Da internet una valanga di email per svuotarvi il conto in banca

Nino Materi

«Caro cliente, la nostra banca intende rimborsarvi per la vostra fedeltà con 100 euro. Prima di usare questo importo, dovete seguire il collegamento e usare il vostro Codice cliente e Codice segreto. Un operatore si mettera in contatto con voi per confermare l'importo». Oppure: «Gentile utente, durante i regolari controlli sugli account non siamo stati in grado di verificare le sue informazioni. Per questa ragione abbiamo bisogno di confermare le sue reali informazioni. È sufficiente che lei esegua il login e completi il modulo che le forniremo. Se ciò non dovesse avvenire saremo costretti a sospendere il suo account».
Se ricevete in posta elettronica messaggi come questi, state attenti: vuol dire infatti che anche voi siete diventati delle potenziali vittime del «phishing». Una truffa dietro alla quale si nasconde un postino virtuale che può bussare ben più di due volte, fino a trovare chi abbocca all’amo. Non a caso il raggiro telematico è stato battezzato con un termine preso dal linguaggio degli hacker che deformano spesso l'ortografia di parole inglesi giocando con la fonetica anglosassone: la grafia corretta sarebbe infatti «fishing» (pescare), in questo caso pescare ingenui in rete.
Il sistema è semplice. Si inviano e-mail con grafica e loghi ufficiali di importanti banche, carte di credito e aziende commerciali, chiedendo di riempire un modulo incluso nella stessa e-mail o in una pagina web con i propri dati personali, spesso password o numeri di carta di credito.
Il modulo non ha naturalmente nulla a che fare con l'organismo ufficiale imitato nell'e-mail e così le password e i numeri di carta di credito finiscono nella banca dati del truffatore che ha inviato la e-mail acchiappagonzi. Se si pensa che le phishing e-mail vengono diffuse con un metodo simile a quello dello spam, si può immagine che tra migliaia di e-mail inviate a casaccio ne bastano poche a segno per riuscire a racimolare ingenti guadagni.
È un tipo di attacco che - partito dagli Stati Uniti - sta creando non pochi grattacapi anche in Italia, dove Procura di Milano e Guardia di Finanza sono alle prese con decine di denunce per phishing, le cui «menti» sono riuscite recentemente a perfezionare le tecniche, riproducendo con esattezza le caratteristiche grafiche dei siti originali con i loghi dei falsi istituti di credito. Il sistema illegale conta sulla possibilità statistica di incrociare, tra i diversi soggetti raggiunti dalla e-mail, anche un numero di persone che sono effettivamente titolari di un conto corrente on line presso le banche da cui viene simulato l'invio del messaggio di posta elettronica.
«Grazie alla collaborazione di tutti gli istituti di credito interessati - spiegano gli inquirenti - è stato possibile bloccare la maggior parte dei bonifici illecitamente disposti, impedendo la sottrazione di fondi per un totale di 800mila euro»: somma, probabilmente, molto inferiore a quella che gli ideatori del phishing sono riusciti finora a sgraffignare.
Dal fascicolo dell’inchiesta sono emersi i nomi di vari istituti bancari usati come specchietti per allodole (Banca Intesa, Unicredito, Banca di Credito Cooperativo, Banca Sella), ma è probabile che le banche coinvolte ancora all’oscuro del danno siano molte di più: anche perché i bonifici disposti con le password degli incauti clienti sono per cifre spesso modeste e i clienti se ne accorgono solo dopo tempo.
I reati ipotizzati dalla Procura di Milano, che ha già avviato delle rogatorie nel Paesi dell'Est, sono quelli di frode informatica e diffusione abusiva di codici identificativi.

Per il nostro codice penale gli eventuali responsabili, anche se individuati, rischierebbero poco o nulla.