L’approfondimento

di Andrea Violetti – Presidente Associazione Informatici Professionisti (in foto)


Cari lettori, care lettrici,

il tema che riguarda l’identità nell’era digitale è importate, ma diventa estremamente importante, quando il suo furto produce danni patrimoniali o penali. L’anonimato in rete “funziona” fino a quando nessuno viene leso, ma in presenza di un reato cadono tutte le teorie in sua difesa. Con i casi esposti dall’Osservatorio sulla Privacy e Sicurezza Informatica (www.opsi.aipnet.it), vogliamo attirare la vostra attenzione su un particolare furto di identità, che solo in parte è informatico e riconducibile a classiche tecniche di phishing, ma che invece ci obbliga ad analizzare i processi bancari ed i regolamenti di riferimento, vera vulnerabilità del processo che regola gli incassi commerciali interbancari, che ha reso possibili le “truffette” descritte. 
Una circolare ABI (Prot. SP/001812 Roma, 9 aprile 2004) riguardo appunto agli incassi commerciali interbancari e all’allineamento elettronico degli archivi, stabilisce che, per velocizzare il processo di pagamento, tramite il servizio di incasso RID, una banca domiciliataria (del correntista) debba rispondere entro 7 giorni in termini di accettazione o diniego per una richiesta di incasso RID proposta da una banca di allineamento (banca dell’azienda richiedente il RID).
Questo significa che in applicazione del documento SIA-RI-ICI 002, (regolamento SITRAD a cui le banche devono aderire) la banca domiciliataria deve rispondere alla banca di allineamento con l’accettazione o il diniego di una disposizione di incasso da essa ricevuta. La risposta viene data per vie brevi controllando NOME E COGNOME, CODICE FISCALE, IBAN; sempre per brevità, la oramai imbarazzante e vetusta “verifica della firma”, che il correntista deposita all’atto dell’apertura del conto corrente, non viene fatta, e, sempre per accelerare l’incasso non si viene avvisati. Il correntista ha la responsabilità del controllo del suo conto corrente e dopo alcune settimane la banca registra un silenzio assenso considerando validi tutti i movimenti del conto.

Un utente internet mediamente esperto di tecniche di social engineering impiega qualche ora a reperire i dati che servirebbero alla banca domiciliataria per rispondere in termini di accettazione o diniego, mentre un professionista come abbiamo visto impiega meno di un ora.

La vulnerabilità per la “truffetta” è servita. Dovrebbe accadere più o meno così: Il truffatore, si presenta o telefona al “desk” del fornitore di servizi, lui sa quali sono i dati che gli vengono richiesti, ovvero nome cognome, codice fiscale, Iban (o numero di carta di credito), in alcuni casi copia del documento, anche questo facilmente falsificabile, e una firma (che probabilmente non sarà mai controllata); l’azienda registra il contratto ed in automatico, la banca di allineamento dell’azienda trasmette la richiesta di incasso RID alla banca domiciliataria della vittima. Il processo si autosostiene nel tempo in quanto tutti gli attori protagonisti svolgono diligentemente la propria attività, Andrea Violetti di Via Speranzella, 18 a Napoli (la falsa identità a cui erano intestati i contratti RTI), ha a sua disposizione 4 diversi contratti Mediaset Premium per vederne comodamente da casa sua i contenuti, lui ed i suoi amici; gli altri truffatori di cui non abbiamo il nome (ma a che serve!), invece fruiscono dei servizi di connessione internet e telefonia di Fast Web. Le aziende beneficiarie dell’incasso RID, RTI e Fast Web, non hanno particolari ragioni per intervenire, in quanto i servizi erogati sono di ottima qualità e sicuramente graditi dai truffatori; la banca di allineamento (in un caso BNL), trasmette un “record” con Nome, Cognome, Codice Fiscale e Iban alla banca domiciliataria che risponde in automatico dicendo che sono veri con buona pace del Direttore IT, le autorità giudiziarie continuano a raccogliere le denunce contro ignoti, ma spiegatemi chi si dovrebbe lamentare. In conclusione l’ignaro cliente truffato, dopo avere perso intere giornate tra autorità giudiziarie e uffici bancari e dopo interminabili attese ai numeri verdi e call center delle aziende, ha riavuto i propri soldi ma ci chiediamo se è possibile porre rimedio a tutto questo.

La soluzione a questa triste situazione è che ABI intervenga nei processi e nei regolamenti tornando alla presentazione del RID presso la propria filiale o più modernamente ponendo la richiesta di pagamento in attesa di una accettazione/diniego nell’home banking del cliente.

Mi piace concludere questa nostra disavventura con Ben Bernanke, Presidente di Federal Reserve che nel 2009 è stato derubato della sua identità (http://punto-informatico.it/2699433/PI/News/usa-furto-identita-non-paga.aspx), sia per dividere con lui il “mal comune” sia per invitare tutti voi a controllare i vostri conti :).

Questa voce è stata pubblicata in furto identità. Contrassegna il permalink.

I commenti sono chiusi.