La truffa corre sul filo (e arricchisce le compagnie telefoniche)
C’è l’oroscopo personalizzato, il meteo geolocalizzato, le ultime notizie di gossip, i risultati di calcio o una collezione di suonerie e giochi da scaricare sul telefonino. E poi ci sono quegli sms che avvertono (o piuttosto dovrebbero avvertire) che il servizio ha un costo, che di norma varia dai 99 centesimi ai 6 euro al mese, senza però spiegare come fare per disattivarlo o addirittura senza fare menzione del diritto di ripensamento gratuito previsto dalla normativa a partire dal novembre 2019. “Il punto cruciale è che trattandosi il più delle volte di costi piccolissimi, molti utenti non si accorgono neanche dell’addebito fraudolento. Quanti invece hanno contezza dei costi, di sicuro non presentano denuncia contro quella che è a tutti gli effetti una truffa. Però così noi investigatori abbiamo le mani legate”, spiega un inquirente.
A meno che, come successo al procuratore di Milano Francesco Greco che mentre era in vacanza con la famiglia si è accorto di pagare fino a 20 euro a bimestre per contenuti e abbonamenti non richiesti, a finire nella trappola non sia proprio un investigatore. “L’unica consolazione – sorride amaramente il magistrato – è che in questo tipo di operazioni a danno del consumatore c’è molta democrazia perché può capitare al Procuratore della Repubblica di Milano così come al vecchietto”. Nel primo caso, però, un sms può innescare una slavina che origina una delle inchieste più clamorose mai svolte in Italia nel campo delle truffe telefoniche, con 12 milioni di euro di sequestri preventivi e undici persone indagate a vario titolo per frode informatica ai danni dei consumatori, intrusione abusiva a sistema telematico e tentata estorsione contrattuale. Fra loro anche tre dirigenti TreWind, società al centro dell’indagine condotta dal Nucleo speciale tutela privacy e frodi tecnologiche della guardia di finanza, i cui uffici sono stati perquisiti. Dalle parole degli inquirenti, però, è chiaro che i comportamenti al centro dell’inchiesta sono prassi anche per altri operatori telefonici. Al punto che, in attesa degli sviluppi dell’indagine, la Procura di Milano ha inviato una lettera all’Autorità garante per le comunicazioni, in relazione alla posizione di Vodafone, Tim e di una società fornitrice di servizi.
Una fetta per tre
Al centro del lavoro del procuratore aggiunto di Milano Eugenio
Fusco, che coordina il pool frodi reati informatici e tutela dei
consumatori, e del sostituto Francesco Cajani ci sono i cosiddetti Vas, Servizi a valore aggiunto,
attivabili a pagamento su telefoni e smartphone. Meteo, oroscopi,
giochi, suonerie e molto altro che spesso ci vediamo attivati (e
addebitati) senza averne fatto richiesta e senza neanche esserne
consapevoli. Un giro d’affari da oltre un miliardo di euro all’anno
in cui si muovono società tecnologiche con sede in paradisi fiscali e
assetti societari da scatole cinesi, fornitori di servizi e dirigenti di
azienda con rapporti opachi quando non vere e proprie complicità.
Il sistema, a grandi linee funziona così: ci sono i Content service provider
(Csp), che producono e mettono in commercio i prodotti aggiunti che
l’utente può attivare con un messaggio di testo o “cliccando” su un
banner pubblicitario messo a disposizione da una agenzia specializzata;
gli operatori di telefonia mobile che materialmente addebitano l’importo del servizio sulla sim; infine gli hub,
cioè piattaforme di aziende specializzate tramite i quali l’operatore
gestisce l’addebito. Il costo del servizio aggiuntivo, quindi, viene
ripartito in tre: la compagnia telefonica trattiene il 40-50% del prezzo pagato,
l’hub tecnologico il 5-7%, il resto va alle aziende produttrici del
contenuto. Ed è proprio da un contenzioso legale nato fra alcune aziende
per spazi pubblicitari, intrusioni tecnologiche e concorrenza violata
che il lavoro degli inquirenti milanesi ha inizio nell’estate del 2019 e
ha portato quasi un anno dopo al primo sequestro preventivo di 12
milioni di euro che, a seguito di un decreto ingiuntivo, stavano per
essere pagati ad una società di servizi con sede a Dubai.
“Così ci fornivano le liste dei numeri”
Ed è proprio dalla capitale dell’Emirato che uno degli indagati dalla
procura milanese ha deciso di collaborare con l’inchiesta e raccontare
un “modus operandi” in cui ognuna delle parti coinvolte pare consapevole e partecipe di un sistema evidente di truffa. Un raggiro basato su quella che i tecnici definiscono tecnologia “0 click”, ossia sulla possibilità di attivare servizi a pagamento su numeri e utenze che non ne hanno in alcun modo fatto richiesta.
Della truffa, secondo quanto raccontato dal “pentito”, sarebbero state vittime oltre un milione di utenti
soltanto a cavallo fra il 2018 e il 2019: 1.048.576 utenze Wind, per la
precisione. “Dopo aver fatto altre analisi, abbiamo avuto conferma che
era possibile attivare utenti utilizzando delle liste di numerazioni,
queste ci vennero passate con cadenze trimestrali, abbiamo utilizzato 2 o
3 liste al massimo, ciascuna lista conteneva centinaia di migliaia di
numerazioni Wind”, ha raccontato l’informatico il 4 novembre scorso al
sostituto procuratore Francesco Cajani.
A fornire le liste di numeri su cui attivare i servizi a
pagamento, senza alcun consenso degli utenti, era una società hub
commercialmente legata a Wind. Ma non c’erano solo le liste dei numeri
“da attivare”, ce n’erano anche altre di numeri da evitare.
“Ci venne fornita anche una sorta di blacklist, aggiornata di tanto in
tanto, che conteneva dipendenti Wind e altri numeri che era meglio non
attivare per ragioni di politica interna a Wind”, ha infatti spiegato il
tecnico indagato ai magistrati. Forse, è il sospetto di chi indaga, per
evitare di colpire soggetti in grado di dare pubblicità alla truffa e
rendere pubbliche le pratiche in uso.
Tutti consapevoli, tutti coinvolti
“Noi – ha poi spiegato l’indagato – abbiamo eseguito dei test
per capire come le altre società Vas eseguissero tali numeri elevati di
attivazioni, arrivando a capire che era facilmente possibile aumentare i
numeri di attivazioni tramite la procedura dello ‘0 click’. Usavamo due
modalità in tal senso. La prima era quella di acquistare su canali
internet spazi pubblicitari al fine di raggiungere utenti in maniera
truffaldina: questo sistema lo abbiamo utilizzato fin dall’inizio, ed
onestamente era ed è un sistema noto nell’ambiente dei Csp, non solo di Wind
ma di tutti gli altri operatori. Queste campagne difficilmente possono
passare tramite Google anche se in teoria è possibile bypassare le
restrizioni di Google. Se una pagina, anche di rilievo nazionale, porta
con sé o utilizza un network pubblicitario basati su tali banner è
possibile una attivazione 0 click che abbia come fonte proprio tale
sito”.
Sistemi di attivazione, quindi, nascosti dietro innocue pubblicità
presenti anche in pagine web affidabili e certificate. “Il secondo
sistema – ha spiegato ancora la fonte della procura – lo abbiamo
utilizzato dalla metà del 2018. Dopo aver fatto altre analisi, abbiamo
avuto conferma che era possibile attivare utenti utilizzando delle liste
di numerazioni. Anche su Tim sapevamo per certo che la
piattaforma presentava altrettante vulnerabilità tecniche”. Per
funzionare, però, l’architettura della truffa aveva bisogno che tutte le
parti facessero il proprio lavoro, e infatti secondo i magistrati
all’interno del sistema lavoravano solo aziende “di fiducia” e ogni
ingranaggio poteva muoversi solo a patto di collaborare con società
specifiche appartenenti al sistema. Pena l’esclusione dal business, come
hanno denunciato i responsabili della società la cui azione civile ha
dato origine all’inchiesta.
I cartoni animati durante il lockdown
Secondo gli inquirenti, in ogni caso, le truffe sarebbero proseguite anche dopo il novembre 2019 quando le modifiche normative hanno introdotto il diritto di ripensamento entro 6 ore dalla ricezione del messaggio di attivazione dei servizi, con rimborso erogato entro 24 ore dalla richiesta, e hanno costretto le aziende Csp a modificare i testi delle “landing page” (le pagine su cui “atterrano” gli utenti dopo il primo click) e degli sms informativi inserendo un riferimento al diritto di ripensamento. Secondo quanto emerge della indagini, infatti, gli inquirenti avrebbero scoperto servizi a pagamento che durante il lockdown, quando i volumi di traffico sono saliti alle stelle: si attivavano semplicemente collegandosi a siti di streaming di cartoni animati.
A dimostrazione di come i servizi fossero “accesi” senza alcuna richiesta o procedure consapevole eseguita dall’utente, poi, c’è un dettaglio incredibile. Nella lista dei numeri “attivati” fornita ai Csp, infatti, c’erano decine di migliaia di sim utilizzate in servizi “m2m”, machine to machine. Si tratta, in sintesi, di tecnologie e che permettono il trasferimento automatico delle informazioni da macchina a macchina con limitata o nessuna interazione umana. Il frigo che comunica automaticamente con la app per la spesa, ad esempio. Oppure l’antifurto che si attiva mettendosi in contatto con la centrale o la caldaia di riscaldamento che può essere accesa da remoto. Impossibile quindi, ragionano i tecnici della procura, che su quei numeri possa essere stata richiesta l’attivazione di servizi a pagamento. A meno di non prendersela con i frigoriferi di casa…
Massimo Solani
17/2020 https://ilsalvagente.it
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!