Carabinieri: sgominata banda di cyber criminali, truffati banche e correntisti

(di Arma dei Carabinieri)
08/05/18

All’alba di oggi, nelle Province di Reggio Calabria e dell’Aquila, i Carabinieri del Comando di Provinciale di Messina hanno eseguito un’ordinanza di custodia cautelare in carcere emessa dal GIP del Tribunale di Messina su richiesta della Procura della Repubblica peloritana, guidata dal Procuratore Maurizio De Lucia, a carico di 5 soggetti ritenuti responsabili – a vario titolo – di associazione per delinquere finalizzata alla frode informatica, accesso abusivo a sistema informatico o telematico e sostituzione di persona.

Contestualmente, alla misura cautelare personale è stata data esecuzione anche ad un decreto di sequestro preventivo, disposto nei confronti dei conti correnti e depositi bancari nella disponibilità degli indagati, per un valore complessivo di oltre 1,2 mln. di euro.

Il provvedimento restrittivo scaturisce da una complessa attività di indagine, convenzionalmente denominata “FRAUDATORES”, avviata nel febbraio 2018 dal Nucleo Investigativo del Comando Provinciale Carabinieri di Messina in collaborazione con il Reparto Indagini Telematiche del ROS, coordinata dal sostituto Procuratore della Repubblica Dott.ssa Antonella Fradà, i cui esiti hanno permesso di comprovare l’operatività di un gruppo di cyber criminali, con base nella fascia ionica reggina e attivo sull’intero territorio nazionale, specializzato nel sottrarre ingenti somme di denaro da diverse centinaia di conti correnti bancari “on line”.

Le investigazioni, in particolare, hanno dimostrato come gli indagati fossero in grado di modificare, sui principali siti web istituzionali (Telemaco Infocamere, www.inipec.gov.it, www.registroimprese.it, etc..), gli indirizzi di posta elettronica certificata (p.e.c.) di alcuni tra i più noti istituti di credito nazionali ed esteri, sostituendoli con quelli di analoghe caselle di posta certificata, denominate in modo del tutto simile alle originali, appositamente attivate su provider specializzati e intestate a soggetti ignari o inesistenti.

Nel corso dell’inchiesta è stato accertato che, mediante tale espediente, i pirati informatici riuscivano, da un lato, ad interporsi tra i titolari dei conti correnti “on line” e i rispettivi istituti – secondo una modalità di attacco cibernetico nota come M.I.T.M. (man in the middle) – e, dall’altro, ad entrare in possesso delle credenziali di accesso ai rapporti finanziari, utilizzando le quali disponevano una sequenza di operazioni “home-banking” in favore di ulteriori conti bancari, intestati a ignare vittime di furto d’identità ma gestiti dagli stessi appartenenti alla consorteria.

Gli indagati attivavano presso i provider delle caselle di posta elettronica certificata (PEC) con indirizzi del tutto simili – differenti magari solo per il dominio su cui erano attivate – a quelle effettivamente in uso ad alcuni istituti di credito. Ad esempio è stata creata la mail fraudolenta ingdirect@pec.it al posto di quella ing.bank@legalmail.it oppure quella fraudolenta chebanca@pec.it al posto di chebanca.pec@legalmail.it. Queste caselle di posta certificata erano attivate, sempre via web, fornendo delle false identità, talvolta completamente inventate e talvolta rubate ad ignare vittime, senza che vi fosse alcun controllo né sulla reale identità di colui che le attivava né sul suo titolo ad operare in nome e per conto di quell’istituto di credito.

A questo punto i malfattori, per il tramite di alcune Camere di Commercio alle quali venivano inoltrate richieste di variazione dell’indirizzo PEC di alcuni istituti di credito, ottenevano la sostituzione di quello genuino con quello fraudolento – in tutto simile a quello originale – ma da loro attivato.

Una volta modificato e pubblicato, il falso recapito web della banca veniva automaticamente aggiornato in tutti i principali elenchi online (registroimprese, Telemaco-infocamere, inipec.it etc).

Interponendosi con questo stratagemma tra il cliente interessato a contattare la banca e l’istituto di credito, mettendo in atto una tipica modalità di attacco cibernetico conosciuta con l’acronimo inglese M.I.T.M. (man in the middle), i truffatori ricevevano la mail del cliente che credeva di contattare la propria banca per rappresentare le proprie necessità (ad esempio chiusura o apertura di conti correnti ovvero successioni mortis causa) e, una volta stabilito il contatto, carpivano la fiducia delle vittime e le inducevano a fornire le credenziali di accesso ed i codici operativi dei conti che utilizzavano per sottrare il denaro.

I proventi sottratti venivano riciclati attraverso una sequenza di svariati bonifici effettuati su una serie di conti correnti, aperti fraudolentemente e, in taluni casi, intestati alle stesse ignare vittime.

Qualora invece le disponibilità presenti sui conti correnti di cui si appropriavano erano di lieve consistenza, provvedevano all’azzeramento del saldo del conto attraverso acquisti di merci su siti di e-commerce, facendosi poi recapitare i beni presso indirizzi di comodo nei comuni di residenza. Inoltre, al fine di rendere più credibile la loro truffa, i malfattori avevano creato anche profili facebook intestati alle identità fraudolente e, per renderle più credibili, inserivano foto, curriculum e falsi loghi per spacciarsi per impiegati degli istituto di credito.

Gli elementi di prova raccolti hanno evidenziato l’esistenza di un sodalizio criminale ben strutturato che aveva in programma un numero indeterminato di reati al cui vertice vi è TRICARICO Giuseppe Cesare che è il promotore organizzatore e dirigente del gruppo ed è coadiuvato dal fratello TRICARICO Davide. I due, nonostante fossero entrambi sottoposti, da tempo, alla misura cautelare degli arresti domiciliari, in ragione del loro coinvolgimento in un indagine della Procura di Reggio Calabria per reati analoghi a quelli oggi contestati, hanno potuto continuare ad organizzare e promuovere l’attività illecita con l’ausilio dei conterranei AMEDURI Nicola e PORPORINO Nicodemo. AMEDURI è il braccio di TRICARICO Giuseppe per conto del quale svolge le attività che questi, stante il provvedimento limitativo della sua libertà personale, non può compiere, si reca agli incontri con gli altri associati, attiva le schede telefoniche indispensabili per compiere i reati, ritira la corrispondenza, contatta i corrieri che devono recapitare la merce acquistata etc. PORPORINO e CANCELLI Antonello, quest’ultimo residente nella provincia dell’Aquila, si mettono a disposizione quali terminali cui fare confluire il denaro, dopo i vari passaggi intermedi per ripulirlo, che viene da loro incassato presso conti correnti a loro intestati e poi girato in contanti a TRICARICO Giuseppe.

L’essere sottoposti alla misura cautelare degli arresti domiciliari non ha interrotto l’attività criminale del gruppo che, sfruttando la pregressa esperienza maturata sul campo, ha affinato le metodologie e le modalità di commissione delle truffe on line, incrementando, nel contempo, le cautele necessarie a condurre l’attività criminale. Pertanto gli associati ponevano massima attenzione nel non utilizzare mai i propri nomi per compiere qualsiasi attività riconducibile ai reati messi in atto, controllavano con maniacale attenzione le proprie autovetture temendo che vi fossero delle cimici, avendo cura di non utilizzare mai schede telefoniche a loro riconducibili.

Uno dei metodi posti in atto per sottrare denaro alle vittime era quello di simulare l’esistenza di un SDD a loro carico. SDD è l’acronimo di SEPA Direct Debit. Si tratta di uno strumento SEPA per l'incasso pre-autorizzato su mandato all'addebito richiesto dal debitore a favore di un suo creditore. Nello schema di SEPA Direct Debit (SDD) il mandato è il contratto con il quale il debitore fornisce due distinte autorizzazioni. Autorizza il creditore a disporre uno o più addebiti a valere sul proprio conto. Autorizza altresì la propria banca ad addebitare il conto in base alle suddette istruzioni fatte pervenire tramite il creditore.

Nello specifico le indagini hanno permesso di accertare come TRICARICO Giuseppe, sempre utilizzando le false identità, dapprima arruolasse inconsapevoli collaboratori – facendogli credere di essere operatori esterni di istituti di credito – e successivamente tramite il loro operato, mettesse a segno l’attività illecita. In particolare, il TRICARICO faceva intendere a questi ignari collaboratori, cui affidava il compito di processare i mandati SDD attraverso le loro società, di essere il responsabile di un’agenzia di recupero credito cui vari soggetti (istituti bancari, Agenzia delle Entrate e Tribunali) affidavano il compito di recuperare i lori crediti vantati. Questi collaboratori avrebbero dovuto istruire digitalmente l’iter degli SDD, acquisire sui loro conti correnti i pagamenti dei debitori e, trattenuta la loro commissione, rigirare sui il denaro sui conti indicati dal TRICARICO. Nel breve periodo di indagine è stato documentato un vorticoso giro di SDD messi all’incasso, 124 in uso solo giorno per un contro valore di quasi 200 mila euro.

Numerosi i reati ricostruiti tra cui se ne citano alcuni emblematici del modus operandi.

Una donna della Provincia di Milano contatta la falsa Pec artatamente creata dagli indagati per chiudere il proprio conto corrente. TRICARICO Giuseppe, utilizzando un’identità rubata ad un altra vittima la ricontatta telefonicamente, spacciandosi per il funzionario della banca incaricato di gestire la pratica di chiusura del conto e riesce a farsi indicare i codici per operare su quel conto. All’esito delle telefonate con la donna la convince che il suo conto è stato chiuso ma, in realtà, egli ha sostituito tutti i recapiti della donna con altri a lui riconducibili e poiché sul conto vi erano pochi euro, ha utilizzato la carta di credito abbinata a questo conto per compiere una serie di acquisti on line di varia merce fino al limite massimo di spesa di mille auro.

Un’altra donna sempre di Milano veniva contatta telefonicamente da TRICARICO Giuseppe il quale, spacciandosi per un funzionario della banca della donna, la informava che per motivi di sicurezza andavano cambiati alcuni dati anagrafici nel suo sito di home banking e la invitava a riferirgli le credenziali di accesso e le chiedeva una OTP (one time password) indispensabile per le operazioni dispositive. La donna glieli forniva ma poco dopo riflettendo sulla conversazione appena avuto aveva l’accortezza di verificare la sua situazione bancaria scoprendo che era appena stato effettuato un bonifico di 49mila euro dal suo conto corrente verso un conto corrente intestato ad una terza persona, a sua volta raggirata.

Un uomo di Bergamo, la cui moglie è deceduta, viene contattato da TRICARICO il quale, ancora una volta, utilizza l’identità rubata ad una vittima per spacciarsi per il funzionario della banca. Questi blandisce l’uomo facendogli intendere di potere risolvere in tempi rapidi il problema della successione alla moglie nel conto corrente e gli propone, per accelerare le procedure, di fornirgli i codici per operare via internet sul conto della defunta al fine di fargli incassare immediatamente le somme depositate mediante un giroconto sul conto corrente dell’uomo. L’anziano, per sua fortuna, gli fornisce dei codici sbagliati ed allora TRICARICO gli suggerisce di recarsi in filiale per farsi consegnare dei nuovi codici per operare on line dal momento che quelli erano bloccati. L’uomo si reca presso la filiale ma qui interviene l’impiegata della banca, salvandolo dal truffatore, poiché contatta TRICARICO, sempre sotto le sue false generalità, e gli chiede ragione della procedura anomala suggerita al cliente. TRICARICO si giustifica goffamente e da quale momento non risponde più alle ulteriori chiamate che gli vengono indirizzate.

Le indagini hanno fatto luce sul sistema utilizzato anche per riciclare il denaro carpito alle vittime attraverso passaggi in vari conti correnti, bancari e postali, al fine di rendere più complesso seguire i flussi finanziari. Pertanto oltre alle misure cautelare personale è stato dato esecuzione anche al sequestro preventivo di ben 31 rapporti finanziari alcuni dei quali intestati direttamente agli indagati ed ai loro prossimi congiunti ed altri invece intestati a nome di ignare vittime le cui identità erano state rubate ed utilizzate per accendere questi conti di fatto gestiti dagli indagati.

Il provvedimento cautelare eseguito oggi ha interrotto l’attività criminale in corso evitando che ulteriori vittime potessero cadere nella rete dei truffatori. Le perquisizioni ed i sequestri potranno fornire ulteriori elementi investigativi ricavati dall’esame del copioso materiale informatico acquisito e dall’analisi dei flussi finanziari dei conti correnti sequestrati anche perché si ha motivo di ritenere che parte dei proventi illeciti siano stati investiti nell’acquisto di bitcoin, la moneta virtuale utilizzata anche per effettuare acquisti di armi e merci illegali nel deep web.

I Carabinieri del Comando Provinciale di Messina hanno eseguito 5 provvedimenti a carico dei sottonotati indagati:

TRICARICO Giuseppe Cesare, 37enne il 11.4.1981 di Gioiosa Ionica (RC)

TRICARICO Davide, 33enne, di Grotteria (RC)

AMEDURI Nicola, 35enne di Gioiosa Ionica (RC)

PORPORINO Nicodemo, 54enne di Grotteria (RC)

CANCELLI Antonello, 35enne della provincia dell’Aquila.