Dati personali di clienti Treccani ed Editalia rubati e usati da società truffaldine per cercare di piazzare i propri prodotti spacciandosi per agenti delle due note aziende di editoria. E il GDPR? Completamente aggirato sfruttando un elaborato sistema a scatole cinesi basato su due imprese straniere di facciata affidate a prestanomi. La complessa architettura criminale, che fruttava milioni di euro con le attività di data washing, è stata scoperta dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di finanza, che ora ha indagato quattro persone e segnalato la vicenda al Garante privacy per avviare un’istruttoria parallela al percorso giudiziario ordinario.
La vicenda permette di riflettere sulle modalità di estorsione delle informazioni e su come i dati personali possano essere utilizzati per fini loschi: “Purtroppo reati come quello di cui discutiamo sono sempre più frequenti, le informazioni personali dei cittadini sono merce preziosa nell’ecosistema criminale e la loro disponibilità espone la privacy e la sicurezza degli individui a gravi rischi”, ha commentato Pierluigi Paganini, docente di cyber security all’università Luiss.
Indice degli argomenti
Raggiro dell’enciclopedia, cos’è successo
Nello specifico, gli operatori di un call center telefonavano alle vittima spacciandosi per agenti commerciali di Treccani e di Editalia e, usando la scusa di rivalutare le opere in possesso dei malcapitati, fissavano appuntamenti per cercare di vendere diversi prodotti. Solo che in realtà non si trattava di agenti delle due storiche aziende, le quali hanno scoperto e segnalato alla Guardia di finanza questa attività dopo le lamentele di alcuni clienti.
Erano infatti incaricati riconducibili a due Srl, società a responsabilità limitata, italiane che acquistavano i dati, con regolare fattura, da altre due aziende con sedi extra UE: una in Svizzera e una a Londra. I militari della Guardia di finanza hanno però scoperto che queste due imprese all’estero erano solo di facciata: non esistevano fisicamente e avevano come titolari un italiano già noto alle forze dell’ordine per numerosi precedenti e un cittadino rumeno residente in Campania. Si tratterebbe di due prestanomi. Il giro d’affari era imponente. Solo la società svizzera tra 2020 e 2021 ha registrato introiti per 2 milioni di euro, i conti però venivano subito svuotati.
Non è chiaro come in prima battuta i dati siano stati sottratti a Treccani e Editalia, parti offese in questa vicenda. Poiché non sono stati rilevati data breach, il sospetto è che all’origine possa esserci un’azione umana, come quella di un possibile dipendente infedele o di un intruso. La sottrazione da un database può avvenire anche in modo molto semplice: per esempio, con una fotografia con lo smartphone alla schermata del computer.
Le contestazioni e la segnalazione al Garante della privacy
Il nodo investigativo della vicenda che ha portato alle contestazioni formali è che le due Srl hanno utilizzato i dati senza ricevere espresso consenso. La Guardia di finanza ha contestato ai quattro titolari delle due società straniere e delle due Srl italiane gli articoli 167 e 130 comma 3 del Codice privacy, che riguardano il trattamento illecito dei dati e le comunicazioni indesiderate, oltre al principio di liceità e alle condizioni del consenso previsti dal GDPR.
I militari inoltre, dopo aver richiesto il via libera all’autorità giudiziaria, hanno trasmesso il fascicolo al Garante privacy per l’apertura di un’istruttoria, che potrebbe portare a sanzioni.
Telemarketing aggressivo, i consigli della Guardia di finanza
Come tutelarsi in caso si riceva chiamate di telemarketing sospette? Il colonnello Gian Luca Berruti, comandante del Gruppo investigativo del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di finanza, consiglia in primo luogo “di essere consapevoli che il GDPR tutela il dato personale: quando si viene contattati in maniera aggressiva la prima cosa da fare è contestare il fatto che non si è mai fornito il consenso a tale comunicazione. Non sono leciti trattamenti del dato che non abbiano ricevuto espresso consenso per finalità marketing”. Importante quindi “chiedere dove è stato ottenuto il proprio dato personale e da chi, poi far presente che non si ha mai fornito il consenso e ricordarsi che si ha diritto a revocare il consenso al trattamento del dato”.
La protezione dei dati personali è infatti “un primario diritto civile da preservare con qualunque strumento”. Inoltre, “l’indubbio valore economico dei dati profilati impegna la Guardia di finanza a prevenire e contrastare le attività illecite estremamente lucrative che minano le garanzie dei cittadini e di tutti i consumatori”, conclude Berruti.
Paganini: “Troppa poca conoscenza delle minacce”
Per Pierluigi Paganini, “le modalità con la quale queste informazioni sono collezionate, talvolta estorte, sono le più disparate, nella maggior parte dei casi frutto di attacchi di ingegneria sociale. Ovviamente il successo di queste attività criminali è anche frutto della scarsa conoscenza delle minacce cibernetiche da parte dei cittadini e dei potenziali rischi a cui sono esposti nel momento in cui le loro informazioni finiscono nelle mani di organizzazioni criminali”.
Social engineering, i trend del 2021: conoscere le minacce per poterle contrastare
Secondo l’esperto, è particolarmente interessante “il fenomeno della catalogazione e profilazione degli individui. I criminali informatici raccolgono ed organizzano le informazioni in modo da poter agevolare successive operazioni fraudolente su platee specifiche di utenti”. E non è una novità: “Da anni osserviamo nel dark web servizi di carding, ovvero di vendita di dati relativi a carte di pagamento rubate, che offrono la possibilità agli acquirenti di scegliere lotti di dati relativi a specifici paesi o individui appartenenti a categorie specifiche. La conoscenza di queste informazioni consente all’attaccante di raffinare la tecnica di attacco e di conseguenza aumentare la probabilità di successo dell’azione criminale”.
Treccani: “Abbiamo subito informato le autorità”
In mattinata, Treccani Reti, la rete di vendita dell’Istituto della Enciclopedia Italiana Treccani, ha divulgato una nota ufficiale di ringraziamento verso la Guardia di finanza “per aver portato a termine con successo un’importante operazione che ha permesso di individuare attività illegali promosse in maniera subdola anche nei confronti di propri clienti, contattati da società terze a nome di Treccani” e ricordando che l’operazione “è nata da una segnalazione di Treccani Reti che ha prontamente informato le autorità competenti riguardo ad alcuni episodi illeciti, permettendo così l’avvio delle indagini”.
La rete di vendita ha aggiunto che “i dati sottratti illecitamente riguardano database con informazioni raccolte nel passato; gli attuali sistemi informatici non permetterebbero, infatti, la sottrazione di dati”.
