbio circa l’adeguatezza di normative di tale portata, soprattutto in un’epoca in cui la semplicità e la velocità dei pagamenti online ha, di fatto, trasferito ogni possibilità di controllo nelle mani degli intermediari finanziari. Gli istituti di credito, del resto, sarebbero già dotati di strumenti di verifica e alert automatici che, con facilità, possano individuare operazioni potenzialmente sospette perché gravate da macroscopiche incongruenze (quale l’indicazione di un beneficiario diverso dal titolare del conto) o altri parametri sentinella, quali ad esempio l’atipicità della disposizione, la transnazionalità o il coinvolgimento di utenti privati nel corso di operazioni commerciali. Il consiglio, in via residuale, non rimane che quello di una attenta prevenzione dei rischi di questo genere, con la previsione e l’attivazione di procedure interne di controllo e verifica delle informazioni, nonché di adeguamento della sicurezza informatica aziendale: in molti casi basterebbe la verifica dell'indirizzo del mittente, perché è piuttosto facile crearne uno molto simile a quello originale e soprattutto impostare il nome del mittente identico a quello corretto. In caso di pagamenti di importo elevato, poi, sarebbe preferibile porre in essere sempre un controllo con canali di comunicazione alternativi - una telefonata o un fax – per confermare esattamente richieste anomale ricevute via email. Negli Stati Uniti l’FBI ha pubblicato da tempo un avviso utile alla prevenzione, diramato poi alle aziende potenzialmente aggredibili attraverso tale meccanismo. In attesa che il legislatore, o le associazioni di categoria, si attivino anche nel vecchio continente per porre un freno al fenomeno, l’unica soluzione quindi sembra essere quella della previsione di forti strumenti di prevenzione interni, poiché una volta che il pagamento è stato disposto, risultano davvero remote le possibilità di rientrare in possesso di quanto indebitamente trasferito su conti estranei a quelli sottesi al rapporto sinallagmatico con i propri fornitori.

Su questa tipologia di truffa non dobbiamo pensare solo in ottica di danno subito. La diffusione in rete di questa modalità di operare ha fatto si che alcune aziende abbiano pensato di simulare l’accesso alla propria email e fintamente cadere nell’inganno, facendo così trasferire fondi su un conto corrente estero ed inserendoli a perdita nel proprio bilancio. In realtà altro non era che la produzione di un fondo nero di valuta. Questo porta a segnalare anche agli organismi di vigilanza di prestare la massima attenzione, rientrando in questo caso in una diversa fattispecie di reato, rientrante proprio tra quelli previsti dal D.Lgs. 231/01. In questi casi un’attenta valutazione tecnica ha permesso di capire che la truffa era stata simulata e non subita, e che l’azienda aveva architettato una specifica condotta per trasferire una quantità importante di fondi su un conto corrente estero, pensando poi di poterne disporre successivamente, una volta che la querela depositata in Procura sarebbe stata archiviata, come spesso accade in questi casi.

Featured Posts
Recent Posts
Archive
Search By Tags
Follow Us
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Basic Square
bottom of page