Non con un’azione di hacking (attività di attacco diretto), ma probabilmente con una più banale e subdola attività di phishing (furto di credenziali ai danni di singoli utenti finali), è stato effettuato un accesso non autorizzato al profilo di alcuni dipendenti della Pubblica Amministrazione e sono stati sostituiti dati e codici iban.

Il portale NoiPA, attraverso il quale è stata realizzata la truffa, è il portale per la gestione economica e giuridica dei dipendenti della Pubblica Amministrazione, sviluppato da Sogei e gestito dal Ministero delle Finanze. Nel portale ogni dipendente conserva tutti i dati necessari per la gestione del proprio rapporto con il datore di lavoro. In caso di cambiamento delle coordinate bancarie (ad esempio perché ha cambiato banca), il dipendente deve comunicare le nuove coordinate tramite il portale.

La truffa ha permesso di carpire le credenziali di accesso e ha consentito ai truffatori di sostituire iban e numero di telefono nei profili di alcuni malcapitati.

Il cambiamento del numero di telefono nell’anagrafica del dipendente è l’elemento chiave della truffa, perché nella procedura di cambio iban implementata dal portale, l’utente deve effettuare una chiamata di sicurezza dal proprio numero, per verificare la sua identità. Una semplice telefonata, la cui risposta è gestita a livello informatico, che viene automaticamente conclusa dopo uno squillo.

Le vittime si sono accorte della truffa quando non è stato accreditato quanto loro spettante come tredicesima e stipendio di dicembre.

I casi sono pochi e isolati, ma la notizia ha comunque sollevato scalpore per la tipologia (truffa informatica) e l’entità del danno (di norma il furto di credenziali permette al truffatore di sottrarre cifre più contenute rispetto all’ammontare di una tredicesima o di uno stipendio).

A condurre le indagini è la polizia postale con la collaborazione del ministero delle Finanze e della Sogei.

Ad oggi sono stati individuati tutti i (pochi) profili compromessi e si lavora per il recupero delle somme sottratte, che non potrà essere immediato e in alcuni casi potrebbe risultare difficoltoso.

Le vittime del phishing, infatti, hanno consegnato le proprie chiavi di accesso, delle quali sono legalmente responsabili, a soggetti terzi. In questo caso la cessione delle proprie credenziali è avvenuta inconsapevolmente, ma in truffe analoghe il rimborso ai truffati è stato rifiutato perché si è ravvisata una mancata diligenza nella custodia delle credenziali.

Il portale ha avviato un’azione d’informazione ai propri utenti per contrastare le richieste fraudolente di dati personali e sensibili, ma a questo punto è un po’ come chiudere la stalla dopo che i buoi sono scappati.

(Visited 67 time, 1 visit today)
Share

Dicci la tua

Francesco Reale

Mi piace definirmi lombardo di origine, fiorentino di adozione. In realtà Firenze se ne è ben guardata dall’adottarmi. Non si è neppure sbilanciata su un affido. In sintesi, quindi, sono un apolide, con un accento da autogrill, che vive a Firenze da circa un quarto di secolo. Delle numerose passioni che coltivo, quella per la musica è il filo conduttore dei miei primi interventi su tuttafirenze, ma il mio ego ipertrofico e la mia proverbiale immodestia mi spingono ad esprimermi su qualunque argomento, con la certezza di riuscire a raggiungere vette non comuni di banalità e pressapochismo. I miei contributi hanno uno scopo ben preciso: rincuorare le altre firme, dando loro la consapevolezza che c’è sempre chi fa peggio.