Nelle ultime settimane, media nazionali e locali di alcune regioni italiane (Toscana, Emilia Romagna, Lazio e Sicilia) hanno riportato numerosi casi di frodi a clienti di grandi aziende nazionali che forniscono e distribuiscono energia elettrica e gas. Si tratta, di norma, di un illecito che coinvolge privati cittadini creando, nella maggior parte dei casi, disagi e danni d’immagine ed economici alle vittime, ma che potrebbe invece comportare più gravi conseguenze se l’illecito fosse compiuto da criminali o terroristi anziché da lavoratori disonesti e se servisse a celare un cosiddetto attacco semantico, (ossia un attacco cyber che non cancella, ma rimescola e confonde i dati telematici) ai database di infrastrutture critiche del settore energetico, perpetrato per scopi strategici come, a suo tempo, accadde nel 2007 con lo storico black out estone.
L’atto di frode viene compiuto ovunque secondo un cliché ricorrente: ignari clienti ritrovano la propria utenza dirottata proditoriamente verso un altro gestore e vengono avvertiti del passaggio da una falsa bolletta, mensile anziché bimestrale, indicante la chiusura del precedente contratto con un fittizio conguaglio delle spese a favore della malcapitata vittima, che crede così di essere in credito di un certo numero di euro con l’azienda di riferimento e di non dover pagare alcunché. Molti frodati hanno dichiarato di non aver notato la dicitura “chiusura contratto” sulla finta bolletta, vista la piccola dimensione dei caratteri con cui tale indicazione è scritta. Nel giro di un paio di mesi, molti utenti si sono visti tagliare l’utenza di luce, gas o entrambi, perché dichiarati morosi dall’azienda con cui avevano, in principio, stipulato il contratto, giacché, dopo aver ricevuto il falso conguaglio, non hanno poi trovato alcuna bolletta in cassetta postale, mail o domiciliata, presso la propria banca e, dunque, non hanno pagato per un paio di mesi il costo delle utenze citate. Alcuni, più fortunati, hanno notato la situazione anomala prima di essere danneggiati dal taglio delle utenze e quindi hanno potuto sporgere regolare denuncia e sanare la situazione prima che essa arrecasse loro danno.
In tutti i casi, sanati e non, la sostanza della truffa è sempre la medesima: ignoti dipendenti corrotti hanno violato le banche dati digitali delle aziende presso cui lavorano ricorrendo ad un utilizzo illegale dei dati dei clienti. In alcuni casi, i dati sono stati venduti a soggetti concorrenti da dipendenti che hanno violato la banca dati dell’azienda presso cui lavorano; in altri casi, invece, il concorrente sleale ha pagato dipendenti o soggetti terzi per violare le banche dati di altre aziende ed acquisire nominativi ed estremi matricolari, come ad esempio i cosiddetti POD numbers dei contatori elettrici, per poter effettuare il passaggio.
Quello che ha messo in allarme i nuclei investigativi della Polizia Postale e dei Carabinieri non è stata, tuttavia, la semplice violazione delle banche dati, la cui penetrabilità è nota, nonostante i passi avanti compiuti da soggetti pubblici e privati in materia di sicurezza e tutela dei cosiddetti dati sensibili e delle infrastrutture critiche. Ciò che colpisce nella vicenda è il prosieguo della medesima, nonché la modalità con cui la truffa è stata perpetrata e perfezionata. Infatti, il semplice furto dei nominativi dei clienti e del loro POD/numero matricolare non sarebbe dovuto, in teoria, bastare per perfezionare il passaggio di utenza dal punto di vista burocratico. Tale passaggio di utenza, per essere effettivo, deve essere accompagnato da un contratto, regolarmente sottoscritto dal titolare dell’utenza e completo di indicazioni anagrafiche e residenza, fisica e fiscale del predetto soggetto.
I contratti, invece, non riportano informazioni veritiere sui dati, che vengono letteralmente inventati in tutto e per tutto, dal numero di carta d’identità al luogo e data di nascita, dal recapito telefonico a residenza e indirizzo, fisico e virtuale, di recapito della nuova bolletta: tali indirizzi, se fisici, corrispondono spesso a stradine di campagna o di montagna di piccoli paesi; se elettronici o domiciliati, invece, i recapiti corrispondono a istituti bancari esistenti o provider di posta elettronica reali, ma scritti con una sintassi errata. Queste falsificazioni costituirebbero già reato (falso ideologico, punito ai sensi dell’art. 481 e seguenti del Codice Penale). Nei casi citati, tuttavia, al reato di falso ideologico, si aggiunge il falso materiale (art. 476 e seguenti), poiché tutti i contratti riportano firme palesemente false. I contratti sono digitalizzati, ossia scansionati ed immessi, sotto forma di file .jpeg o . pdf, nel database dell’azienda destinataria del cambiamento. Il paradosso consiste nel fatto che le firme autografe false non possono essere controllate né riscontrate perché i database dove sono raccolti i contratti non dispongono di un sistema di raccolta, controllo e confronto automatico degli specimen di firma autografa, né di un pin, una chiave o un token o una password da accoppiare al pod/codice identificativo del cliente.
Non è ancora quantificabile, per le aziende colpite, il costo di un simile attacco in termini di danno economico e d’immagine e quale sia, al giorno d’oggi, il valore di una firma, digitale o autografa che sia; più nello specifico, resta da valutare quanto sia importante la corretta identificazione degli utenti dei pubblici servizi e quanto accurata sia la cura della sicurezza delle infrastrutture critiche nel nostro Paese. Già da una decina di anni numerosi esperti in molti convegni hanno catalizzato l’attenzione su questo argomento. Ma sorgono numerosi dubbi anche sulla reale consapevolezza del problema di fronte a episodi quali attacchi di hacker a database di ospedali (il più famoso quello semantico al Gradenigo del 2013) e la scarsa attenzione data alla violazione di banche collegate a infrastrutture critiche come quelle del settore energetico o delle telecomunicazioni, solo perché tali violazioni sono compiute per scopi definiti, con molta leggerezza di “semplice concorrenza sleale”. Come più volte affermato da Mary Kaldor, le nuove guerre post-moderne, a bassa intensità, sono collegate alle attività economiche ancor più dei conflitti antichi e, sempre più spesso, utilizzano forme di violenza strutturale occulte e difficilmente riconoscibili.
