All'alba di oggi, nelle Province di Reggio Calabria e dell'Aquila, i Carabinieri del Comando di Provinciale di Messina, guidati dal colonnello Jacopo Mannucci Benincasa, hanno eseguito un'ordinanza di custodia cautelare in carcere emessa dal GIP del Tribunale di Messina su richiesta della Procura della Repubblica peloritana, guidata dal Procuratore Maurizio De Lucia, a carico di 5 persone ritenute responsabili - a vario titolo - di associazione per delinquere finalizzata alla frode informatica, accesso abusivo a sistema informatico o telematico e sostituzione di persona. Contestualmente, alla misura cautelare personale è stata data esecuzione anche ad un decreto di sequestro preventivo, disposto nei confronti dei conti correnti e depositi bancari nella disponibilità degli indagati, per un valore complessivo di oltre 1,2 milioni di euro. Il provvedimento restrittivo scaturisce da una complessa attività di indagine, convenzionalmente denominata 'Fraudatores', avviata nel febbraio 2018 dal Nucleo Investigativo del Comando Provinciale Carabinieri di Messina in collaborazione con il Reparto Indagini Telematiche del ROS, coordinata dal sostituto Procuratore della Repubblica Antonella Fradà , "i cui esiti hanno permesso di comprovare l'operatività di un gruppo di cyber criminali, con base nella fascia ionica reggina e attivo sull'intero territorio nazionale, specializzato nel sottrarre ingenti somme di denaro da diverse centinaia di conti correnti bancari on line". Le investigazioni, in particolare, hanno dimostrato come gli indagati "fossero in grado di modificare, sui principali siti web istituzionali gli indirizzi di posta elettronica certificata (p.e.c.) di alcuni tra i più noti istituti di credito nazionali ed esteri, sostituendoli con quelli di analoghe caselle di posta certificata, denominate in modo del tutto simile alle originali, appositamente attivate su provider specializzati e intestate a soggetti ignari o inesistenti". Nel corso dell'inchiesta è stato accertato che, mediante tale espediente, i pirati informatici riuscivano, da un lato, ad interporsi tra i titolari dei conti correnti ''on line'' e i rispettivi istituti - secondo una modalità di attacco cibernetico nota come M.I.T.M. (man in the middle) - e, dall'altro, ad entrare in possesso delle credenziali utilizzando le quali disponevano una sequenza di operazioni ''home-banking'' in favore di ulteriori conti bancari, intestati a ignare vittime di furto d'identità ma gestiti dagli stessi appartenenti alla consorteria. I particolari del raggiro I truffatori ricevevano la mail del cliente che credeva di contattare la propria banca per rappresentare le proprie necessità (ad esempio chiusura o apertura di conti correnti ovvero successioni mortis causa) e, una volta stabilito il contatto, ottenevano la fiducia delle vittime e le inducevano a fornire le credenziali di accesso ed i codici operativi dei conti che utilizzavano per sottrarre il denaro. Le somme rubate venivano riciclate attraverso una sequenza di bonifici effettuati su una serie di conti correnti, aperti fraudolentemente e, in taluni casi, intestati alle stesse ignare vittime. Se le disponibilità presenti sui conti correnti di cui si appropriavano erano scarse, la banda provvedeva all'azzeramento del saldo del conto attraverso acquisti di merci su siti di e-commerce, facendosi poi recapitare i beni presso indirizzi di comodo nei comuni di residenza. Inoltre, al fine di rendere più credibile la truffa, i malfattori avevano creato anche profili Facebook intestati alle identità fraudolente con foto, curriculum e falsi loghi per spacciarsi per impiegati degli istituto di credito.
In merito all'inchiesta
Assocertificatori - l’associazione dei principali certificatori accreditati e operanti in Italia per il rilascio di firma digitale e posta elettronica certificata nonché per l’erogazione di servizi di conservazione digitale a norma – interviene con una precisazione in merito ad alcune recenti notizie apparse su diversi media italiani.
I servizi giornalistici hanno riferito di un’indagine del Nucleo Investigativo del Comando Provinciale Carabinieri di Messina, coordinata dalla Procura della Repubblica della città peloritana. Tale indagine ha comportato alcuni provvedimenti restrittivi a carico di cinque soggetti per i reati di associazione per delinquere finalizzata alla frode informatica, accesso abusivo a sistema informatico o telematico e sostituzione di persona.
In talune cronache sono stati menzionati anche i nomi di alcuni gestori e/o soluzioni di PEC Posta Elettronica Certificata, con un possibile danno d’immagine per le aziende e/o i prodotti citati. Inoltre, gli articoli, in alcuni casi, interpretano erroneamente l’accaduto facendo emergere delle ipotetiche falle di sicurezza della PEC, che invece non esistono, in quanto la tecnologia PEC non è stata in nessun modo violata.
A questo proposito, Assocertificatori precisa che:
1. L’attività oggetto di indagine sembra configurarsi – proprio secondo le suddette cronache – come una truffa sofisticata perpetrata ai danni di ignari correntisti mediante la “sostituzione” illecita di alcune caselle PEC ufficiali degli istituti di credito, già iscritte negli appositi elenchi pubblici, con altre caselle PEC non registrate da tali istituti, ma dai soggetti indagati.
2. Il rilascio delle caselle PEC da parte dei certificatori accreditati è, comunque, avvenuto in piena conformità con le norme vigenti e le procedure prescritte.
3. Nessuna violazione dei sistemi informatici di tali Gestori e delle loro procedure di gestione del servizio PEC o di altre misure di sicurezza relative al sistema di Posta Elettronica Certificata nel suo complesso, è in alcun modo avvenuta.
4. La frode è, invece, stata compiuta mediante comuni tecniche di cyber attack (quali, ad esempio, sostituzione di persona e social engineering) ai danni di alcune organizzazioni, ma non ha coinvolto i Gestori di Posta Elettronica Certificata e la tecnologia PEC nel suo complesso, che invece resta un sistema di comunicazione sicuro e totalmente affidabile
5. Al contrario, l’utilizzo di caselle PEC al posto delle comuni email, ha permesso la rapida identificazione dei presunti colpevoli proprio grazie ai requisiti di sicurezza e tracciabilità previsti dalla normativa.