Non con un’azione di hacking (attività di attacco diretto), ma probabilmente con una più banale e subdola attività di phishing (furto di credenziali ai danni di singoli utenti finali), è stato effettuato un accesso non autorizzato al profilo di alcuni dipendenti della Pubblica Amministrazione e sono stati sostituiti dati e codici iban.
Il portale NoiPA, attraverso il quale è stata realizzata la truffa, è il portale per la gestione economica e giuridica dei dipendenti della Pubblica Amministrazione, sviluppato da Sogei e gestito dal Ministero delle Finanze. Nel portale ogni dipendente conserva tutti i dati necessari per la gestione del proprio rapporto con il datore di lavoro. In caso di cambiamento delle coordinate bancarie (ad esempio perché ha cambiato banca), il dipendente deve comunicare le nuove coordinate tramite il portale.
La truffa ha permesso di carpire le credenziali di accesso e ha consentito ai truffatori di sostituire iban e numero di telefono nei profili di alcuni malcapitati.
Il cambiamento del numero di telefono nell’anagrafica del dipendente è l’elemento chiave della truffa, perché nella procedura di cambio iban implementata dal portale, l’utente deve effettuare una chiamata di sicurezza dal proprio numero, per verificare la sua identità. Una semplice telefonata, la cui risposta è gestita a livello informatico, che viene automaticamente conclusa dopo uno squillo.
Le vittime si sono accorte della truffa quando non è stato accreditato quanto loro spettante come tredicesima e stipendio di dicembre.
I casi sono pochi e isolati, ma la notizia ha comunque sollevato scalpore per la tipologia (truffa informatica) e l’entità del danno (di norma il furto di credenziali permette al truffatore di sottrarre cifre più contenute rispetto all’ammontare di una tredicesima o di uno stipendio).
A condurre le indagini è la polizia postale con la collaborazione del ministero delle Finanze e della Sogei.
Ad oggi sono stati individuati tutti i (pochi) profili compromessi e si lavora per il recupero delle somme sottratte, che non potrà essere immediato e in alcuni casi potrebbe risultare difficoltoso.
Le vittime del phishing, infatti, hanno consegnato le proprie chiavi di accesso, delle quali sono legalmente responsabili, a soggetti terzi. In questo caso la cessione delle proprie credenziali è avvenuta inconsapevolmente, ma in truffe analoghe il rimborso ai truffati è stato rifiutato perché si è ravvisata una mancata diligenza nella custodia delle credenziali.
Il portale ha avviato un’azione d’informazione ai propri utenti per contrastare le richieste fraudolente di dati personali e sensibili, ma a questo punto è un po’ come chiudere la stalla dopo che i buoi sono scappati.
