Tecnologia

Truffe online, il mistero dei 500mila euro persi da Confindustria

“Aldo Baglio esci dal corpo del direttore generale di Confindustria!” urla l’esorcista che sente il top manager ripetere ossessivamente “Non ci posso credere” come lo spilungone del trio comico Aldo, Giovanni e Giacomo. La dottoressa Marcella Panucci – vertice operativo dell’organizzazione delle grandi industrie italiane – non è certo posseduta da demoniache entità, ma è certo che il sistema informatico dell’associazione che dirige è fuori controllo, che almeno uno dei suoi collaboratori più preziosi è… imprudente, che sono spariti 500mila euro, soldino più soldino meno, che la curiosità si fa di ora in ora incontenibile.

La vicenda è talmente sconcertante (per chi legge) e dolorosa (per i protagonisti) da imporre la più assoluta delicatezza.

Quando si parla di truffe online si immaginano le vittime con un approccio quasi lombrosiano: hanno la faccia di quelli destinati a farsi fregare, la loro età anagrafica le esclude dai nativi digitali, la ridotta dimestichezza anche con il telecomando del televisore di casa è indizio di analogicità radicata, spesso il livello di scolarizzazione non brilla per lauree e diplomi.

Nella mia carriera da cyber-sceriffo ho visti talmente tanti malcapitati da poter fare un casting hollywoodiano, ma oggi mi trovo costretto a rivedere il “normotipo” del bidonato.

La scena del crimine non è un appartamento popolato da sprovveduti pensionati semianalfabeti in grado di calamitare qualsivoglia frode nei propri confronti, ma gli eleganti uffici di Avenue de la Joyeuse Entrée 1 a Bruxelles in cui ha sede la delegazione di Confindustria presso l’Unione Europea.

La casella di posta elettronica non è il solito indirizzo di free mail che il nonnetto inesperto si fa creare dal fulmineo nipotino, ma quella corrispondente all’account ed utilizzata dal direttore della delegazione.

L’utente non è il bersaglio classico del tradizionale truffatore nigeriano. Laurea in Scienze politiche, brillante funzionario della Comunità Europea e poi a Ginevra per le Nazioni Unite, deputato per due tornate all’Europarlamento, poi trombato alla Camera nel 2001 e al Senato nel 2006, capo di gabinetto di Emma Bonino nel 2008 al Ministero delle Politiche Europee, dal 2 marzo 2009 uomo di Confindustria a Bruxelles fino alle 11.17 del 30 settembre 2017 momento in cui la sua pagina Wikipedia con un “è stato” testimonia la caduta dall’Olimpo.

La sua foto scompare anche dalla pagina web di Confindustria.eu e rimane traccia del suo sorriso solo sulla cache di Google. La foto è stata scattata sicuramente prima che gli arrivasse una mail farlocca apparentemente spedita dalla dottoressa Marcella Panucci.

Il messaggio – a quel che si dice estremamente laconico – invitava il destinatario ad eseguire subito un consistente bonifico su un conto estero, avendo cura di non disturbare la mittente dichiaratamente impegnata al seguito del presidente Vincenzo Boccia. A parafrasar Dante “vuolsi così colà dove si puote ciò che si vuole e più non dimandare” e naturalmente un “fedele esecutore di ordini” – come si etichettano i militari ubbidienti – non avrebbe battuto ciglio.

Nessun dubbio sull’autenticità della comunicazione, nessuna esitazione sulla liceità di quanto veniva comandato, nessuna necessità di verifica: una condotta così risoluta e determinata lascia intendere o una subordinazione estrema o una consolidata consuetudine a ricevere simili disposizioni ad agire. Il dottore, con la stessa leggerezza con cui si esegue una fotocopia o si spillano tre pagine, avrebbe immediatamente proceduto a versare la somma indicata al numero Iban riportato nella mail.

Nonostante la consistenza dell’importo, l’operazione avrebbe trovato istantanea esecuzione senza che intervenissero il benché minimo riscontro o la più elementare validazione, quasi determinate movimentazioni di denaro – magari persino senza comprovate identificazioni del beneficiario e puntuali individuazioni della causale – rientrassero nella più ordinaria prassi delle attività di lobbying.

Peccato che non abbiano Iban solo i conti correnti, ma che tale codice sia abbinato anche a carte di credito attivate a soggetti la cui identità dall’altra parte del pianeta nessuno si preoccupa di accertare. Peccato che un istante dopo l’accredito della somma, il malloppo cominci a rimbalzare nei circuiti finanziari come una pallina in un flipper fino a sparire.

Quando la bizzarra circostanza emerge (non si sa come) i costruttori di recinti per bovini ormai lontani avviano con celerità l’edificazione di staccionate, steccati e palizzate. Scattano i controlli interni, le indagini in seno all’organizzazione, l’audit più aggressivo, la richiesta di intervento delle Forze dell’Ordine. Inizia l’inutile inseguimento, inutile perché i responsabili – come in tutte le vicende di questo genere – sono già tutti fin troppo noti.

Il furbetto che ha gabbato il top manager non deve la sua fortuna al ridicolo ricorso alle preistoriche tecniche di “mail spoofing” che gli hanno consentito di rubare l’identità della Panucci (o meglio di averne semplicemente preso il posto in questa patetica commedia) e di inoltrare un messaggio apparentemente originato dal direttore generale. La bravura sta solo nell’aver intuito di trovarsi di fronte una organizzazione totalmente impreparata e di averne riconosciuto il più incredibile punto debole.

L’elenco dei colpevoli – a diverso titolo e con differente grado di responsabilità – potrebbe coincidere con larga parte dell’elenco telefonico di viale dell’Astronomia a Roma. Tanto per cominciare non hanno funzionato (e forse non c’erano) le procedure per la gestione della posta elettronica, le dinamiche autorizzative per spese superiori ad una determinata soglia, i controlli di coerenza e congruità, le misure di sicurezza informatiche, i flussi di comunicazione e così via potenzialmente all’infinito. L’esame di coscienza dovrebbe innescare una sorta di abluzione collettiva nel Gange: gli uffici che hanno contribuito al verificarsi di questo increscioso episodio sono la quasi totalità. Dovranno dare spiegazioni su quel che è stato fatto (e soprattutto non è stato fatto o nemmeno ipotizzato) le aree ICT, risorse umane, amministrazione e finanza, affari legali, organizzazione, audit, sicurezza e non so quanti altri a seguire.

La stessa immediatezza che è stata applicata nella catartica rimozione del nome dell’interessato dalle pagine web che ne segnalavano l’esistenza e il ruolo di spicco, dovrebbe caratterizzare una spontanea processione aziendale ad una novella Rupe Tarpea.

In alternativa dovrebbe essere intrapresa la ripida via della redenzione ma non può mancare la consapevolezza che c’è davvero molto da fare. La brusca presa di coscienza dovrebbe indurre ad affrontare il problema della sicurezza con una ragionata severità anche in considerazione (e per rispetto) degli associati che non avrebbero voluto vedere sgretolato il mito ciclopico di Confindustria.

Si cominci non immaginando un rocambolesco hacker che arriva da chissà dove, ma pensando a chi sapeva della libertà di azione dell’alto funzionario. Questa storia non parla della consueta pesca a strascico, ma di una fiocina ben mirata.

Un’ultima domanda. La più seria. Quante “Confindustria” caratterizzano l’orizzonte nazionale?

@Umberto_Rapetto