Il vademecum

Truffe online e riciclaggio, tutte le tipologie e i suggerimenti per evitare rischi

Phishing, man-in-the-middle, fake crowdfunding: vediamo come viene declinato il reato di truffa nel mondo online e le differenze con l’attività di riciclaggio, per capire come contrastare questi fenomeni

23 Giu 2020
G
Filippo Graziano

Consulente in Antiriciclaggio e Privacy


Sempre più spesso si sente parlare di truffe online che sono dirette conseguenze dell’aumento, appunto, delle trattative commerciali eseguite attraverso questo canale. Proviamo, quindi, a delinearne gli elementi principali, precisando che la truffa online non è un’autonoma fattispecie di reato, ma deve essere ricondotta nel concetto generale di truffa ex art. 640 c.p. e vediamo come anche da questo tipo di reato è possibile essere incriminati per riciclaggio o autoriciclaggio.

Differenza tra truffa e riciclaggio

L’art. 648 del Codice penale così disciplina il reato di truffa:

Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549:

  1. se il fatto è commesso a danno dello Stato o di un altro ente pubblico o col pretesto di far esonerare taluno dal servizio militare;
  2. se il fatto è commesso ingenerando nella persona offesa il timore di un pericolo immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’autorità;
  3. se il fatto è commesso in presenza della circostanza di cui all’articolo 61, numero 5, (l’avere profittato di circostanze di tempo, di luogo o di persona, anche in riferimento all’età, tali da ostacolare la pubblica o privata difesa).

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze previste dal capoverso precedente o un’altra circostanza aggravante.

Si rileva prima di tutto che trattasi di un “delitto non colposo”. Vedremo l’importanza di quest’aspetto quando parleremo dell’autoriciclaggio.

Inoltre, la truffa è sostanziabile in un comportamento che induce in errore la persona danneggiata, attraverso un raggiro o un artifizio, infatti, la vittima viene indotta a percepire la realtà in maniera errata e, di conseguenza, a costituire una volontà che sarebbe stata diversa senza tali raggiri o artifizi.

La truffa si perfeziona non con l’errore ma con la volontà da parte del truffatore di non adempiere all’obbligazione assunta. Il momento in cui si concretizza il reato non è così quello del regolamento monetario, quanto quello del carente adempimento dell’obbligazione.

Nel momento in cui l’autore della truffa immette nel mercato, il frutto del reato commette Il reato di autoriciclaggio che è previsto dall’art. 648-ter che afferma:

Si applica la pena della reclusione da due a otto anni e della multa da euro 5.000 a euro 25.000 a chiunque, avendo commesso o concorso a commettere un delitto non colposo, impiega, sostituisce, trasferisce, in attività economiche, finanziarie, imprenditoriali o speculative, il denaro, i beni o le altre utilità provenienti dalla commissione di tale delitto, in modo da ostacolare concretamente l’identificazione della loro provenienza delittuosa.

Fuori dei casi di cui ai commi precedenti, non sono punibili le condotte per cui il denaro, i beni o le altre utilità vengono destinate alla mera utilizzazione o al godimento personale. (…)

La condotta dell’autore del reato di autoriciclaggio, quindi, consiste nella sostituzione, nel trasferimento o nella fruizione dei proventi del reato.

In termini ancora più esemplificativi, l’autoriciclaggio ingloba nelle proprie previsioni sia la condotta tipica del riciclaggio che quella del successivo reato di impiego.

Il legislatore sembra abbia voluto sanzionare solamente quelle condotte che sono dotate di una specifica capacità ingannatoria.

Se invece il frutto del reato è immesso nel mercato attraverso persone che non hanno partecipato alla condotta illecita allora in questo caso sono applicabili le sanzioni previste per il reato specifico di riciclaggio.

Truffe online e coronavirus

Consideriamo alcune ultime tipologie di truffe online, alcune collegate con il fenomeno della Covid-19.

Attacco Man-in-the-middle

La tecnica consiste nel frapporsi tra due soggetti assumendo l’identità di uno di essi e nell’intrattenere con l’ignaro interlocutore rapporti per acquisire informazioni riservate e distrazione di bonifici e pagamenti vari.

In un dialogo online, di solito per motivi di lavoro, una terza persona si sostituisce a una delle due per estorcere soldi all’altra informazioni riservate e distrazione di bonifici e pagamenti vari.

WHITEPAPER
Sicurezza nel cloud: una guida ad architetture e soluzioni
Cloud
Sicurezza

“La modalità più frequente di attuazione della condotta criminosa – spiegano gli investigatori della postale – è quella dell’accesso abusivo informatico a caselle di posta elettronica e altri account in uso alla vittima. L’hacker è così in grado di osservare e intercettare, gestendo in prima persona attraverso Protocollo IMAP il client di posta, ovvero di incanalare verso una cartella nascosta, sotto il suo diretto controllo, le mail provenienti dal soggetto interessato consentendogli, all’insaputa delle parti, di leggere, alterare o modificare il contenuto della corrispondenza”.

Phishing

Per phishing si intende il furto massivo di identità digitali attraverso mail varie che inducono la vittima a rilasciare direttamente le proprie informazioni personali stratagemmi (username, password e informazioni personali).

L’obiettivo di queste fregature informatiche è fare incetta di dati personali e, quindi, estorcere con l’inganno dei soldi.

Packaging e invoice spam

Con un’e-mail indicante l’acquisto errato è richiesto l’apertura di un pdf allegato che contiene un exploit, che alla fine ha trasferito il trojan Emotet sul vostro dispositivo.

Truffe sui biglietti online

Sono truffe dirette ai consumatori che sono indotti a comprare biglietti falsi per eventi sportivi o concerti (di solito di alto profilo). I biglietti falsi tendono a essere duplicati, o hanno un codice a barre contraffatto che non consente l’ingresso e nella peggiore delle ipotesi, non è stato emesso alcun biglietto.

Digital extortion

Truffa online utilizzata dai criminal hacker per estorcere denaro alle proprie vittime mediante ricatti sessuali (sextortion) effettuati sui social network o attraverso finte e-mail minatorie.

Ad esempio, è successo che il truffatore dica di aver preso il controllo del vostro monitor e della vostra webcam, e di aver registrato sia voi sia il materiale pornografico e di aver creato un video. E minaccia di inviare il video a tutti. A questo punto il truffatore recita la parte del “buono” e vi promette di non diffondere il video e di far sparire tutto per la misera somma di mille dollari in Bitcoin.

Fa parte anche di quest’attività criminosa l’adescamento online L’adescamento online è un lento processo avviato da un adulto abusante che usa le nuove tecnologie per cercare contatti, manipolare psicologicamente dei minori al fine di costruire relazioni pseudo-sentimentali finalizzate a indurre e coinvolgere minori in azioni sessuali reali e/o tecnomediate.

Il fenomeno ha conosciuto un progressivo recente aggravamento in relazione alla concomitante diffusione delle nuove tecnologie fra giovani e giovanissimi. Sempre più spesso i pedofili usano i social network per individuare i loro target, sfruttando l’inesperienza informatica e la smania di protagonismo dei giovani che espongono larga parte della loro vita pubblica e privata in rete, facilitando gli abusanti nell’individuare le vittime geograficamente più prossime, le fasce di età preferite, genere e atteggiamenti più attraenti per loro.

Le messaggistiche istantanee (ad esempio: WhatsApp), che hanno attualmente soppiantato quasi in toto l’uso degli SMS e degli MMS, ha condotto gli abusanti online a scegliere sempre più spesso quale teatro dei tentativi di “aggancio” di potenziali vittime servizi come WhatsApp, Snapchat, Telegram ecc., privilegiando tra questi quelli che rendono tecnicamente più difficile l’identificazione degli utilizzatori.

Molti adescatori, groomer, si dedicano quasi esclusivamente a questo tipo di attività, privilegiando la dialettica tecnomediata con i minori ai contatti con altri abusanti per condividere il materiale pedopornografico.

L’interesse prioritario di questi soggetti è di costruire una relazione che induca il minore in uno stato di soggezione psicologica tale da condurre la vittima a essere sempre più collaborativa e fiduciosa delle buone intenzioni dell’adulto, colludendo con le richieste di segretezza e preparando il terreno a incontri reali.

Non è raro che, nel processo di adescamento, l’abusante invii al/la ragazzo/a immagini di pornografia e/o pedopornografia, per aumentarne la familiarità con la sessualità e tentare di “normalizzare” le azioni sessuali richieste nonché, più in generale, le relazioni sessuali tra adulti e minorenni.

Le immagini sessuali che le vittime sono indotte a produrre scattandosi foto intime o girando brevi filmati con i telefonini, possono divenire fonte di profitto per l’abusante, elemento di scambio e accredito in circuiti di pedofili o essere oggetto di minacce affinché il minore accetti di compiere altre azioni sessuali.

Fake crowdfunding

Questo tipo di truffa fa leva sulla volontà della gente di aiutare qualcuno nel momento del bisogno. I truffatori s’inventeranno qualche storia commovente mentre utilizzano siti web di crowdfunding.

Truffe online: le segnalazioni della Polizia Postale

Vediamo, da ultimo, alcune notizie della Polizia Postale per truffe online inerenti al coronavirus.

BlackNET: RAT distribuito tramite falso “Corona Antivirus”

Scoperto un sito web (antivirus-covid19[.]site) che pubblicizza un prodotto fake chiamato “Corona Antivirus”, un antivirus digitale che promette di proteggere dall’attuale virus Covid-19.

Una volta installata, l’applicazione scarica sul PC della vittima un malware identificato come BlackNET, nascosto all’interno di un programma commerciale, in grado di aggiungere la macchina compromessa a una botnet, cioè a una rete di pc controllati da remoto da un amministratore occulto che così è in grado di lanciare attacchi DDoS, fare screenshot, scaricare file, rubare dati, sottrarre password salvate, fungere da keylogger, eseguire script e rubare da wallet di criptomoneta.

Phishing e malware

Ravvisato invio di messaggi e-mail e non solo, del malware infostealer AZORult.

Nella circostanza i criminali hanno spacciato la minaccia informatica per un’applicazione che mostra la mappa della diffusione del virus nel mondo: la GUI (Graphical User Interface) che risulta particolarmente verosimile a quella ospitata sui sistemi della Johns Hopkins University (ArcGIS).

Il virus AZORult, oltre a scaricare ulteriori minacce nelle macchine colpite, è in grado di raccogliere informazioni come nome, ID/password, numero della carta di pagamento, cryptovalute e altri dati sensibili presenti nei browser; alcune varianti consentono anche connessioni di tipo Remote Desktop Protocol (RDP).

False campagne di raccolta fondi per coronavirus

Grazie ad una tempestiva operazione della Polizia Postale di Savona, è stata sventata una truffa in danno della raccolta fondi organizzata dal Sindaco di Pietra Ligure in favore del reparto di terapia intensiva del locale Ospedale Santa Corona.

I criminali avevano dato vita a un ingegnoso piano creando sulla piattaforma gofundem.com una pagina clone molto simile all’originale in grado di intercettare le somme messe a disposizione da generosi benefattori.

False campagne di raccolta fondi finalizzate ad affrontare la situazione di emergenza per la diffusione della Covid-19 per Ospedale Sant’Anna ASST Lariana di Como. La falsa campagna, attivata sul sito di crowdfunding, utilizzava il nome e l’immagine dell’Ospedale Sant’Anna di Como, che ha sporto denuncia alla Polizia di Stato.

Anche l’ospedale “San Raffaele” di Milano ha denunciato alla Polizia Postale una falsa raccolta di fondi, a favore della stessa struttura, finalizzata all’ acquisto di materiale destinato alla terapia intensiva, riportando un falso IBAN.

False proposte assicurative per la copertura da Covid-19

Un’altra delle numerose campagne di phishing che stanno cavalcando cinicamente l’onda della pandemia da coronavirus finge di fornire un’assicurazione sanitaria per poi sottrarre credenziali di login di Microsoft Office 365.

Le vittime ricevono un’e-mail che propone l’aggiornamento della loro attuale polizza assicurativa sanitaria mirato a comprendere anche la copertura per la Covid-19. Cliccando sul pulsante che consente di completare il pagamento dell’importo, le vittime, sono reindirizzate a un sito di phishing.

In alcuni casi i cyber criminali hanno imitato una comunicazione del Direttore esecutivo di un’azienda relativa a nuovi piani assicurativi con copertura per il nuovo virus. Cliccando sul bottone per la visualizzazione del documento informativo gli utenti sono stati reindirizzati a un sito malevolo.

Come difendersi dalle truffe online

Si riportano qui di seguito gli accorgimenti di volta in volta indicati da vari organi per evitare, o almeno attutire queste truffe online:

  • non mettere password ovvie, come il compleanno o nome e cognome. Più complessa è e meglio sarà;
  • non cliccare link sconosciuti e non dare password e/o dati sensibili a terzi non conosciuti;
  • non scaricare file di non cui si conosce il contenuto;
  • pagare, se si ha la possibilità, sempre con la PayPal;
  • verificare l’attendibilità del sito web su cui stiamo facendo acquisti;
  • cambiare spesso password per tutelare i dati personali;
  • controllare sempre i propri movimenti bancari.
  • contattare direttamente telefonicamente, sui contatti già in proprio possesso, i propri partner nel caso si notassero discrepanze relative alle modalità di pagamento (cambio di IBAN, ad esempio);
  • cambiare sovente le password e verificare se le regole predefinite di ricezione delle mail sono state cambiate;
  • proteggere la rete Wi-Fi utilizzando password efficaci;
  • attivare l’autenticazione a due fattori per l’accesso ai servizi di home banking;
  • prestare attenzione nell’uso degli smartphone, che ci facilitano la vita, ma non ci permettono di vedere errori grossolani fatti dai malviventi che su un normale computer sarebbero facilmente individuabili;
  • aggiornare sempre il sistema operativo;
  • installare un antivirus e antimalware;
  • sensibilizzare e aggiornare il personale preposto al pagamento delle transazioni commerciali informandolo riguardo tali fenomeni di hacking;
  • controllare l’indirizzo e-mail: sebbene il nome del mittente sia “Ufficio Abbonamenti TV”, l’indirizzo e-mail non avrà nulla a che fare con esso;
  • un truffatore non si rivolge quasi mai a voi chiamandovi per nome – useranno il vostro nome utente indicato nella vostra e-mail, si rivolgeranno a voi con un “Caro cliente”. Se ci fate caso, le aziende attendibili si rivolgono direttamente a voi soprattutto quando si tratta di questioni importanti o economiche o che riguardano i vostri account;
  • passate con il mouse sul link su cui vi si chiede di cliccare (senza cliccare ovviamente) – se vi sembra insolito, molto probabilmente è falso e andare su quel sito web e inserire i dati della vostra carta di credito purtroppo servirà solo a finanziare i criminali informatici, non a rinnovare il vostro abbonamento TV;
  • nel caso riscontriate pure numerosi errori ortografici e grammaticali o loghi sfocati allora l’e-mail potrebbe non essere legittima;
  • se un’e-mail chiede di agire immediatamente o suscita curiosità, bisogna essere cauti e sospettosi;
  • non rispondere mai a un’e-mail non sollecitata che vi chiede informazioni personali, finanziarie o sensibili;
  • tipo di file inusuale; se il file vi sembra strano, non apritelo.

Come denunciare le truffe online

Chi è stato vittima di truffe online può, innanzitutto, sporgere denuncia e cercare di recuperare la cifra che è stata estorta ingiustamente. Basta rivolgersi alle forze dell’ordine come la Polizia Postale, ramo della Polizia specializzato in reati informatici

La vittima di una truffa online può sporgere denuncia presso la Procura della Repubblica che agirà aprendo un apposito fascicolo per truffa online ai danni del soggetto denunciante. Se l’illecito è in corso, la denuncia può essere fatta oralmente di persona o per telefono, chiedendo il pronto intervento per impedire il protrarsi della situazione antigiuridica.

Invece, per casi di minore urgenza si può procedere con la denuncia in forma scritta da presentare agli uffici della Polizia.

webinar - 22 luglio
Trend e nuove tecnologie per l'infrastruttura di rete del futuro
Networking
Software

@RIPRODUZIONE RISERVATA

Articolo 1 di 5