Malintenzionati hanno rubato stipendi e pensioni a una manciata di dipendenti pubblici: hanno compromesso alcuni account utente sul portale NoiPa del Mef mediante un possibile attacco phishing riuscendo a modificare il codice IBAN del conto corrente e il numero di telefono associato.
Non si tratta quindi di una violazione di NoiPA (come erroneamente hanno scritto alcuni giornali ieri).
In particolare, in una nota della Polizia Postale dello scorso 20 dicembre diffusa dall’Ufficio di Gabinetto della Questura di Milano si legge che “l’attività criminosa è consistita nell’accesso abusivo al profilo del singolo dipendente della P.A. sul portale NoiPa e nella successiva sostituzione del codice IBAN del conto corrente e del numero telefonico associato al fine di distrarre l’accredito degli emolumenti”.
Si è trattato quindi di una vera e propria truffa online che ha consentito ai malintenzionati di “sostituire” i conti correnti dei dipendenti pubblici con altri su cui sono state indebitamente accreditate somme relative agli stipendi di dicembre e alle tredicesime.
Con un comunicato stampa pubblicato sullo stesso portate NoiPa, il Dipartimento dell’Amministrazione Generale, del Personale e dei Servizi del MEF (Ministero delle Economie e delle Finanze) fa sapere che al momento sono 15 gli account compromessi su un totale di oltre due milioni di amministrati, tutti prontamente gestiti anche grazie all’intervento della Polizia Postale.
Indice degli argomenti
Cos’è NoiPa e come funziona, l’IBAN
NoiPa, lo ricordiamo, è il portale che consente ai dipendenti pubblici, tra le altre cose, di gestire i propri cedolini e verificare lo stato dei pagamenti.
Sullo stesso portale, inoltre, il dipendente pubblico può appunto modificare il proprio IBAN per l’accredito dello stipendio mediante un sistema automatizzato che richiede di effettuare una chiamata di sicurezza dal numero di telefono impostato nel sistema, così da verificare l’identità del dipendente. Una chiamata di sicurezza che viene gestita da sistemi informatici (la chiamata viene chiusa dopo uno squillo, senza alcuna risposta).
In alcuni casi, questo sistema di sicurezza potrebbe aver consentito ai dipendenti pubblici vittime della truffa di segnalare prontamente l’accaduto e mettere in sicurezza il proprio account.
Al momento sul fatto sta indagando la Procura di Roma, nel tentativo di rintracciare il gruppo criminale dietro a questa che è stata già soprannominata la “truffa di Natale”.
Furto via NoiPA, cosa può essere successo
Gli esperti stanno cominciando a fare ipotesi su come i criminali siano riusciti a modificare l’IBAN per farsi accreditare le pensioni e gli stipendi. “Certo hanno ottenuto, probabilmente con mail di phishing, i dati di accesso all’account dagli stessi intestatari”, spiega Marco Ramilli, fondatore di Yoroi.
È noto che mail di questo tipo fingono di provenire dall’istituto su cui c’è il conto della vittima e – spesso adducendo motivi di sicurezza – le chiedono i dati (a volte facendoli inserire su un sito web che si camuffa come quello legittimo). Non sono noti i dettagli di questo attacco phishing, ma c’è un secondo aspetto da considerare: come hanno fatto i truffatori ad avere il secondo fattore di autenticazione, ossia il numero di telefono dove ricevere l’sms con il codice di accesso (aggiuntivo rispetto ai dati carpiti via phishing)?
“È probabile che abbiano fatto un SIM swapping: non le informazioni anagrafiche dell’utente hanno ottenuto la portabilità del numero, dall’operatore, su una sim in loro possesso”, spiega Ramilli. Le indagini sono in corso: “è anche possibile che NoiPA chieda il secondo fattore solo per il cambio IBAN e non per il cambio numero di cellulare. In questo caso ai criminali basterebbe avere i dati via phishing per mettere un proprio numero di cellulare dove ricevere il secondo fattore di autenticazione”.
Molto utile a comprendere l’accaduto anche l’analisi di Salvatore Lombardo, funzionario informatico, esperto ICT, socio Clusit e autore: “Come detto, le indagini sono in corso, ma ritengo che l’ipotesi di phishing sia la più plausibile. Spiego il perché. Su NoiPa si può accedere in tre modalità: con CNS (Carta Nazionale Servizi), con SPID oppure con una coppia di credenziali (codice fiscale e psw). In quest’ultimo caso ogni operazione di modifica (anche il cambio del numero di cellulare!) sul profilo personale deve essere certificata con un prorio PIN dispositivo. Se un criminale venisse in possesso di questa terna, tramite ad esempio tecniche di phishing, accedendo nell’area riservata della vittima potrebbe procedere al cambio IBAN utilizzando come fattore di verifica il numero di cellulare aggiornato e certificato con il PIN dispositivo”.
Che fare dopo il furto di stipendi su NoiPA
Per gli utenti colpiti non è tutto perduto. “Per legge possono rivalersi contro lo Stato per riavere indietro i soldi. Ricade sul soggetto che custodisce i dati l’onere della prova di aver fatto tutto il possibile per proteggerli”, spiega l’avvocato esperto di digitale Fulvio Sarzana. “Ma è definita un caso di probatio diabolica: è molto complicato dimostrarlo; un giudice può sostenere che se si è fatto tutto il possibile per proteggere l’accesso, la violazione non sarebbe dovuta avvenire”. Probabilmente sarà più facile ottenere il risarcimento se per il cambio IBAN non è necessario la doppia autenticazione. Se invece è richiesta, una qualche responsabilità potrebbe cadere anche sugli operatori telefonici che hanno permesso il sim swapping.
Attacco phishing a NoiPa: quale lezione per tutti
Quest’ultima truffa ai danni di dipendenti pubblici si aggiunge all’onda lunga di cyber attacchi quotidiani.
“Certo, il mondo è grande e la maggior parte delle notizie riguarda aziende lontane dall’Italia, ma l’Italia non è un paese di minore importanza nel grande campo di battaglia della guerra cibernetica”, è l’osservazione di Paola Rollo, Business Process & GDPR Expert.
“I pesci grossi, è vero, si trovano altrove, eppure anche l’Italia è nel bel mezzo di questa guerra perché nel cyber-universo non ci sono frontiere e non c’è nazionalità che tenga, siamo tutti esposti, dalla multinazionale con milioni e milioni di dati al piccolo utente con il suo computer con le foto di famiglia.
Se ci fermassimo a riflettere, ci renderemmo conto che queste non sono problematiche che riguardano “altri” o tematiche da fiction televisiva, ma è realtà e chiunque potrebbe essere vittima di un attacco informatico, e la risposta è sì, potrebbe toccare anche a noi”.
La speranza, continua la Rollo, “è che prima o poi sia i membri dei CdA delle nostre aziende sia i dirigenti delle PA si sveglino, perché è proprio la gran parte dei livelli dirigenziali italiani che peccano di consapevolezza e sono proprio i più alti livelli aziendali che non si rendono conto che stanno servendo il patrimonio aziendale ai criminal hacker, che comunque già per loro indole ci sono sempre un passo avanti, su un vassoio d’argento”.
“La classe dirigente dovrebbe comprendere che fare business oggi non significa esclusivamente accumulare dati e fatturare: se questi dati non vengono protetti adeguatamente, si rischiano i disastri apocalittici che hanno comportato la perdita di parecchi milioni di euro come è successo recentemente ad aziende di diversi settori e uffici della Pubblica amministrazione, non solo NoiPA. Ad esempio, la stessa sorte quest’anno è toccata alla Provincia di Caserta, all’azienda di energia Iren e a molte altre, tutte vittime di attacchi ransomware o di phishing”.
Quanto accaduto ai dipendenti pubblici che si sono visti compromettere il proprio account sul portale NoiPa è l’occasione per ribadire ancora una volta l’importanza della formazione del personale in materia di sicurezza informatica.
“La cyber security dovrebbe diventare parte integrante del business di un’azienda e non vista solo come un costo”, continua l’analisi di Paola Rollo, “in quanto, passando dal vecchio paradigma di una sicurezza che mira a proteggere il perimetro aziendale al nuovo paradigma dato-centrico, diventa parte fondamentale per poter arginare possibili perdite finanziarie dovute ad attacchi ed incuria. Non si tratta più di un concetto astratto, ma diventa un problema reale e più che tangibile quando si parla di blocco di un sito internet oppure il blocco della produttività di tutta l’azienda, senza contare il danno di immagine e del brand dell’azienda stessa”.
D’altronde, lasceremmo una villa piena di opere d’arte e oggetti dal valore inestimabile con il cancello esterno aperto e la porta di casa chiusa con le chiavi nella serratura esterna? No di certo, ma questa è la situazione della sicurezza della maggior parte delle aziende nostrane e della nostra pubblica amministrazione.
“Ho avuto l’onore”, continua ancora Paola Rollo, “di poter lavorare all’interno dell’ufficio del Garante della Protezione dei Dati della Baviera per qualche settimana e il team a cui sono stata assegnata era quello di internet, e-commerce, marketing. Sono stata coinvolta in ispezioni e mi sono state spiegate in maniera dettagliata le metodologie dei controlli sulla sicurezza dei siti internet. Ho visto come gli ispettori hanno ricostruito lo storico delle versioni del sito e prima di informare l’azienda che stanno effettuando dei controlli hanno già un quadro ben preciso su quale sia la politica di sicurezza internet di quella specifica azienda. Forse non è chiara la questione: le misure di sicurezza adottate, e soprattutto quelle non adottate, influiscono in maniera determinante sul risultato dell’ispezione – non basta non aver subito un data breach! Perché gli ispettori sanno bene, che non è una questione del se, ma solo del quando”.
