Il furto di identità, ad esempio un bonifico errato a causa di intromissioni illecite nelle comunicazioni digitali, è un fenomeno che colpisce anche le PMI italiane e sono in aumento i casi dei bonifici deviati con intenzioni fraudolente.
Il caso tipico è quello dell’azienda che invia denaro con la convinzione di essere in comunicazione e pagare un fornitore, a seguito della ricezione di una fattura quasi totalmente conforme all’originale, ma falsa e riportante un IBAN diverso.
Alla base della situazione appena descritta ci sono hacker che si frappongono illecitamente nelle comunicazioni tra cliente e fornitore, con lo scopo di acquisire elementi sufficienti per creare una falsa identità e far deviare il denaro verso conti bancari sotto il loro controllo.
Segnalata come fenomeno diffuso a livello internazionale, questa truffa inizia a danneggiare anche le imprese del nostro Paese.
Solitamente i truffatori utilizzano tecniche diverse per alterare i codici IBAN all’interno delle fatture originali.
Il caso tipico è quello in cui il denaro viene fatto transitare verso un conto corrente italiano, con l’utilizzo di prestanomi, e immediatamente inoltrato a un conto estero difficile da tracciare, ad esempio in paesi africani. In questo modo persegire l’illecito diventa più complesso.
Uno dei metodi principali utilizzato per arrivare a questo risultato è una combinazione di social engineering, violazione del perimetro informatico (anche fisico) e phishing.
Di cosa si tratta? Di un approccio che prevede l’invio da parte degli hacker di una mail che simula e contiene in tutto e per tutto il messaggio di un soggetto noto dalla reputazione affidabile, come per esempio il responsabile amministrativo che si occupa di fornire prodotti o servizi alla realtà sotto attacco. Si tratta di contenuti costruiti con molta attenzione e finezza, spesso vengono intrattenute lunghe conversazioni con il criminale informatico che simula l’identità dell’azienda che deve ricevere un pagamento.
Nei casi meno sofisticati l’attaccante utilizza un indirizzo email molto simile, ma non perfettamente identico, ad esempio nome.cognome@nomeazienda.com diventerà nome.cognome@webmail.com. Tale evidenza che in questo momento sembra scontata nella realtà dei fatti, particolarmente nel periodo estivo o data la sempre maggiore utilizzo di dispositivi mobili, non è banale e può essere difficile accorgersi del raggiro.
Il documento con cui si formalizza la richiesta di pagamento è solitamente quasi perfettamente identico e gli elementi di allarme sono due:
– nome del destinatario che contiene parte di un nome diverso
– IBAN diverso.
In casi del genere, il nome dell’azienda ricevente è modificato leggermente e contiene parte del nome originale più una parte del nome della società creata appositamente per ricevere il bonifico e per la quale i criminali hanno aperto il conto. Tale caratteristica, in Italia, permette infatti di evitare che il bonifico venga rifiutato dalla banca.
In casi più complessi l’hacker riesce a portare l’utente ad effettuare un bonifico errato a suo favore con tecniche di attacco più raffinate e complesse che possono prevedere anche dei sopralluoghi fisici presso la sede o il perimetro esterno del cliente al fine di individuare vulnerabilità informatiche, fisiche o procedurali.
Da un sopralluogo di mezza giornata presso le zone industriali italiane si possono ottenere informazioni utili su decine di aziende sfruttando le vulnerabilità e le mal-configurazioni delle reti wi-fi ad esempio. La sensibilità delle PMI è aumentata solo di recente e in pochi hanno svolto almeno una volta un servizio di valutazione di sicurezza della propria rete.
E’ difficile risalire al destinatario di un bonifico errato effettuato a favore del conto di uno o più soggetti con intenzioni fraudolente, anche a seguito di denunce dettagliate a Guardia di Finaza e Procura.
Talvolta anche gli istituti di credito possono essere coinvolti nelle suddette richieste risarcitorie per bonifico errato verso conti di criminali informatici. Si tratta di situazioni oggettivamente non facili da gestire, nelle quali i profili di responsabilità sono valutabili andando oltre al binomio cliente – fornitore.
Unione Artigiani ha inviato una segnalazione e un appello a Banca d’Italia e Abi affinchè vigilino e dispongano interventi concreti a difesa delle imprese in questo delicato ambito.
Il Servizio Legale dell’Unione Artigiani è a disposizione degli Associati per approfondimenti e consulenze specifiche (02.8375941).
L’aumentare di questo tipo di truffe, nel frattempo, induce a raccomandare massima prudenza nella gestione dei dati sensibili e attenzione elevata nelle procedure di pagamento.