Dopo un'indagine lunga e piuttosto complessa coordinata dalla Dda guidata da Maurizio de Lucia, oggi i carabinieri del comando provinciale di Messina hanno effettuato cinque arresti con l'accusa di associazione per delinquere finalizzata alla frode informatica, riciclaggio, accesso abusivo a sistema informatico o telematico e sostituzione di persona. È stata sgominata così una banda di cyber criminali con base nella fascia ionica di Reggio Calabria ma in grado di colpire su tutto il territorio italiano, prosciugando i conti correnti di alcune note banche online tra cui Banca Mediolanum, Banca Fineco, CheBanca!, ING Bank, Iw Banck e Barclays Bank.
La tecnica era quella del "man in the middle". In pratica i cybercriminali avevano trovato un modo per modificare gli indirizzi di posta elettronica certificata di alcune banche online attraverso alcuni dei principali siti web istituzionali, sostituendoli con altre appositamente attivate tramite provider specializzati e intestate a soggetti ignari o inesistenti.
In questo modo riuscivano appunto a inserirsi tra la banca e i suoi correntisti al fine di entrare in possesso delle credenziali dei conti correnti. Una volta ottenute effettuavano poi una serie di operazioni spostando somme di denaro su altri conti bancari, gestiti sempre dai cyber criminali ma intestati a persone a loro volta ignare di essere vittima di furto d'identità. Parte dei soldi poi a quanto pare sono stati reinvestiti nell'acquisto di bitcoin.
Su richiesta dei PM titolari delle indagini, il GIP ha comunque già disposto anche un sequestro preventivo oltre 1 milione di euro trovati in conti correnti riconducibili agli indagati.
Precisazioni Infocamere e Assocertificatori
In relazione alle notizie apparse oggi sui mezzi di informazione con riferimento alle indagini della Procura della Repubblica di Messina, InfoCamere precisa che non ci sono state violazioni né delle procedure né dei sistemi informatici attraverso cui vengono gestite le iscrizioni o modifiche delle caselle PEC annotate nel Registro delle Imprese delle Camere di commercio, e che nessun dato ufficiale presente nel Registro risulta essere stato alterato. Il processo di iscrizione e variazione dell'indirizzo di Posta Elettronica Certificata (PEC) nel Registro Imprese consiste in una comunicazione telematica effettuata dal rappresentante legale dell'impresa (o da un suo delegato, sulla base di una procura regolata dalla circolare 3616/c 2008 del Ministero dello Sviluppo Economico), sottoscritta con firma digitale e inviata alla Camera di Commercio competente per territorio attraverso il sistema della "Comunicazione Unica". La comunicazione di iscrizione o variazione così ricevuta viene poi verificata in Camera di Commercio prima di essere resa pubblica. InfoCamere ha fornito le informazioni richieste ai fini dell'indagine.
Assocertificatori precisa che: 1. L'attività oggetto di indagine sembra configurarsi - proprio secondo le suddette cronache - come una truffa sofisticata perpetrata ai danni di ignari correntisti mediante la "sostituzione" illecita di alcune caselle PEC ufficiali degli istituti di credito, già iscritte negli appositi elenchi pubblici, con altre caselle PEC non registrate da tali istituti, ma dai soggetti indagati. 2. Il rilascio delle caselle PEC da parte dei certificatori accreditati è, comunque, avvenuto in piena conformità con le norme vigenti e le procedure prescritte. 3. Nessuna violazione dei sistemi informatici di tali Gestori e delle loro procedure di gestione del servizio PEC o di altre misure di sicurezza relative al sistema di Posta Elettronica Certificata nel suo complesso, è in alcun modo avvenuta. 4. La frode è, invece, stata compiuta mediante comuni tecniche di cyber attack (quali, ad esempio, sostituzione di persona e social engineering) ai danni di alcune organizzazioni, ma non ha coinvolto i Gestori di Posta Elettronica Certificata e la tecnologia PEC nel suo complesso, che invece resta un sistema di comunicazione sicuro e totalmente affidabile. 5. Al contrario, l'utilizzo di caselle PEC al posto delle comuni email, ha permesso la rapida identificazione dei presunti colpevoli proprio grazie ai requisiti di sicurezza e tracciabilità previsti dalla normativa.