A una prima lettura sembra solo una mail in cui mancano gli accenti: “Caro cliente, Poste italiane s.p.a. premia il suo account con un Bonus fedelta. E necessario accedere ai servizi online entro 48 ore dalla ricezione di questa e-mail”. In realtà nasconde una truffa. Si chiama phishing, ed è un modo per “pescare” i dati dei conti correnti online. La “mail esca” di solito rimanda a un sito falso delle Poste o di un istituto bancario. Se il pesce abbocca, inserisce i suoi dati (password e numero del conto) che vengono usati nel giro di pochi minuti dai truffatori per svuotargli il conto. In altri casi, le mail possono contenere un programma spia, che si “nasconde” nel pc del malcapitato e si mette “in ascolto” quando la vittima digita i propri dati bancari, che arrivano così all’hacker. 

Il bottino di queste battute di pesca online non finisce subito nelle tasche dei truffatori, che altrimenti sarebbero facilmente rintracciabili, ma viene versato sui conti correnti di prestanome più o meno consapevoli, reclutati via mail con una falsa offerta di lavoro da parte di società fantasma. Una di queste si chiama A.T.  e nella proposta di adescamento scrive che sta cercando Customer manager che dovranno “collaborare con il sistema bancario”. Stipendio superiore a 2mila euro al mese.

“Il meccanismo è semplice -spiega Donato Caccavella, docente di Informatica forense all’Università di Bologna-: il prestanome riceve sul proprio conto corrente i soldi, ne trattiene una piccola parte (dal 5 al 10 per cento) e versa il resto al suo “datore di lavoro”, tramite un’agenzia di money transfer, così da nascondere ogni traccia del destinatario finale”. Il prestanome funge quindi da “lavatrice” di soldi sporchi.

Queste società fantasma hanno siti internet che, a prima vista, le fanno sembrare affidabili. Quello di A.T. è scritto in sette lingue, con le mappe di New York e Londra, città in cui avrebbe le sue sedi. Ma cosa non convince? Primo, non è menzionato il numero di partita iva della società, inoltre l’indirizzo della sede americana corrisponde a un centro congressi. Andiamo su Whois.net, dove si può vedere chi ha registrato un dominio e scopriamo che il sito è di proprietà di un cinese di Pechino. “L’incongruenza tra l’indirizzo del soggetto che ha registrato il sito e la sede legale della società è sicuramente un motivo valido per diffidare” dice Luca Bovino, responsabile legale del portale Anti-phishing Italia.  

Nel 2007 la Procura della Repubblica di Milano ha sgominato una banda di romeni che reclutava i prestanome non su internet ma in strada e tramite il passaparola. “I truffatori, residenti in Italia -spiega Francesco Cajani, il Pm che ha condotto le indagini- trovavano persone a cui intestare carte prepagate, su cui versavano le somme”. I prestanome provvedevano poi a consegnare i contanti al capo dopo averli prelevati al bancomat, magari a cavallo della mezzanotte per riscuotere il bottino di due giorni. L’inchiesta si è conclusa con una serie di arresti anche all’estero, grazie all’accordo tra la Procura di Milano e quella di Craiova, in Romania.

Il riciclaggio di denaro è un reato che il Codice penale punisce con pene da 4 a 12 anni di reclusione e con multe fino a 15mila euro. Il gioco vale la candela? “All’inizio, quando la cosa non era ancora diffusa, capitava che qualcuno non si accorgesse di essere di fronte a un lavoro-truffa, ma ora in tempi di crisi fa comodo guadagnare così facilmente”, spiega Sabrina Castelluzzo, vicequestore aggiunto della Polizia postale. 

Le azioni di phishing sono opera di organizzazioni criminali soprattutto romene e bulgare. Di solito il regista dell’organizzazione si trova in Italia ed è quello che dà i tempi agli altri “attori”. I primi a entrare in scena sono gli spammer (chi invia email di phishing, ndr) e si trovano all’estero. “Hanno programmi in grado di rastrellare sul web migliaia di indirizzi e agiscono con software di invio multiplo di mail”, sottolinea Bovino di Anti-phishing Italia. Ci sono poi i “tecnici” che nel giro di pochi minuti con i dati bancari trasferiscono online le somme ai prestanome. Quando questi ultimi entrano in azione, la farsa è ormai compiuta.