L'esame del Dna nelle investigazioni preliminari. L'individuazione del colpevole ma anche gli aspetti di fragilità della prova genetica. la Banca dati del Dna e le indagini a seguito di una sospetta violenza sessuale.
Pubblichiamo in questa news un interessantissimo e ben scritto articolo pubblicato sulla rivista “TACTICAL MAGAZINE” del mese di gennaio 2013 di pugno del Tenente Colonnello della G.d.F. Mario Leone Piccinni e del Brigadiere di G.d.F. Carmine de Cicco in merito ai reati connessi ai mezzi di pagamento elettronici
Il titolo in seconda dell’articolo “QUANDO CARTE DI CREDITO E BANCOMAT DIVENTANO UN AFFARE ALLETTANTE E REMUNERATIVO PER LE AGGUERRITE CONSORTERIE CRIMINALI NAZIONALI E LE SPREGIUDICATE BANDE MALAVITOSE STRANIERE” e “DAL DENARO CONTANTE AI MEZZI ELETTRONICI DI PAGAMENTO: ANALISI DI UNA LENTA E DIFFICOLTOSA TRANSAZIONE IN ATTO” ben anticipa l’attenta analisi che i due autori effettuano dei fenomeni criminali – anche a carattere transnazionale – direttamente collegati alle transazioni economiche concluse tramite i mezzi elettronici di pagamento e, in particolare, a seguito di operazioni commerciali on-line.
******
In un periodo in cui lo Stato italiano pone rigidi limiti all’utilizzo del denaro contante in nome di una maggiore tracciabilità delle transazioni per una lotta più incisiva all’evasione fiscale e al riciclaggio di denaro, sono di estrema attualità le iniziative normative assunte dalla quasi totalità dei governi comunitari di abbandonare progressivamente l’utilizzo del denaro contante (ogni neretto e del Redattore), lasciando il posto ai più monitorabili pagamenti elettronici, i quali finiranno, in breve tempo, per costituire una percentuale importante e preponderante degli scambi monetati e finanziari a livello mondiale. Oggi le carte di pagamento elettroniche rappresentano una valida alternativa al denaro contante, dispositivi di uso comune e di facile utilizzo, sono strumenti mediante i quali è possibile fare acquisti in esercizi commerciali dislocati in qualsiasi parte del pianeta e prelevare denaro contante presso gli sportelli bancomat automatici ATM (Automated Teller Machine).
Siamo comunque già in una fase in cui la diffusione del web a libello planetario e dell’e-commerce rispetto alla persa abitudine di fare acquisti in ambiente off line e presso le tradizionali attività commerciali di prossimità, rappresentano i veri fattori trainanti di una tecnologia che induce ad un utilizzo sempre più frequente delle carte di pagamento elettroniche per operazioni realizzabili a distanza attraverso internet: come la prenotazione di vacanze e viaggi, spesa online con consegna a domicilio, acquisti sui portali web ed aste online. In realtà, il principale ostacolo ad una diffusione davvero capillare delle carte di pagamento è innegabilmente rappresentato dalla conosciuta scarsa sicurezza che caratterizza il loro impiego, con il pericolo clonazione ed il rischio utilizzo illecito in ambiente web da parte di terzi non autorizzati. Carte di credito, carte di debito (note come bancomat), carte prepagate e revolving, sono oggi un target allettante per tante consorterie criminali; un business che muove e vale milioni di euro e di valuta statunitense ed in grado di attirare le bramosie di gruppi criminali ben organizzati, ma anche di bande malavitose al contrario poco o male organizzate, ma che sfruttano il fatto di poter compiere un reato “da remoto”, ovvero stando in un posto o in uno stato differente da quello in cui si trova la vittima, con conseguente diminuzione dei rischi di poter essere facilmente individuati dalle forze di polizia.
Secondo stime recenti, sarebbero oltre 33 milioni le carte di credito in circolazione nel nostro Paesi, per un totale di 56 miliardi di volume di affari; sarebbero invece circa 300.000 le frodi registrate. Ad oggi le soluzioni tecniche della conservazione dei dati necessari al funzionamento di una carta di credito su banda magnetica o su microchip, pur se adottate da tutti i circuiti di pagamento, raffigurano oramai tecnologie unanimemente identificate come non idonee ad affrontare l’aumento del fenomeno delle frodi e delle clonazioni ed a rispondere efficacemente alla crescente necessità di sicurezza. Si intravedono due sole possibilità all’orizzonte per porre fine ai furti dei dati necessari all’utilizzo delle carte di credito ed alla loro clonazione, di seguito analizzate. Le carte di credito ad impronte digitali o biometriche che riconoscono il proprietario dalle impronte digitali e dal calore corporeo, sono carte di plastica che ospitano un dispositivo che incorpora uno schermo a cristalli liquidi e una serie di 128 sensori ottici in grado di riconoscere l’unico dito autorizzato a prelevare o a spostare denaro elettronicamente e ad abilitare quindi la carta di credito all’operazione. Per quanto riguarda l’utilizzo della carta in ambiente internet, quanto l’utente poggia il dito sul supporto attiva la carta che trasmette le informazioni alla banca e ne riceve in cambio un codice criptato che compare, in chiaro, sul mini display della carta stessa.
Il titolare non deve fare altro che digitarlo sul computer per iniziare a operare nel web della sua banca. In caso di aggressione e qualora i banditi tentino di forzare il titolare della carta ad usarla, per esempio, per un prelievo ad un bancomat, basandosi sulla previdenza dell’anatomia che non replica la stessa impronta nemmeno nelle dieci dita dello stesso individuo, i ricercatori hanno escogitato l’opzione “panic finger”, la vittima potrà attivare la carta di credito con un altro prestabilito polpastrello: i sensori comprenderanno la situazione, ma il sistema farà ingegnosamente finta di nulla, dando inizio alla normale procedura per l’erogazione della somma voluta e lanciando l’allarme alla banca, che lo girerà alle forze dell’ordine.
Nel caso invece i criminali dovessero pensare di tagliare il dito della vittima per usarne la carta, non vi riuscirebbero comunque, tenuto conto che i sensori per attivarsi hanno bisogno di rilevare anche la temperatura corporea.
Una soluzione alternativa ma ugualmente ingegnosa e potenzialmente sicura, consiste in una RFID card, una carta touchscreen ad identificazione biometrica (anch’essa con impronta digitale), dotata di un piccolo schermo sul quale l’utente può leggere molteplici informazioni.
La RFID card può essere utilizzata oltre che come carta di pagamento, anche come carta d’identità, patente e passaporto. Oltre che “non clonabile”, la tecnologia RFID permetterà all’utente di visualizzare in tempo reale sul piccolo monitor della card lo stato ed il saldo del proprio conto corrente. In ogni caso, è innegabile come la diffusione dei sistemi di pagamento elettronici abbia dilatato la casistica criminale connessa alla duplicazione, contraffazione e clonazione di bancomat e carte di credito, utilizzate spesso poco prudentemente da milioni di utenti.
DAGLI HACKER ALLE BANDE CHE ASPORTANO LE POSTAZIONI BANCOMAT CON L’ESPLOSIVO: EVOLUZIONE E DIVERSIFICAZIONE DELLE TECNICHE CRIMINALI.
Una banda criminale composta da giovani ivoriani, nigeriani ed italiani operanti tra l’Italia e l’Inghilterra e con basi a Pisa, Milano, Brescia e Pavia, dedita alla clonazione di carte di credito, è stata sgominata dalle Forze di Polizia italiane. Utilizzando i codici delle carte di credito frodate on line ed acquisto attraverso stimme posizionati su POS e postazioni bancomat, i malavitosi acquistavano beni di elevato valore economico che poi rivendevano sul web su portali e-commerce.
Il capitale accumulato dai criminali veniva quindi riciclato ed investo per l’acquisto di lussuose ville in Costa d’Avorio. Quello sopra citato è solo uno degli innumerevoli servizi di polizia giudiziaria portati a termine dalle Forze di Polizia italiane nei confronti di gruppi criminali dediti alle frodi sulle carte di pagamento elettroniche. I dati ufficiali riferiscono di un crescente aumento nel nostro Pese di reati connessi all’illecito utilizzo ed al furto di carte di credito e bancomat. Il crescente utilizzo delle carte di credito, spinto dallo sviluppo incessante dell’e-commerce e dall’ascesa del web è accompagnato da un incremento oltre che numerico, soprattutto qualitativo di reati in danno di istituti di credito ed utenti. Per pirati ed hacker, il bacino di potenziali utenti è oggi rappresentato dagli oltre 17 milioni di conti correnti gestiti attraverso la rete in Italia.
Negli ultimi anni i reati informatici hanno conosciuto un incremento incessante, con giovani ed adolescenti che spesso in nome di una particolare cognizione tecnica-informatica si rendono responsabili di azioni di hacking anche solo per dimostrare quello di cui sono capaci.
Va sottolineato, però, come le fattispecie delittuose relative alle carte elettroniche hanno registrato una progressiva diversificazione dovuta all’entrata nell’illecito mercato di sodalizi criminali nigeriani e rumeni ben organizzati, in grado di modulare le proprie strategie e le tecniche utilizzate, anche sulla base delle continue soluzioni di difesa utilizzate dagli istituti bancari. Nel 2011 i profitti realizzati dalle consorterie criminali con le frodi perpetrate nel territorio dell’Unione Europea sulle carte di pagamento ammonterebbero a circa 600 milioni di euro, con un aumento rispetto all’anno precedente di circa il 50%. Mentre il web si conferma l’ambiente di riferimento per lo sviluppo di tali attività illegali, in Italia, così come avviene per la maggior parte delle frodi informatiche e dei reati on line, anche per ciò che attiene i reati connessi alle carte di credito, è possibile parlare di un “oligopolio etnico” gestito da organizzati sodalizi criminali nigeriani e rumeni, in grado di diversificare le proprie tattiche ed il proprio modus operandi anche sulla base delle sempre rinnovate strategie di difesa progressivamente sperimentate ed adottate dalle società e dagli istituti bancari che rivestono part attiva nel florido circuito delle carte di credito. Si tratta, nella quasi totalità dei casi, di gruppi criminali che operano su base transfrontaliera. Le scorribande di hacker romeni risalgono all’ormai lontano 1999, quando 4 ragazzi e 2 ragazze di Bucarest, riunitisi sotto il nome di Pentaguard, hanno attaccato e “bucato” le reti governative di Cina e Stati Uniti, distrutto il server delle Forze Armate USA di stanza in Corea e violato il sistema informatico del Ministero della Difesa americano.
In Romania si assiste da tempo ad una “riconversione” della criminalità che è passata in questi ultimi anni da reati come il traffico di autovetture rubate o il traffico di esseri umani e di sostanze stupefacenti a reati ad alto contenuto tecnologico ed informatico su mezzi elettronici di pagamento. Una mutazione spinta dalla possibilità che consente a quest’ultima tipologia di crimine di realizzare profitti ingenti in tempi rapidissimi e con rischi relativamente ridottissimi e dalla prospettiva di un facile accesso alle attrezzature informatiche moderne necessarie a commettere reati. Così come emerge dalle investigazioni sviluppate in questi anni, i componenti delle bande criminali specializzatisi nella commissione di tali tipi di reato provengono in prevalenza dalle province rumene di Bacau, Dolj, Constanta, Valcea, Bihor, Brasov, Dimbovita, Iasi, Olt, Mehenditi, Hunedoara e Bucarest; i paesi ove invece poi i criminali rumeni si spostano per frodare utenti ed istituti bancari sono principalmente Francia, Italia, Gran Bretagna, Germania, Belgio, Spagna, Olanda.
Come anticipato, le frodi sui mezzi elettronici di pagamento costituiscono un business in grado di attirare l’interesse di gruppi criminali ben organizzati al fianco dei quali in Italia si trovano sempre più spesso ad operare sodalizi non parimenti organizzati nella fase successiva al furto del danaro che dovrebbe essere rappresentata dal riciclaggio ovvero dal reinvestimento dei capitali in ulteriori attività economiche speculative. In ragione di una strutturazione disarticolata ed “avventurosa”, delle consorterie malavitose si accontentano sovente di spendere quanto illecitamente sottratto operando acquisti presso centri commerciali e negozi di vario genere. L’entrata nel “mercato” di sodalizi criminali ben organizzati ha causato una progressiva diversificazione delle fattispecie delittuose relative ai mezzi elettronici di pagamento; i sistemi di frode spaziano dal semplice furto alla più complessa clonazione delle tessere magnetiche, dalla manomissione dei POS all’alterazione delle postazioni ATM, dalla falsificazione alla clonazione delle carte di credito.
Una carta di credito falsificata o clonata che può consistere nella stampa e nella codificazione di una carta originale presa o modello, ovvero nell’alterazione di una carta regolarmente emessa, viene il più delle volte realizzata mediante la tecnica dello skimming. La carta frodata è utilizzabile dai criminali fino a che il titolare si accorge della truffa (magari viene avvisato da un SMS qualora abbia precedentemente attivato il servizio di allarme) e blocca l’operatività della propria carta, ovvero sino a quando non viene raggiunto il plafond di spesa relativo alla carta di credito illegalmente utilizzata e l’istituto di credito ne sospende la possibilità di impiego.
È indubbio come la crescita del fenomeno relativo alle frodi commesse con carte di pagamento trovi motivazione anche nella relativa semplicità e nella possibilità di ottenerne in forma immediata il guadagno. A differenza di quanto avviene per il falsario di banconote false, all’hacker o al malvivente che opera nel settore della clonazione delle carte di credito non è richiesta alcuna specializzazione particolare. Le organizzazioni criminali commettono, di fatto, un tipo di reato che genera una percezione sociale del crimine relativamente bassa e per il quale, da un punto di vista normativo, non sono previste sanzioni eccessivamente severe.
Da un punto di vista normativo, per fronteggiare il fenomeno legato all’uso illecito delle carte elettroniche o a qualsiasi analogo documento che abiliti il prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, il legislatore ha introdotto l’articolo 12 della Legge 197/91, intitolato Carte di credito, di pagamento e documenti che abilitano al prelievo di denaro contante, in virtù del quale: “…chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da lire seicentomila a lire tre milioni. Alla stessa pena soggiace chi, al fine di trarne profitto per sé o per altri, falsifica o altera carte di credito i di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi…”.
Vi è infine la consapevolezza per le consorterie malavitose di doversi contrapporre ad una law enforcement contraddistinta da tempi di reazione limitati e rallentati dalle difficoltà di coordinamento con le unità investigative degli altri Paesi con le quali spesso non c’è raccordo legislativo e strategico.
Una carta falsificata può essere venduta dalle organizzazioni criminali che ne hanno fatto fraudolentemente acquisito l’operatività per una cifra intorno ai 500 euro; la vendita avviene su portali web e forum “chiusi” per accedere all’interno dei quali bisogna essere “presentati” ed accreditati in quanto frequentati solo da “addetti ai lavori”, ovvero criminali interessati all’acquisto o alla vendita “in blocco” di dati necessari a rendere operative le preziose carte magnetiche.
Da un punto di vista tecnico, vi sono diverse tecniche di acquisizione delle carte elettroniche di pagamento in ambiente internet e off line:
• tecnica tradizionale di acquisizione dei dati attraverso skimmer:
una volta che l’utente paga con la propria carta di credito presso un’attività commerciale, la carta viene “strisciata” nel terminale POS all’interno del quale era stato precedentemente occultato un dispositivo detto skimmer, in grado di acquisire fraudolentemente i dati della carta. A tal punto, è possibile realizzare una carta “gemella” o rivendere ad altri criminali interessati i dati acquisiti che saranno poi utilizzati per la successiva codifica;
• il carding matematico: tecnica che si realizza mediante la produzione di numeri di carte di credito verosimili mediante software che impiegano particolari algoritmi in grado di riprodurre la numerazione utilizzata dalle principali società che gestiscono carte di credito;
• memorizzazione dei dati contenuti nelle carte magnetiche attraverso bluetooth: negli ultimi tempi i sodalizi criminali che operano nel settore delle carte di pagamento ricorrono sempre più frequentemente alla tecnologia bluetooth per giungere alla clonazione delle cards. Si tratta, solitamente, di bande di giovani gestite dalla criminalità rumena, altamente specializzate in reati della specie. I criminali penetrano all’interno di un centro commerciale, si nascondono nei bagni o in qualche anfratto in attesa della chiusura serale; una volta che l’esercizio è chiuso e quindi deserto e non vigilato dall’interno hanno tutto il tempo per oscurare le telecamere di sorveglianza, “schiumare” i sistemi di allarme e soprattutto piazzare un minuscolo microchip all’interno dei POS ubicati presso le varie casse. Una volta terminata tale procedura, attendono l’apertura sino alla mattina seguente e dopo essersi mischiati tra la gente che affolla l’esercizio commerciale, si sistemano nei pressi della cassa o della postazione manomessa e restano in attesa dotati di un normale computer portatile armonizzato sulle frequenze bluetooth del microchip illecitamente installato, il quale provvederà in automatico a trasmettere i dati di tutte le carte che vengono strisciate per l’effettuazione delle transazioni elettroniche. In tal modo, i criminali entreranno in possesso di un numero altissimo di dati relativi a carte di credito e bancomat già illecitamente utilizzabili per acquisti e transazioni sul web ovvero per la realizzazione di supporti clone delle cards originali;
• lo skimming (da “to skim”, letteralmente “strisciare”) su ATM: attraverso un dispositivo montato nella fessura di inserimento della carta e una piccola telecamera montata sul pannello di controllo, il criminale filma la digitazione del codice PIN da parte dell’utente. Intanto lo “skimmer” acquisisce e registra illecitamente al suo interno i dati contenuti nelle carte di pagamento elettronico. Detta tecnica criminale, comunemente denominata “skimming” è quindi relativa ad azioni illecite compiute mediante la propedeutica manomissione o sostituzione degli skimmer originali presenti nell’ATM, con uno furtivamente installato per leggere, acquisire e memorizzare i dati contenuti nelle carte magnetiche che vengono fatte “strisciare” al suo interno. Una volta recuperata la videocamera che ha ripreso e registrato i PIN digitati e lo skimmer precedentemente installato, il criminale potrà estrarne i dati acquisiti ed utilizzarli per acquisti o transazioni on line ovvero per la realizzazione di supporti clone delle cards originali;
• applicazione di una falsa tastiera sull’ATM: il criminale può acquisire il PIN del bancomat da clonare anche attraverso una falsa tastiera sovrapposta a quella originale dello sportello, in grado di acquisire e memorizzare il codice digitato dall’utente. Si tratta, comunque, di una tecnica ora efficacemente contrastata dalla gran parte dei distributori automatici degli istituti bancari, ora dotati di una Pin Pad criptata;
• il vishing, truffa nata dal più noto pishing e derivata da una sintesi tra i vocaboli pishing e VolP; è un sistema che rende possibile effettuare chiamate telefoniche utilizzando una connessione internet in luogo di una linea telefonica tradizionale. Nel vishing, i pirati informatici inviano mail che a differenza di quanto avveniva nel pishing, non contengono più link ai siti appositamente allestiti per trarre in inganno l’utente, ma numeri di telefono che i destinatari sono invitati a contattare con la classica motivazione dell’esigenza di ottenere i dati per un aggiornamento del sistema o una verifica. Una volta contattato il numero indicato nella mail, la voce registrata di un fantomatico call center informa l’utente del fatto che si sono verificati problemi sul conto corrente bancario o sulla carta di credito e al fine di risolverli consiglia di contattare un’ulteriore utenza telefonica della quale viene fornito il numero. Una volta chiamato il numero indicato, una voce registrata, all’apparenza professionale, invita l’utente a fornire i propri dati bancari riservati, che saranno utilizzati dai malviventi di lì a poco per svuotare il conto corrente del malcapitato;
• lo “smishing”: anche in questo caso si tratta di una semplice ma ingegnosa diversificazione del classico pishing, dove l’utente non viene contattavo via mail, ma semplicemente attraverso un SMS sulla propria utenza cellulare. L’industrioso stratagemma è già stato utilizzato in Italia da un giovane della provincia di Varese, il quale è riuscito a carpire i dati sensibili delle carte di credito di 900 utenti. Il truffatore ha utilizzato un software facilmente reperibile on line, capace di dissimulare la provenienza dell’SMS da un numero di telefono riconducibile ad una fantomatica società che si indicava come mittente. Una volta ricevuto l’SMS, i clienti hanno ritenuto attendibile la comunicazione e fornito quindi numeri e dati della propria carta. Le persone truffate hanno ricevuto sul proprio telefono cellulare un SMS intestato CartaSi, il quale letteralmente recitava: “Attenzione, chiami il numero…di Servizi Interbancari per verificare la transazione con la sua carta di credito, al fine di evitarne usi fraudolenti”. Una volta contattato il numero telefonico indicato nel messaggio di testo, una voce registrata richiedeva di digitare il codice della carta di credito e le tre cifre del codice di sicurezza CVV e quindi di digitare sulla tastiera del telefono il “tasto 1” per essere messo in contatto con un operatore; sistematicamente, dopo aver digitato il numero, la voce portava a termine la truffa, invitando gentilmente il malcapitato a ritentare il giorno successivo, considerato che in quel momento tutti gli operatori erano occupati in altre conversazioni;
• il Lebanese Loop: si tratta di una tecnica di attacco a POS e ATM basata su procedure di social engineering (ingegneria sociale). La tecnica si struttura sulla preventiva applicazione su uno sportello di prelievo automatico di un congegno in grado di “risucchiare” e trattenere la carta magnetica inserita dal cliente, in modo tale che il distributore non possa più espellerla e l’utente riprenderne possesso. Il cliente che entrerà successivamente all’applicazione del dispositivo da parte del malvivente non riuscirà ad estrarre la carta e quindi a terminare l’operazione. Fingendo di essere anch’egli un cliente della banca in attesa di utilizzare lo sportello bancomat, il criminale si offre di aiutare il malcapitato consigliandogli di digitare un’altra volta il PIN; in tale frangente, il truffatore riesce a vedere e memorizzare la combinazione alfanumerica digitata dall’utente titolare della carta “bloccata”. Al termine di numerosi, inutili tentativi, la vittima si allontana ripromettendosi di chiamare la banca o recarvisi personalmente in orari di apertura; a tal punto, il malvivente può sbloccare il dispositivo, impadronirsi della carta ed adoperarla con il PIN di cui è precedentemente venuto a conoscenza, fino al momento in cui verrà disabilitata dall’istituto bancario emittente, allertato dal legittimo titolare.
• il furto d’identità: nota tecnica utilizzata dai pirati del web, che si sostanzia nell’acquisizione dell’identità di un’altra persona e si realizza “mediante l’appropriazione ed il successivo riutilizzo non autorizzato dei dati personali della vittima. La carta non viene sottratta o rubata fisicamente; il truffatore si impossessa solo dei dati in essa contenuti per assumere l’identità del suo titolare”. La sottrazione dei dati marchiati sulla card può avvenire mediante tecniche differenti. Si tratta di una tecnica in continua crescita, (11 milioni i casi di furti di identità censiti nel solo anno 2009), poiché si sostanzia in un sistema che oggettivamente riduce il rischio di essere scoperti grazie al mancato ricorso al furto fisico del supporto. Una volta acquisita la falsa identità, il malvivente richiede una nuova carta oppure accede ad una preesistente, impersonificando il vero titolare;
• il pishing: tecnica di acquisizione dei dati attraverso false comunicazioni inviate via posta elettronica con le quali il pirata finge di essere un istituto di credito o un ente per indurre l’utente target a fornire i dati della propria carta di credito. Una volta acquisiti i dati, il pisher può utilizzarli in modi differenti e per diverso tempo, ovvero fino al momento in cui il titolare non verifica gli addebiti sull’estratto conto ed avvisa la propria banca della truffa subita;
• il boxing: tecnica fraudolenta di acquisizione della carta elettronica nel momento in cui quest’ultima viene recapitata al titolare, ovvero di acquisizione dei dati delle carte mediante sottrazione dell’estratto conto inviato via posta all’utente (quando una carta di credito viene rubata da una cassetta postale di un condominio o nel tragitto postale tra l’emittente ed il titolare si parla di frodi “mail not received”);
• l’hacking: tecniche di hacker aggio che si sostanziano in invasive violazioni di server e database di operatori commerciali e fornitori di servizi on line (hotel, siti e-commerce, ecc.) per acquisire i numeri delle carte di credito ivi custoditi;
• il trashing: in questo caso i criminali acquisiscono dati bancari e dati sulle carte di credito e bancomat rovistando nei rifiuti. In gran parte della Penisola si effettua il conferimento differenziato dei rifiuti, separando la carta dal resto del materiale. In tale situazione, risulta agevole per i pirati acquisire le particolari informazioni ricercate. Lo stesso risultato viene raggiunto recuperando ricevute e scontrini delle carte di credito, che talvolta i possessori gettano via dopo un acquisto. Anche in questo caso, i dati vengono successivamente utilizzati per effettuare transazioni ed acquisti attraverso canali remoti, all’interno dei quali non è necessario presentare fisicamente la carta per concludere l’acquisto (operazioni sul web, ordini telefonici o postali).
• La strategia maggiormente utilizzata resta comunque quella dell’attacco ai POS ed agli sportelli bancomat, che può essere realizzata anche mediante la tecnica quasi paramilitare, utilizzata soprattutto da bande di slavi o albanesi o da bande affiliate alla criminalità organizzata, di estrarre ed asportare dal muro, mediante l’impiego di ruspe o l’utilizzo di esplosivi, l’intero sportello bancomat, costituito da una cassaforte al cui interno è custodito il denaro destinato ai clienti del distributore elettronico.
I dati parlano di attacchi fisici alle postazioni ATM e di bancomat nel mirino con riferimento alle frodi in ambiente off line come reato particolarmente diffuso nel centro-nord della Penisola. Nel nostro Paese, nel 2011, gli attacchi agli ATM sono stati 405.209 quelli riusciti, con un bottino medio di 43.000 euro per i bancomat a fronte di una media di 23.000 euro per e rapine in banca. In Emilia Romagna, la regione maggiormente interessata dal fenomeno, si sono registrati 91 attacchi tentati (42 dei quali riusciti); seguono quindi il Veneto con 82 attacchi tentati (50 portati a termine), la Lombardia con 60, il Piemonte con 52, la Campania con 38 e la Toscana con 28. Le province più colpite sono quelle di Torino (30 attacchi tentati), Bologna (29), Milano (27), Napoli e Padova (23). Ciò dimostra come gli attacchi fisici rappresentino alla pari delle infrastrutture tecnologiche e dell’aspetto “logico”, il vero punto sensibile della sicurezza degli ATM, con i dati finanziari di clienti, banche ed istituzioni che costituiscono il vero bottino dei criminali.
LA LOTTA ALLE FALSIFICAZIONI E ALLE FRODI SUI MEZZI ELETTRONICI DI PAGAMENTO: METODOLOGIE DI CONTRASTO.
Al fine di facilitare lo scambio informativo con finalità investigative, è stata istituita, presso il Ministero dell’Economia, una banca dati su mezzi di pagamento e carte di credito adoperate, in relazione alle quali siano verificate anomalie, direttamente amministrata dall’Ufficio Centrale Antifrode dei mezzi di pagamento (UCAMP). Per quanto attiene le attività di contrasto alle organizzazioni criminali che operano nel settore dei mezzi elettronici di pagamento, tenuto conto della “trans nazionalità” delle condotte, sarebbe auspicabile una reale cooperazione tra le pubbliche autorità competenti e i privati interessati, nell’ottica di uno scambio di esperienze e informazioni. Dal punto di vista della prevenzione, i consumatori andrebbero maggiormente informati sui rischi connessi all’impiego di strumenti di pagamento diversi dai contanti e sensibilizzati sull’opportunità di adottare comportamenti più adeguati. Andrebbero implementate le cosiddette flagging systems on line come il CIFAS inglese, strutture che permettono lo scambio di informazioni tra istituzioni finanziarie su casi di frode o tentativi di truffe; a detti informazioni dovrebbero avere accesso anche altri organi cointeressati come Europol e Interpol. In definitiva, è compito delle autorità nazionali e dei Governi pensare le frodi nei pagamenti come un reato grave ed attribuire quindi priorità alla prevenzione a tutela dei singoli o del mercato.
Articoli correlati
Questo articolo ha 0 commenti