Questa mattina la Polizia Postale, in una operazione condotta insieme al commissariato di Torre del Greco e coordinata dalla Procura di Torre Annunziata, ha smantellato una banda di truffatori che prendeva il controllo dei conti correnti di ignari utenti e li svuotava con prelievi al bancomat. Accertate truffe per 94mila euro, ma i proventi potrebbero essere molti di più. Oltre al fatto che tantissime persone non denunciano, c'è un particolare emerso durante le indagini: uno dei truffatori, quando si presentava al telefono, utilizzava sempre lo stesso nome, che poi ricorre in molti altri casi esterni a questi indagini: potrebbe trattarsi quindi della stessa banda. Intervistata da Fanpage.it, Maria Rosaria Romano, primo dirigente della Polizia di Stato e alla guida del Compartimento Polizia Postale e delle Comunicazioni Campania, spiega come funzionava la truffa e quali sono i consigli per evitarla.

Dottoressa Romano, in che modo i truffatori controllavano i conti correnti delle vittime?

Partivano da database di numeri di telefono che acquistavano illegalmente su Internet. Poi contattavano tutti gli utenti, usando tecniche di smishing o di phising o entrambe. Nel primo caso alla vittima veniva inviato un sms che conteneva un link che portava a un sito simile a quello di un istituto di credito e le si chiedeva di inserire le credenziali di accesso motivandolo con problemi di sicurezza o altre scuse. Nel secondo caso l'sms avvisava che la vittima sarebbe stata contattata da un operatore bancario, quindi si passava anche al phishing. Il numero che la vittima visualizzava sul display del cellulare era quello del numero verde di una banca (da qui il nome dell'operazione, ndr), in realtà faceva parte della truffa: il mittente veniva camuffato con tecniche di spoofing.

Una volte ottenute le credenziali di accesso cosa succedeva?

Per effettuare le operazioni avevano bisogno di avere anche il telefono collegato a quelle credenziali. Così si facevano consegnare dalla vittima anche il codice segreto che le arrivava sul cellulare e che serviva a disabilitare quel terminale per autorizzare un altro dispositivo, il loro. In questo modo potevano usare gli Atm cardless, quelli che permettono il prelievo anche solo coi codici, senza essere in possesso fisicamente della carta. Alla vittima veniva detto che per tre giorni non avrebbe potuto controllare la banca online per questioni di aggiornamenti di sistema: in realtà questo succedeva perché il suo telefono cellulare non era più autorizzato all'accesso.

Come venivano utilizzati i soldi prelevati dai conti?

Le somme venivano reinvestite per beni, come per l'iPhone e il collier che abbiamo ritrovato nel corso di un controllo e che hanno dato il via alle indagini. O venivano usati per transazioni in bitcoin che, in quanto criptovaluta, sono difficilmente tracciabili.

In casi del genere la banca riconosce la truffa e risarcisce il cliente?

Non sempre, perché questo tipo di truffe prevede una negligenza da parte delle vittime. Tra le clausole dei contratti c'è anche quella di non consegnare mai le password ad altre persone, quindi capita che l'istituto di credito non risarcisca in caso di truffe messe a segno con queste tecniche. In ogni caso la denuncia va fatta sempre e quanto prima, anche perché può servire a rientrare in possesso della somma truffata nel caso si sia riusciti a congelarla.

Lei diceva che i messaggi e le telefonate sembrano davvero arrivare dalla banca. Come ci si fa a difendere?

Innanzitutto i numeri verdi sono di informazione, è l'utente a chiamarli e non viceversa, non vengono usati dalla banca per contattare il cliente. Inoltre, nessuna banca chiederà mai di fornire credenziali al telefono o invierà link chiedendo di inserirle in un sito. Le password non vanno date a nessuno e non andrebbero nemmeno salvate sul cellulare; sarebbe preferibile utilizzare combinazioni alfanumeriche invece di quelle più semplici. E non bisogna inserire le proprie credenziali su siti web sconosciuti o della cui attendibilità non siamo sicuri.

Se volessimo fare un identikit di truffatori e vittime?

Per le vittime non è possibile: è una truffa che può colpire chiunque, a prescindere dall'età e dall'estrazione sociale. Il truffatore, invece, non è necessariamente un pregiudicato o un criminale; sicuramente è un soggetto che ha dimestichezza con le procedure informatiche, spesso piuttosto giovane. Sulla banda destinataria dell'ordinanza di oggi ci sono ancora accertamenti, pensiamo che le vittime possano essere molte di più. Se qualcuno ritiene di essere caduto in questa truffa, non esiti a contattare la Polizia.