«Ecco come noi hacker romeni vi svuotiamo i conti bancari»

da Milano

«Mi chiamo Pascu. Sorin Pascu. Sono nato 22 anni fa in Romania. Di mestiere faccio l’hacker, il pirata informatico. E ho deciso di raccontarvi come svuotavo i conti degli italiani». È la sera del 6 luglio scorso, in una stanza della Procura un giovanotto si trova davanti il pm Francesco Cajani e due marescialli della Guardia di finanza. E, per la prima volta, decide di raccontare i segreti delle bande di pirati informatici romeni che di mestiere succhiano soldi dalle carte di credito nel nostro Paese, una truffa dilagante che risulterà - alla fine del racconto - disarmante nella sua semplicità.
Ieri Sorin Pascu è stato condannato a cinque anni e mezzo di carcere. Il suo capo, Marius Braditeanu, a sei anni. Ma l’inchiesta va avanti: perché è sicuro che le 200 vittime della banda scoperta a Milano sono solo la punta emersa di questa nuova frontiera dell’eterno business del «bidone».
I TELEFONI SENZA NOME
Pascu racconta di come fosse facile per il gruppo procurarsi schede telefoniche non identificabili, da usare per collegarsi a Internet senza lasciare traccia. «Questa scheda insieme ad altre da me comprate le trovavamo in due negozi Western Union sotto la metropolitana di piazzale Loreto e al Corvetto, a Milano. Le pagavamo al prezzo di 10 euro ma senza che ci chiedessero i documenti. Si trattava di negozi gestiti da marocchini o comunque extracomunitari».
LA CHAT DEI TRUFFATORI
Con le schede anonime, Pascu inondava di messaggi firmate «Poste Italiane» le caselle dei correntisti per farsi rivelare i loro codici segreti d’accesso (il cosiddetto «phishing»): i testi delle mail erano facilmente scaricabili da Internet. «Ero io stesso che mandavano le mail di phishing da parte di Poste Italiane. Il testo di tali mail lo prendevo dalle chat (le comunità di discussione, ndr) quali MiRc a cui accedevo con nickname (soprannomi, ndr) che potete trovare sul mio computer. Sempre da tali chat trovavo le disposizioni per collegarmi ai siti falsi delle Poste Italiane». E sulle chat dei truffatori erano in vendita anche gli indirizzi dei malcapitati italiani cui inviare i falsi messaggi delle Poste: «I database degli indirizzi mail dei destinatari dei messaggi li trovavo su MiRc. Voglio precisare che lo scambio delle informazioni si faceva in lingua romena e tale circostanza era già selettiva di chi vi poteva accedere». I falsi messaggi ai correntisti erano inviati da indirizzi simili a quelli delle Poste: «Tra gli account da me utilizzati vi era l’account post3it@gmail.com. Ne ricordo altri che iniziavano per post ma non ricordo le altre lettere».
E COSÌ SVUOTAVAMO I CONTI
Una volta ottenute le «credenziali» - cioè le parole chiave - degli ignari correntisti, partiva lo svuotamento dei conti: «Facevamo con le credenziali un accesso preliminare sul conto per verificare se il conto era pieno o meno». Dopodiché, iniziavano i prelievi e gli spostamenti di soldi.
Dalle tessere Poste-pay dei clienti i soldi venivano trasferiti ad altre tessere Poste-pay in mano all’organizzazione, intestate a complici o a nomi di fantasia, grazie ad una vera e propria voragine dei sistemi di controllo: «Non essendo previsto il codice di verifica per i trasferimenti da Poste-pay a Poste-pay queste operazioni erano molto più semplici per noi».

POI, TUTTI AL CASINÒ
Per aggirare il limite di prelievo dei bancomat (che non erogano più di 250 euro al giorno) la banda usava gli sportelli automatici delle case da gioco, assai più generosi: «I prelievi venivano effettuati solo nei Casinò, e precisamente, oltre che in Germania e Sanremo, anche Saint Vincent e Venezia, dove potevamo prelevare fino a tremila euro».