Le frodi man-in-the-middle, truffe informatico-finanziarie che provocano danni da migliaia di euro alle aziende

Negli ultimi mesi si sono intensificati gli episodi di truffe finanziarie online ai danni delle aziende di quasi tutta Europa, opera di criminali informatici ed organizzazioni transnazionali che sono riuscite a colpire anche molte società italiane. La semplice violazione di caselle di posta elettronica, combinata con tecniche di social engineering, si sta rivelando il mezzo perfetto per indurre disposizioni di pagamento fraudolente e provocare ingenti perdite di denaro. La prevenzione, attraverso la sicurezza informatica e l’educazione dei dipendenti, pare essere l’unica soluzione, posto che non i rimedi sul piano civilistico e della proposizione dell’azione penale non sembrano garantire il ristoro dei danni subiti.

Anche se l’ormai classico phishing, fattispecie criminosa riconducibile alla sostituzione di persona ed alla frode informatica, è divenuta largamente riconoscibile ed in parte evitabile dalla maggioranza degli utenti della rete (c’è davvero chi casca ancora oggi nel trucco della “vincita” della lotteria o nell’invito a fornire le proprie credenziali smarrite dalla propria banca?), nuove e più pericolose varianti sembrano farsi strada tra i cybercriminali. E, proprio come per le infezioni nel mondo reale, pare che queste nuove varianti evolute siano più aggressive, più mirate, più resistenti e, soprattutto, più remunerative per i criminali ed estremamente dannose, sul piano finanziario, per le vittime. Oggi la nuova frontiera è il “man in the mail”, versione riadattata in chiave informatica, di quel “man in the middle” (letteralmente l’uomo in mezzo) che fu usato come meccanismo del film “La stangata”. E le vittime sono, nella maggioranza dei casi, non più i privati ma le aziende, almeno a giudicare dalle richieste di assistenza – indistintamente in ambito civile e penale –  pervenute a noi ed ai nostri colleghi di R&P Legal nel corso di questo primo semestre del 2015. Sembra, pertanto, opportuno divulgare l’informazione e mettere in guardia i nostri clienti sulle metodologie di attacco e sulle relative possibilità di difesa, onde evitare conseguenze catastrofiche sul piano finanziario.

L’attacco MITM (acronimo di man-in-the-middle), sostanzialmente, è un tipo di attacco silente nel quale l’agente si inserisce nei sistemi della vittima o del suo interlocutore (la dicitura man-in-the-middle si riferisce proprio alla posizione del portatore dell’attacco, interposta tra le due vittime) e per un lungo periodo di tempo, monitorandolo, ne studia le abitudini informatiche, leggendo e modificando, senza darne evidenza, le comunicazioni tra le due parti e nascondendo la sua presenza ad entrambe. Il meccanismo è molto semplice: gli “hacker” violano la casella email di una società, scelta con cura tramite valutazioni principalmente basate sul fatto che effettui operazioni internazionali di import/export, in modo da essere certi che essa abbia una relazione commerciale con un partner o con un fornitore estero. Per poter entrare nelle caselle di posta i criminali utilizzano metodi come phishing, brute forcing o persino trojan inviati via posta sui computer o sui telefoni di chi, all’interno dell’azienda, gestisce i rapporti finanziari con l’estero. La posta elettronica viene poi monitorata per diverso tempo, in maniera da essere difficilmente individuabile, fino al momento in cui vengono scambiate i documenti utili all’importazione o esportazione di materiali, spesso con ingenti capitali in gioco. Al momento giusto i truffatori inviano un’email, fingendo di essere il fornitore estero (attraverso l’artificio del creare una casella di posta elettronica simile a quella originale) in cui chiedono che il pagamento per i beni acquistati o venduti avvenga su un differente istituto di credito, con tanto di specifica delle coordinate bancarie di destinazione, spesso modificando graficamente il modulo d’ordine originale. Il messaggio appare solitamente autentico agli occhi dell’interlocutore, poco attento o non avvezzo allo strumento informatico, proprio per tutte le informazioni che i truffatori hanno potuto acquisire dall’email durante le settimane di monitoraggio. Per leggerezza o troppa fiducia, il cliente dall’altra parte esegue il bonifico sul nuovo IBAN, in alcuni casi chiedendo conferma del cambio con una semplice email, alla quale i criminali rispondono fingendosi la controparte e tranquillizzando circa la legittimità del nuovo conto. I soldi vengono quindi bonificati su un conto in realtà intestato a dei prestanome (i c.d. “financial manager”, già utilizzati indebitamente nei primi casi di phishing a cui siamo ormai stati abituati), dal quale poi entro pochi giorni spariscono senza possibilità di recupero.

Sotto il profilo del diritto penale, la fattispecie può essere inquadrata quale una vera e propria truffa ex art. 640 c.p. (la vittima è indotta in errore tramite artifizi e raggiri, consistenti nella falsa email a nome del fornitore e nell’uso di falsa documentazione contabile), piuttosto che scissa in molteplici condotte, avvinte dal vincolo della continuazione, riconducibili ai reati di sostituzione di persona ex art. 494 c.p. e di frode informatica ex art. 640 ter c.p., soprattutto a seguito della recente modifica legislativa introdotta dall’art. 9, comma 1, D.L. 14.08.2013, n. 93, così come modificato dall’allegato alla legge di conversione L. 15.10.2013, n. 119, che ha previsto l’inserimento di un comma specifico avente ad oggetto la commissione della frode mediante furto o utilizzo indebito dell’identità digitale altrui (letteralmente: “La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”). Le circostanze che rendono, tuttavia, difficile se non addirittura impossibile incardinare l’azione penale nei confronti degli autori delle condotte illecite sono relative ai limiti temporali (quando ci si accorge della truffa, solitamente i soldi sono stati sottratti dal conto di destinazione) e giurisdizionali (per nostra esperienza diretta, le connessioni risultano sempre originate da Paesi stranieri quali la Costa d’Avorio, la Russia o altri territori che non garantiscono l’assistenza giudiziaria necessaria per l’individuazione e la repressione dei colpevoli), che rendono la presentazione di denunce-querele contro ignoti più un adempimento burocratico che una effettiva soluzione del problema.

In aggiunta a ciò, anche sul parallelo versante civilistico della eventuale ripetizione dell’indebito pagamento mediante interpello della banca disponente e, soprattutto, di quella del beneficiario (sebbene sine titulo), l’esperienza diretta permette di prevedere che l’unica circostanza risolutiva sarebbe quella di richiedere lo storno del pagamento nel più breve tempo possibile e comunque solo finchè i fondi sono ancora presenti sul conto di destinazione. In questo caso, infatti, alcune banche europee (è il caso di alcuni istituti di credito londinesi, ma non certo quello delle filiali ungheresi o della Repubblica Ceca, dimostratesi molto più reticenti a collaborare con le persone offese), interessate nel corso di procedimenti di questo tipo, si sono rese disponibili a “congelare” i conti dei financial managers concorrenti nel reato e a restituire le somme ancora in giacenza. Tuttavia, ove – come nella maggioranza dei casi concretamente accade – la richiesta di ripetizione dell’indebito pagamento arrivi in ritardo e a conto ormai “svuotato”, neppure sembrerebbe possibile addebitare alcuna responsabilità alle imprese creditizie: deve infatti essere sottolineato che le disposizioni comuni europee (discendenti tutte dalla direttiva 2007/64/CE del Parlamento europeo e del Consiglio, relativa ai servizi di pagamento nel mercato interno), declinate poi nei testi normativi quali il Payment Service Regulation (PSR) inglese del 2009 (specificamente l’art. 74, rubricato “Liability – Incorrect unique identifiers”) o il nostrano Decreto Legislativo 27 gennaio 2010, n. 11 (specificamente all’art. 24, rubricato “Identificativi unici inesatti”) tendono a giustificare – e di conseguenza a garantirne l’efficacia – le disposizioni di pagamento in cui l’indicazione del titolare del conto e le relative coordinate bancarie non coincidono, finendo di fatto per escludere ogni responsabilità in capo alle banche.

Permane, a giudizio di chi scrive, il dubbio circa l’adeguatezza di normative di e portata, soprattutto in un’epoca in cui la semplicità e la velocità dei pagamenti online ha, di fatto, trasferito ogni possibilità di controllo nelle mani degli intermediari finanziari, i quali, invero, sarebbero già dotati di strumenti di verifica e alert automatici che, con facilità, possano individuare operazioni potenzialmente sospette perché gravate da macroscopiche incongruenze (quale l’indicazione di un beneficiario diverso dal titolare del conto) o altri parametri sentinella, quali ad esempio l’atipicità della disposizione, la transnazionalità o il coinvolgimento di utenti privati nel corso di operazioni commerciali. Ma questo sembra un argomento che deve essere affrontato dal legislatore piuttosto che dalle autorità giudiziarie con funzione nomofilattica.

Il consiglio, in via residuale, non rimane che quello di una attenta prevenzione di rischi di questo genere, con attivazione di procedure interne di controllo e verifica delle informazioni, nonché di adeguamento della sicurezza informatica aziendale: in molti casi basterebbe la verifica dell’indirizzo del mittente, perché è piuttosto facile crearne uno molto simile a quello originale e soprattutto impostare il nome del mittente identico a quello corretto. In caso di pagamenti di importo elevato, poi, sarebbe preferibile porre in essere sempre un controllo con canali di comunicazione alternativi – una telefonata o un fax – per confermare esattamente richieste anomale ricevute via email.

Soprattutto fare molta attenzione alle repentine richieste di cambiamento nelle normali pratiche commerciali. Ed ancora, non utilizzare l’opzione “Rispondi” per rispondere a tutte le e-mail aziendali. Al contrario, usare l’opzione “Forward” e digitare l’indirizzo e-mail corretto o selezionarlo dalla rubrica per essere certi di utilizzare il vero indirizzo e-mail, ricordando di porre la massima attenzione ai messaggi di SPAM o insoliti, e guardare sempre con sospetto a richieste di cambiamento come quelle descritte. Infine ma non ultimo, chi si trova vittima di questa truffa dovrà sporgere denuncia, anche se difficilmente il capitale perso si potrà recuperare.

Negli Stati Uniti l’FBI ha pubblicato da tempo un avviso utile alla prevenzione. In attesa che il legislatore, o le associazioni di categoria, si attivino anche nel vecchio continente per porre un freno al fenomeno, l’unica soluzione quindi sembra essere quella della previsione di forti strumenti di prevenzione interni, poiché una volta che il pagamento è stato disposto, risultano davvero remote le possibilità di rientrare in possesso di quanto indebitamente trasferito su conti estranei a quelli sottesi al rapporto sinallagmatico con il proprio fornitore.