Il racconto di una delle vittime. "I truffatori si procurano le credenziali di home banking con tecniche di hacking. Poi con documenti falsi si fanno sostituire la sim", spiega Marcello La Bella, dirigente del compartimento di polizia postale della Sicilia Orientale che ha compiuto la prima operazione contro queste frodi. L'esperto di cyber sicurezza: "A quel punto messaggi e chiamate di verifica arrivano a chi sta commettendo il reato”
Il primo pensiero, quando se ne sente parlare, è che a noi non capiterà mai. Eppure, con gli smartphone ormai diventati dei veri e propri terminali bancari, il rischio c’è. E per perdere i risparmi di una vita possono bastare poche ore: “Quei 50mila euro li avevamo appena ricavati dalla vendita della nostra attività: ora siamo disoccupati e dobbiamo chiedere prestiti per pagare gli avvocati”, racconta Michele (il nome è di fantasia), 40 anni, al fattoquotidiano.it. I soldi sono spariti dal conto corrente tramite quattro bonifici, ordinati con causali fantasiose, come una “manodopera per orlo pantaloni” da oltre 13mila euro. Quando se n’è accorto, insieme alla moglie, la sera del 18 novembre scorso, era troppo tardi: “Abbiamo provato a fare il richiamo delle operazioni, ma non è stato possibile”. Il giorno dopo è scattata la denuncia e la polizia postale non ci ha messo tanto per capire che erano stati vittima di ‘sim swap’.
“È una tipologia di frode informatica articolata in vari passaggi”, spiega Marcello La Bella, dirigente del compartimento di polizia postale della Sicilia Orientale, che nel 2018 ha compiuto la prima operazione in Italia contro questo tipo di truffa, con 13 persone arrestate e un bottino totale di oltre 600mila euro. “Una volta individuata la vittima si procede all’acquisizione delle credenziali di home banking tramite tecniche di hacking. Poi, utilizzando documenti falsi, si sostituisce la sim card della vittima, e attraverso lo stesso numero telefonico si ottengono dalla banca le credenziali per operare sul conto corrente online”. La pericolosità di questa truffa sta nel superamento del secondo fattore di autenticazione, di recente legato al numero di telefono: “Il cellulare viene identificato con la sim e chi ne entra fisicamente in possesso ha un grande vantaggio”, spiega Stefano Zanero, professore associato presso il Dipartimento di Elettronica, Informazione e Bioingegneria del Politecnico di Milano ed esperto di cyber sicurezza. “Il numero di telefono infatti è anche il canale di comunicazione utilizzato dalle banche per notificare i movimenti e per fare eventuali controlli di sicurezza. In questo caso però messaggi e chiamate di verifica arrivano a chi sta commettendo il reato”.
Per Michele e sua moglie, tutto è iniziato con quello che sembrava essere un problema tecnico: “La mattina del 18 novembre ci accorgiamo dell’assenza di segnale sul suo telefono, che è quello legato al conto corrente aziendale”, racconta Michele. “Da Tim ci rassicurano, dicono che si tratta di un errore nella configurazione, consigliano di spegnere e riaccendere il telefono, di farlo più volte”. Ovviamente, è inutile: ormai quel numero è collegato a una sim che sta nelle mani del truffatore. Agli operatori, Michele e sua moglie riferiscono anche un altro dettaglio: “La stesso giorno abbiamo ricevuto un messaggio che confermava l’avvenuta disattivazione della sim, ma noi non avevamo fatto questa richiesta”. Nel pomeriggio, di persona in un centro Tim, arriva la conferma: alle 10 del mattino la sim era stata sospesa per furto e smarrimento e poi, in un altro centro, era stato fatto un duplicato della scheda. Le ore trascorse hanno permesso a chi ha rubato la sim di utilizzare il numero di telefono per effettuare bonifici, verosimilmente istantanei, e svuotare completamente il conto. Ora è in corso un’indagine della polizia postale, ma l’odissea giudiziaria è solo all’inizio: “Da mesi, ogni giorno, passiamo ore tra le Poste e la nostra banca per avere informazioni: vogliamo capire se almeno un parte di quella cifra si può recuperare, ma nessuno ci ha ancora dato risposte. Con i tempi della giustizia italiana non sappiamo quando sarà possibile riavere i nostri soldi, ma intanto abbiamo debiti da pagare da una parte e spese legali dall’altra, e le nostre vite da portare avanti. Stiamo cercando un lavoro, ma siamo totalmente assorbiti da questa vicenda”.
Questa truffa informatica è strettamente legata alla recente entrata in vigore di una direttiva europea dedicata ai servizi di pagamento digitali, la “Psd2”, Payment Services Directive 2, che ha reso necessario un doppio fattore di autenticazione, in aggiunta a username e password dell’internet banking, legato al contenuto dell’operazione. Per sostituire i vecchi token fisici, quasi tutti gli istituti bancari hanno deciso di puntare sull’autenticazione tramite un’applicazione su smartphone. L’introduzione di un passaggio ulteriore ha aumentato il livello di sicurezza complessivo, ma espone a un altro tipo di rischio: “Chi entra in possesso della sim ottiene l’accesso a tutte le comunicazioni legate ai pagamenti”, continua Zanero. “Per intenderci: nel caso di un’operazione sospetta, come un bonifico molto consistente, la banca manda un sms al cliente per verificare che tutto sia regolare. Con l’attacco di sim swap, l’avviso arriva a chi ha rubato la sim. E se l’utente ha già presentato login e password corretti, il secondo fattore e anche il codice contenuto nel messaggio di avviso, è difficile dubitare della sua identità”. Insomma, le banche non possono farci granché, se non insistere con gli operatori telefonici per ottenere un cambiamento nelle procedure di duplicazione della sim: “Negli Stati Uniti, dove questa truffa è molto diffusa già da qualche anno, i clienti che si sentono a rischio possono chiedere al proprio operatore di non rilasciare duplicati della sim in centri servizi standard. Questo passaggio è scomodo quando capita di perdere per davvero la sim, ma forse è il momento di rivalutarlo vista la crescita di questo tipo di truffe”.
Il punto di partenza rimane in ogni caso il furto delle credenziali di home banking, che nella grande maggioranza dei casi avviene tramite il cosiddetto phishing: “Il caso classico è una mail che sembra provenire dalla nostra banca. All’interno, con tecniche di inganno differenti, ci viene chiesto di inserire le nostre credenziali, magari tramite il link a un sito che presenta la stessa interfaccia di quello della nostra banca, ma che in realtà è un falso. Inserendo il codice utente e la password, stiamo regalando le chiavi di accesso del nostro conto online”. E questo si lega al complicato capitolo della restituzione del denaro: “Il cliente è responsabile della custodia appropriata delle credenziali: se viene provato che queste sono state acquisite tramite phishing, difficilmente la banca sarà tenuta a restituire la somma al correntista”. Quello che si può fare per difendersi è prevenire il furto delle credenziali: “Non bisogna mai aprire i link contenuti in quelle mail in cui ci viene espressamente chiesto di inserire i dati del nostro internet banking. E poi è fondamentale aggiornare il sistema operativo dei dispositivi cui cui operiamo: molti attacchi avvengono tramite l’installazione di malware sul pc, e questo spesso accade perché non abbiamo aggiornato il sistema operativo e i browser con cui navighiamo”.