Condannato a Londra l'autore di phishing contro clienti bancari svizzeri
Truffati per 2,4 milioni di franchi, il colpevole è uno studente londinese. Indagini internazionali decisive.
L'autore di una serie di casi di phishing tramite pagine di accesso e-banking falsificate, nell'ambito della quale numerosi clienti bancari svizzeri sono stati truffati per un importo complessivo di circa 2,4 milioni di franchi, è stato condannato la settimana scorsa da un tribunale di Londra a sette anni di detenzione. Lo annuncia oggi il Ministero pubblico della Confederazione (MPC).
Il MPC aveva avviato nel luglio 2022 un'inchiesta penale contro ignoti per sospetto abuso di un impianto per l'elaborazione di dati in relazione a una vasta serie di phishing, riprendendo una trentina di casi aperti dai Cantoni e riunendoli in un'unica procedura, informa un comunicato diramato dalla procura federale.
Nel corso delle indagini condotte dal MPC e dall'Ufficio federale di polizia (fedpol), nell'agosto 2023 è stato possibile identificare e localizzare in Inghilterra lo sviluppatore e distributore del kit di phishing. Il procedimento penale è quindi stato delegato alle autorità britanniche, che stavano già conducendo un procedimento analogo nei confronti della stessa persona, uno studente universitario londinese.
Tra maggio e settembre 2022 un autore sconosciuto aveva creato e utilizzato numerose pagine di accesso falsificate al portale e-banking di diverse banche svizzere, utilizzando un cosiddetto kit di phishing. Effettuando una ricerca su Google, i clienti venivano reindirizzati alle pagine di phishing pubblicizzate come annunci e tramite esse tentavano di accedere al loro presunto conto e-banking.
In questo processo le credenziali di accesso venivano intercettate in background, consentendo all'autore del reato di accedere ai conti e-banking delle vittime e di attivare l'autenticazione a due fattori. Le vittime, convinte di trovarsi sul vero sito web della loro banca, inserivano nella pagina di phishing il codice di autenticazione per il login ricevuto via SMS.
Anche questo codice veniva intercettato dall'autore del reato, permettendogli di accedere con successo al conto e-banking delle vittime e di registrare un dispositivo aggiuntivo per l'autenticazione a due fattori. In seguito egli poteva accedere ai conti senza ulteriori interventi da parte dei proprietari ed eseguire transazioni senza il loro consenso.
Stando a un comunicato del Crown Prosecutition Service, lo studente 21enne è responsabile della creazione e della distribuzione di 1'052 kit di phishing che hanno preso di mira 69 istituti finanziari e grandi organizzazioni, tra cui enti di beneficenza, in 24 paesi, causando perdite stimate in almeno 100 milioni di sterline a livello globale (circa 107 milioni di franchi al cambio attuale).
Nella nota il MPC sottolinea l'importanza e l'efficacia della cooperazione internazionale nella lotta contro la cybercriminalità, un fenomeno in costante aumento. Oltre al MPC, alla fedpol e alle autorità giudiziarie britanniche, nel procedimento erano coinvolte anche Europol ed Eurojust nonché autorità finlandesi.
