Skip to content

Pegasus Messico

NoiPA, ecco il gravissimo phishing ai danni di dipendenti pubblici. L’articolo di Rapetto

Che cosa è successo alla piattaforma digitale NoiPA e che cosa le banche potrebbero fare per evitare queste truffe. L'approfondimento di Umberto Rapetto

 

Poliziotti, carabinieri, finanzieri, altri appartenenti al “comparto sicurezza” e dipendenti della Pubblica Amministrazione potrebbero essere (qualcuno già lo è) vittima di un formidabile scippo online.

Qualche effervescente hacker ha rubato loro le credenziali (account e password) per accedere alla piattaforma digitale “NoiPA” ovvero al portale che gestisce le questioni amministrative dei dipendenti.

In pratica c’è chi è in grado (e in alcuni casi lo ha già fatto) di entrare nel profilo del malcapitato, di cambiare l’IBAN del legittimo percipiente lo stipendio e di accreditare la somma su un conto facente capo a tutt’altro soggetto.

La circostanza, emersa qualche giorno fa da una segnalazione della Polizia Postale e da una comunicazione formale della Questura di Milano, è di gravità inaudita e dimostra la permeabilità dei sistemi informatici cui competono operazioni finanziarie che dovrebbero essere blindate.

Nessuna indagine ardita a dispetto delle notizie che spesso portano a titoli da prima pagina, ma soltanto la denuncia da parte di un po’ di persone che, non avendo visto arrivare competenze di dicembre e tredicesima, hanno dolorosamente scoperto che quel denaro è stato dirottato sul conto corrente di sconosciuti.

I casi sono potenzialmente due.

C’è l’ipotesi di un “data breach”, ovvero di una violazione del perimetro di sicurezza del sistema e di una sottrazione del contenuto degli archivi (Unicredit ha maturato nello specifico campo una certa esperienza), ma i numeri dichiarati sembrano smentire una simile circostanza. Non c’è stata una dispersione di Internet di dati personali come normalmente avviene in quelle fattispecie delittuose e, in secondo luogo, il numero delle vittime dichiarate (che non è detto sia di una semplice quindicina di sfortunati, ma certo non può arrivare a numeri apocalittici) è ristretto rispetto le opportunità di saccheggio garantite da incursioni e razzie massive.

Molto facilmente si è trattato di “phishing”, fenomeno noto da una ventina d’anni e ancora senza concreto rimedio. Gli sventurati avrebbero abboccato a qualche mail truffaldina e consegnato – inconsapevolmente – le chiavi di accesso al proprio profilo sul portale “NoiPA” a qualche farabutto che non ha esitato ad approfittarne per cambiare l’IBAN e sgraffignare le somme in arrivo.

In questa vicenda sono tante le cose che sorprendono. Anzitutto non ci si spiega come si possa ancora cascare nelle trappole tese attraverso la posta elettronica, specialmente oggi che certi contesti tecnologici sono costantemente frequentati con una certa disinvoltura da tutti.

Poi ci si chiede se una operazione così delicata come la variazione delle coordinate di bonifico (in questo caso dell’accreditamento dello stipendio) possa essere consentita “online” pur sapendo di certi rischi tutt’altro che remoti. Forse varrebbe la pena rivedere le procedure e pretendere che l’’interessato si presenti ad uno sportello “fisico” per dar luogo alla richiesta.

Nella stagione in cui le banche raccontano dei grandi progressi in materia di sicurezza informatica, si assiste quotidianamente a cocenti smentite della effettiva tutela assicurata dai circuiti finanziari.

Ho recentemente provato ad indicare una soluzione elementare per scongiurare spiacevoli accadimenti, domandando in una trasmissione televisiva in cui era presente un rappresentante dell’Abi (l’associazione cui aderiscono gli istituti di credito) come mai le banche non procedessero ad una verifica tra l’IBAN e l’intestatario indicato nel bonifico o nell’accredito di una certa somma. Ho detto chiaramente che un simile check annullerebbe con facilità ogni chance a chi intende perpetrare azioni criminali in danno dei malcapitati di turno. La risposta, in sintesi, è stata che la legge non lo prevede.

Allora l’auspicio – goliardico, si intende – è che sventure del genere tocchino in sorte ai parlamentari che, colti nel vivo, potrebbero affrettarsi a legiferare in proposito e a imporre alle banche di fare sicurezza, questa volta davvero.

 

 

Torna su