Vende un paio di scarpe online e gli svuotano il conto in banca: addio a 40 mila franchi

Un venerdì di inizio marzo, Markus (nome di fantasia) ha messo in vendita delle scarpe sul sito di e-commerce Ricardo. Il lunedì successivo, il conto corrente di famiglia era vuoto. Meglio, anzi peggio: è stato svuotato da criminali informatici. La vicenda è stata ricostruita dal Tages-Anzeiger. E, di per sé, ha dell'incredibile. «Era il mio primo annuncio sulla piattaforma» ha spiegato Markus al quotidiano zurighese. Probabilmente, a tradirlo è stata la sua percezione del commercio online. «Se penso alle frodi online, mi immagino la vendita di beni inesistenti, il pagamento di qualcosa che non arriva mai». E invece...

Quelle scarpe, alla fine, hanno mandato in rovina Markus. Poco dopo aver pubblicato l'annuncio, un presunto acquirente di nome «Tiago» lo ha contattato. «Ha detto che sarebbe venuto a prendere le scarpe di persona» ha spiegato il diretto interessato. Una normale transazione tra persone, verrebbe da dire. Markus, addirittura, era contento che qualcuno avesse risposto così in fretta. «Volevo essere cortese e concludere l'affare al più presto». Per chiarire i dettagli della vendita, «Tiago» ha suggerito di passare a WhatsApp. Il motivo? A suo dire, non gli venivano mostrati i messaggi nella chat interna di Ricardo. La sua immagine del profilo WhatsApp mostrava una coppia dall'aspetto innocente con la figlia all'aperto in un ambiente verde. «Pensavo che non potesse vedere il mio numero di telefono su WhatsApp, quindi mi sentivo al sicuro» ha proseguito Markus. Poco dopo, «Tiago» lo ha ricontattato dicendo che gli servivano due ore per arrivare. Gli ha chiesto se poteva spedirgli le scarpe per posta a sue spese. «Coprirò io le spese di spedizione, cordiali saluti, Tiago».

Gli screenshot della cronologia della chat, visionati dal Tages-Anzeiger, mostrano come «Tiago» sia successivamente riuscito ad accedere all'account della famiglia bernese, clic dopo clic. Il truffatore, innanzitutto, ha richiesto l'indirizzo e-mail per il «tracciamento della spedizione». Quando Markus ha tentato di completare l'affare tramite Twint, «Tiago» gli ha detto di pagare «tramite bonifico bancario attraverso l'app Ricardo». «Riceverai i soldi immediatamente» ha promesso. Tuttavia, per tracciare la spedizione delle scarpe, ha appunto detto di aver bisogno dell'indirizzo e-mail di Markus «al quale verrà inviato il link per il tracciamento». Poco dopo, nella sua casella di posta è arrivata un'e-mail di phishing camuffata da pubblicità di Ricardo: «Grüezi». E ancora: per ricevere il denaro, «clicca qui». Allo stesso tempo, «Tiago» ha iniziato a mettere il suo interlocutore sotto pressione: Markus doveva confermare la ricezione del «pagamento» entro poche ore, altrimenti il ​​pagamento sarebbe stato annullato. Markus, a quel punto, ha cliccato sul link ed è stato reindirizzato a un sito web con numerosi loghi di banche e servizi di pagamento online. Ha cliccato sul logo della sua banca e si è ritrovato su una schermata di accesso. Lì, ha inserito la password e il nome utente. Sul sito web fasullo, gli aggressori hanno intercettato il suo nome utente e la sua password. In background, era in corso in tempo reale un cosiddetto attacco man-in-the-middle. Le credenziali di accesso e la password di Markus, riassumendo al massimo, sono state intercettate da un hacker intermediario e immediatamente inserite sul sito web della sua banca. Con questo stratagemma, i criminali hanno aggirato l'autenticazione a due fattori, generalmente considerata molto sicura e da tempo prassi standard per le banche. Quando il sistema della banca ha richiesto a Markus l'autenticazione a due fattori obbligatoria, sul suo smartphone è apparsa la solita notifica push. Credendo di ricevere il pagamento per le scarpe, ha confermato la notifica, consentendo così ai truffatori di accedere al suo conto bancario.

Nei giorni successivi, il conto corrente di famiglia è stato svuotato. Il denaro è stato utilizzato per effettuare acquisti con carta di debito e bonifici internazionali verso Bruxelles, in Germania, e una pasticceria di Vienna specializzata in baklava. E dire che, solo due settimane prima, la moglie di Markus aveva trasferito i suoi risparmi personali, destinati al futuro della figlia, sul conto di famiglia. In totale, i criminali hanno rubato oltre 40 mila franchi.

Il brusco risveglio è arrivato prporio lunedì mattina, quando sua moglie non è riuscita a pagare una bolletta. «Non c'era più niente tranne 8 franchi» ha raccontato Markus. È stato uno shock: «Ti senti completamente spiazzato». Improvvisamente, l'affitto, i premi dell'assicurazione sanitaria e il loro sostentamento sono a rischio. Il padre di Markus è intervenuto con un'eredità anticipata di 10 mila franchi, in modo che la famiglia possa pagare le bollette più urgenti e persino fare la spesa.

Martedì, Markus ha sporto denuncia alla Polizia cantonale. «Mi hanno detto che persino gli esperti di sicurezza informatica cadono vittime delle e-mail di phishing». Mentre la Polizia ha assicurato a Markus che non aveva alcuna colpa, la sua banca ha negato ogni responsabilità. La loro motivazione: dopotutto, il cliente aveva autorizzato personalmente l'autenticazione a due fattori. «Guardando indietro, ovviamente vedo tutti gli errori che ho commesso e me ne vergogno» ha ribadito Markus. Ciononostante, trova ingiusto che la banca lo incolpi completamente. «Il fatto che non scatti alcun allarme da nessuna parte quando l'intero importo di un conto viene trasferito all'estero in poche ore è per me incomprensibile».

Interpellata in merito, la banca ha risposto di collaborare con grandi fornitori esterni specializzati di servizi di pagamento per il «monitoraggio delle transazioni in tempo reale». Ha inoltre affermato che esistono processi e responsabilità ben definiti per l'individuazione dei casi di frode. Il caso di Markus, comunque, non è un episodio isolato. Lo scorso anno, in tutta la Svizzera si è registrato un forte aumento delle segnalazioni di cosiddetti tentativi di phishing tramite annunci classificati. Ma chi si cela dietro a questi attacchi? E come stanno reagendo le autorità a questa tendenza?

Il Ministero pubblico ha parlato di un «modello di business» con fornitori specializzati. Secondo Marcel Meier, procuratore di Berna specializzato in crimini informatici, gli autori di questi reati sono solitamente gruppi organizzati in rete che operano all'estero. «Spesso i responsabili non si conoscono personalmente, ma solo tramite comunicazioni online». Esistono in effetti fornitori specializzati in malware, call center e riciclaggio di denaro. «Bisognerebbe intenderlo più come un modello di business che come l'azione coordinata di uno o più gruppi criminali».

Secondo Meier, il denaro viene solitamente inoltrato da money mule, che a volte non sono consapevoli della provenienza illecita dei fondi. Il più delle volte, viene trasferito all'estero o convertito in voucher online o criptovalute, «in modo che l'identità dei destinatari finali non possa essere determinata, o lo sia solo con grande difficoltà».

La situazione si complica non appena il denaro oltrepassa il confine nazionale. «Poiché i destinatari stranieri sono solitamente anche riciclatori di denaro, le autorità svizzere preposte all'applicazione della legge non sono responsabili del perseguimento di questi soggetti». Non finisce qui. Messaggi diretti impeccabili, siti web ingannevolmente autentici («Grüezi»), immagini del profilo dall'aspetto innocuo: la rivoluzione dell'IA, a sua volta, sta facendo il gioco dei criminali informatici, come confermato dallo stesso Meier. L'IA viene utilizzata sempre più frequentemente per creare e-mail di phishing, siti web falsi e malware. I criminali utilizzano l'IA anche per produrre video e immagini falsi o per contraffare voci.

Le autorità, si chiede il Tages-Anzeiger, riescono davvero a stare al passo? Le conoscenze e la tecnologia ci sono, ha rassicurato Meier. Il problema principale risiede nelle leggi obsolete che ostacolano un'efficace azione penale, nonché nelle limitate risorse di personale all'interno delle forze dell'ordine e della magistratura. «Indagare sui crimini informatici richiede un impiego di risorse estremamente ingente». Markus, vittima della frode, non crede che i colpevoli o il denaro verranno mai ritrovati. Per lui e la sua famiglia, la perdita dei risparmi è una catastrofe. «Ma per le autorità e le banche, in fin dei conti, si tratta di somme irrisorie che difficilmente giustificano indagini costose». Ora, spera e confida che la sua banca mostri un po' di clemenza e gli restituisca almeno una parte dei suoi risparmi.