Mail delle banche falsificate per svuotare i conti online

Banche e correntisti truffati da cyber criminali. Agivano comodamente da casa e, grazie a una serie di escamotage, mettevano le mani sui risparmi degli italiani. La banda è stata fermata dai carabinieri del Comando provinciale di Messina che hanno ricostruito i meccanismi utilizzati per frodare e, all'alba di ieri, nelle province di Reggio Calabria e dell'Aquila, su disposizione del gip di Messina, su richiesta della procura peloritana, hanno tratto in arresto 5 soggetti per associazione per delinquere finalizzata alla frode informatica, accesso abusivo a sistema informatico o telematico e sostituzione di persona. L'operazione «Fraudatores» ha anche registrato un decreto di sequestro preventivo sui conti correnti e depositi bancari nella disponibilità degli indagati, per oltre 1,2 milioni di euro.

La mente della banda era il calabrese Giuseppe Cesare Tricarico, coadiuvato dal fratello Davide. Entrambi ai domiciliari per analoghi reati scoperti dalla procura di Reggio Calabria, proseguivano l'attività fraudolenta trovando collaborazione nei conterranei Nicola Ameduri e Nicodemo Porporino, e in Antonello Cancelli, residente nella provincia dell'Aquila.

Ma come sono riusciti a frodare tanti cittadini, da Nord a Sud? Il gruppo era abilissimo dal punto di vista informatico, tanto da riuscire a modificare, sui principali siti web istituzionali, gli indirizzi di posta elettronica certificata (Pec) di noti istituti di credito nazionali ed esteri, sostituendoli con quelli di analoghe caselle di posta certificata, denominate in modo simile alle originali, appositamente attivate su provider specializzati e intestate a soggetti ignari o inesistenti. Così i pirati informatici si interponevano tra i titolari dei conti correnti online e i rispettivi istituti, secondo una modalità di attacco cibernetico nota come M.I.T.M. (man in the middle), col risultato di riuscire a entrare in possesso delle credenziali di accesso ai rapporti finanziari, che utilizzavano per operazioni di «home banking» in favore di conti bancari intestati a ignare vittime di furto d'identità, ma gestiti dalla consorteria.

In pratica, erano i truffatori e non l'istituto di credito a ricevere le mail dei clienti che credevano di contattare la propria banca e, fidandosi, fornivano le credenziali di accesso e i codici operativi dei conti. I piccoli risparmi venivano estinti per effettuare acquisti online, altrimenti il denaro veniva movimentato su conti correnti gestiti dalla banda e si ritiene che in parte siano stati investiti nell'acquisto di bitcoin.

Un altro metodo per sottrarre denaro alle vittime era quello di simulare l'esistenza di un Sdd (Sepa Direct Debit) a loro carico. È uno strumento Sepa per l'incasso pre-autorizzato su mandato all'addebito richiesto dal debitore a favore di un suo creditore. Ad aiutare il gruppo ci sono stati anche involontari complici, arruolati dalla mente della banda per divenire operatori esterni di istituti di credito col compito di processare i mandati Sdd, per rigirare il denaro sui conti correnti indicati, dopo avere trattenuto la commissione.

In un solo giorno sono stati messi all'incasso 124 Sdd per un valore di quasi 200mila euro.