BASTA UN'EMAIL PER FREGARE 17 MILIONI DI EURO A UNA MULTINAZIONALE ITALIANA - MAIRE TECNIMONT HA SUBITO LA ''TRUFFA DEL CEO'': UN MESSAGGIO INVIATO DA UN FINTO AMMINISTRATORE DELEGATO A UN DIRIGENTE CON POTERE DI SPESA, CON L'ORDINE DI FAR PARTIRE BONIFICI MILIONARI - IL TRIBUNALE DI MILANO HA DOVUTO ARCHIVIARE L'INDAGINE PERCHÉ LA TRUFFA È AVVENUTA ''ESTERO SU ESTERO''. ECCO COME FUNZIONA
La multinazionale italiana Maire Tecnimont ha subito due truffe milionarie ordite mediante lo stesso stratagemma, la cosiddetta "truffa del Ceo". A riportare la vicenda, avvenuta tra ottobre e novembre dello scorso anno, è stato Luigi Ferrarella sul "Corriere della sera". A stupire è l'apparente facilità con cui qualcuno, ancora ignoto, è riuscito a distrarre milioni di euro dalle casse della multinazionale, un colosso del settore ingegneristico ed energetico nato nel 2005 e con sede a Milano, alla cui Borsa è quotata dal 2007.
In entrambi i casi, infatti, il meccanismo alla base della truffa è stato lo stesso: qualcuno avrebbe inviato delle mail dagli account di vertici della multinazionale (anche se in un caso l'indirizzo differiva da quello vero per un carattere) e avrebbe ordinato di far partire dei bonifici milionari, giustificandoli con operazioni da eseguire in gran segreto o restituzioni di finanziamenti avvenuti all'interno del gruppo.
Come sono avvenute le due truffe
La seconda truffa in ordine di tempo è stata anche la più grande. Una mail, apparentemente inviata il 13 novembre 2018 dall'amministratore delegato di Tecnimont Spa, aveva ordinato al capo della controllata indiana del gruppo di effettuare tre bonifici all'estero per complessivi 18,6 milioni di euro necessari per completare un'acquisizione segreta di cui non avrebbe dovuto parlare con nessuno, tranne che con un fantomatico avvocato di Ginevra. Proprio parlando via mail e telefono con questo legale, in realtà inesistente, il capo della controllata indiana ha eseguito i tre bonifici su conti correnti in Cina. Solo dopo nove giorni il vero presidente di Tecnimont, durante un viaggio in India, è venuto a sapere della fantomatica acquisizione e dei bonifici.
Troppo tardi: la gran parte dei soldi era già stata spostata su altri conti e le autorità cinesi sono riuscite a bloccare e recuperare solo cinque milioni di euro. Appena due settimane prima una truffa analoga aveva coinvolto la controllata araba del gruppo: in quel caso a inviare la mail che ordinava di eseguire un bonifico di cinque milioni di euro a una banca londinese era stato, apparentemente, il direttore finanziario della capogruppo Maire Tecnimont. In realtà però qualcosa nell'indirizzo mail non tornava: mancava una "i". Il malcapitato manager che ha ricevuto la mail non se ne sarebbe accorto, se non quando alcuni giorni dopo ha ricevuto l'ordine di eseguire un nuovo bonifico. A quel punto, però, buona parte dei soldi già versati erano spariti.
Secondo quanto riferito dal Corsera, l'azienda ha presentato due denunce alla procura di Milano, ma le indagini sono state bloccate per "difetto di giurisdizione": le operazioni finanziarie truffaldine sono infatti state eseguite all'estero verso l'estero. Sembra dunque difficile che la multinazionale riuscirà a recuperare i soldi persi a causa di quella che sembra essere stata una variante della famosa "truffa del Ceo", che dopo aver mietuto vittime all'estero si è diffusa anche in Italia.
2. CHE COS'È LA TRUFFA DEL CEO
Lorenzo Longhitano per https://tech.fanpage.it/
C'è una telefonata in arrivo dal direttore finanziario della casa madre, in Irlanda, che per qualche motivo cerca proprio te: l'addetto alla contabilità della filiale italiana. Pare che l'azienda stia per portare a termine un'acquisizione fondamentale, ma che per finalizzarla manchi liquidità — un milione di euro che andrebbero prelevati dalla sede locale e girati su un conto estero, velocemente e con la massima discrezione. Che fai?
La risposta non è così scontata e lo scenario appena descritto in effetti è diventato tristemente famoso all'estero con un nome che da noi è difficile da tenere a mente: la truffa del CEO. Si tratta di un raggiro che unisce attacco cibernetico e ingegneria sociale, che da noi è arrivato in ritardo rispetto ad altri Paesi ma che purtroppo sta iniziando a spopolare fino a far perdere alle aziende milioni di euro. A Fanpage.it l'ha raccontato Marianna Vintiadis la Managing Director e capo delle operazioni nel sud Europa di Kroll, azienda specializzata tra le altre cose nella sicurezza informatica, nelle investigazioni e nella risposta a questo tipo di minacce a livello globale.
Come funziona la truffa del CEO
L'obbiettivo dei truffatori è solitamente un'azienda multinazionale, ma non mancano i casi di attacchi a gruppi esclusivamente tricolore. Lo svolgimento è sempre il medesimo: una persona si finge una figura preminente nell'organigramma della società e chiama al telefono una figura contabile all'interno della filiale locale per chiederle di effettuare un pagamento. I due elementi chiave della telefonata sono urgenza e confidenzialità, mentre il tono e i contenuti della conversazione sono tipicamente quelli già riportati. Una chiusa ad effetto del finto dirigente — "mi raccomando, mi fido di te" — suggella il patto segreto tra truffatore e vittima. Il contabile agisce e fa partire il denaro sul conto richiesto. Il credito viaggia alla velocità della luce transitando spesso dalla Cina ma per poi finire ovunque nel mondo, sostanzialmente impossibile da recuperare.
Come viene trovata e raggirata la vittima
Il sistema, racconta Vintiadis, "prevede una componente cibernetica e una di ingegneria sociale". Dopo aver preso di mira un'azienda, i truffatori cercano la vittima da raggirare tentando di ricostruire un organigramma della società utilizzando i social network — da Facebook a Linkedin passando per Twitter e gli altri — alla ricerca di una figura che abbia accesso alle operazioni bancarie del gruppo.
Le telefonate avvengono in alcuni casi in italiano, ma spesso in inglese (un fatto tutto sommato normale in ambito multinazionale, ma ancora in grado di mettere sotto pressione i dipendenti nostrani da un punto di vista psicologico). Esistono poi casi più sofisticati nei quali si verifica anche una violazione dei sistemi email azientali: in questo caso tra i truffatori si nasconde anche un hacker che si impadronisce temporaneamente della casella postale della figura impersonata, per effettuare eventuali scambi di conferma con la vittima senza che lascino traccia sui server aziendali.
Perché sta spopolando in Italia
La truffa del CEO non è nulla di nuovo, ma in Italia sembra stia trovando un terreno particolarmente fertile fin da quando è apparsa per la prima volta. I motivi sono difficili da isolare, ma Vintiadis prova a individuarne tre. Il primo è che nelle aziende nostrane spesso non sono previste procedure antifrode interne, che ad esempio vietano a chiunque abbia le mani sui conti di effettuare pagamenti prima di un controllo incrociato da parte di una seconda figura.
Il secondo è che, soprattutto da noi, la parola del capo vale più della regola: che un alto dirigente telefoni in prima persona a una filiale per ricevere un pagamento sostanzioso non viene dunque considerato assurdo, ma plausibile. Il terzo è il già citato elemento psicologico: quando qualcuno che si finge essere una figura di spicco per chiedere di effettuare un pagamento, "in pochi si chiedono come mai tra tutte le filiali abbia deciso di contattare la propria". Nelle modalità di attacco insomma è presente un elemento di gratificazione, che unito all'urgenza della richiesta, alla richiesta di confidenzialità e all'uso di una lingua diversa da quella meglio padroneggiata, fa in modo che le vittime non dedichino tempo a farsi le domande che sarebbe necessario porsi in una situazione del genere.
Sono gruppi ben organizzati
Oltre a chi si occupa di trovare e contattare le vittime, l'organizzazione è composta da personaggi in grado di mettere in piedi e far funzionare l'infrastruttura di transito del denaro estorto con l'inganno. "Studiando i passaggi bancari si nota una suddivisione dei pagamenti riceuti, che una volta giunti al conto di destinazione ripartono frazionati in numerosi altri Paesi", spiega Vintiadis. Perpetrate poi da un Paese terzo, queste truffe rendono molto difficili le indagini per le forze dell'ordine, le quali una volta arrivate al confine italiano devono chiedere la collaborazione dei Paesi nei quali i soldi sono transitati.
Le proporzioni del fenomeno
Difficile capire quante aziende finiscano vittime ogni anno di questo tipo di truffa. Vintiadis riferisce di essere passata, in Italia, dal ricevere una segnalazione all'anno a una al mese, ma si tratta solo delle vicende denunciate a Kroll, che sono tendenzialmente di alto profilo e riguardano la perdita "anche di decine di milioni di euro"; la maggior parte dei casi, che invece coinvolge aziende più piccole e importi minori, spesso non vengono neppure denunciati.
Inoltre non è possibile fare una stima ufficiale del fenomeno a livello nazionale, perché questo tipo di crimini non viene trattato in modo coordinato dalle forze di polizia, dando adito a volte a fenomeni paradossali: la società di consulenza ha scoperto ad esempio che in alcuni casi esaminati i numeri di telefono dai quali provenivano le chiamate erano identici per più aziende truffate, ovvero che dietro a più attacchi si cela inequivocabilmente lo stesso gruppo.
Come combatterla
Paradossalmente porre un freno al dilagare della truffa del CEO non dovrebbe essere difficile. "Nei Paesi in cui la truffa è arrivata prima" racconta Vintiadis "sono bastate alcune campagne informative ad ampio spettro a debellarla, tanto che le sedi centrali delle aziende colpite spesso si stupiscono di come in Italia questo trucco ancora funzioni". Grazie a queste campagne, altrove i dipendenti delle aziende potenzialmente nel mirino dei truffatori conoscono già le caratteristiche della minaccia; in alcuni Paesi sono state le società a formare il personale in questo senso, mentre in altri — come nel Regno Unito — ci ha pensato perfino il governo.
Sono però soprattutto i piani alti delle aziende a dover prendere coscienza del problema e capire cosa intendono fare in merito: oltre alla formazione (che "va svolta in modo coinvolgente, meno rigido") occorre infatti una reale divisione dei poteri in azienda, un sistema di controlli che impedisca del tutto a un solo dipendente di prendere decisioni potenzialmente disastrose per tutto il gruppo.
