C’è l’oroscopo personalizzato, il meteo geolocalizzato, le ultime notizie di gossip, i risultati di calcio o una collezione di suonerie e giochi da scaricare sul telefonino. E poi ci sono quegli sms che avvertono (o piuttosto dovrebbero avvertire) che il servizio ha un costo, che di norma varia dai 99 centesimi ai 6 euro al mese, senza però spiegare come fare per disattivarlo o addirittura senza fare menzione del diritto di ripensamento gratuito previsto dalla normativa a partire dal novembre 2019. “Il punto cruciale è che trattandosi il più delle volte di costi piccolissimi, molti utenti non si accorgono neanche dell’addebito fraudolento. Quanti invece hanno contezza dei costi, di sicuro non presentano denuncia contro quella che è a tutti gli effetti una truffa. Però così noi investigatori abbiamo le mani legate”, spiega un inquirente.
A meno che, come successo al procuratore di Milano Francesco Greco che mentre era in vacanza con la famiglia si è accorto di pagare fino a 20 euro a bimestre per contenuti e abbonamenti non richiesti, a finire nella trappola non sia proprio un investigatore. “L’unica consolazione – sorride amaramente il magistrato – è che in questo tipo di operazioni a danno del consumatore c’è molta democrazia perché può capitare al Procuratore della Repubblica di Milano così come al vecchietto”. Nel primo caso, però, un sms può innescare una slavina che origina una delle inchieste più clamorose mai svolte in Italia nel campo delle truffe telefoniche, con 12 milioni di euro di sequestri preventivi e undici persone indagate a vario titolo per frode informatica ai danni dei consumatori, intrusione abusiva a sistema telematico e tentata estorsione contrattuale. Fra loro anche tre dirigenti TreWind, società al centro dell’indagine condotta dal Nucleo speciale tutela privacy e frodi tecnologiche della guardia di finanza, i cui uffici sono stati perquisiti. Dalle parole degli inquirenti, però, è chiaro che i comportamenti al centro dell’inchiesta sono prassi anche per altri operatori telefonici. Al punto che, in attesa degli sviluppi dell’indagine, la Procura di Milano ha inviato una lettera all’Autorità garante per le comunicazioni, in relazione alla posizione di Vodafone, Tim e di una società fornitrice di servizi.
Una fetta per tre
Al centro del lavoro del procuratore aggiunto di Milano Eugenio Fusco, che coordina il pool frodi reati informatici e tutela dei consumatori, e del sostituto Francesco Cajani ci sono i cosiddetti Vas, Servizi a valore aggiunto, attivabili a pagamento su telefoni e smartphone. Meteo, oroscopi, giochi, suonerie e molto altro che spesso ci vediamo attivati (e addebitati) senza averne fatto richiesta e senza neanche esserne consapevoli. Un giro d’affari da oltre un miliardo di euro all’anno in cui si muovono società tecnologiche con sede in paradisi fiscali e assetti societari da scatole cinesi, fornitori di servizi e dirigenti di azienda con rapporti opachi quando non vere e proprie complicità.
Il sistema, a grandi linee funziona così: ci sono i Content service provider (Csp), che producono e mettono in commercio i prodotti aggiunti che l’utente può attivare con un messaggio di testo o “cliccando” su un banner pubblicitario messo a disposizione da una agenzia specializzata; gli operatori di telefonia mobile che materialmente addebitano l’importo del servizio sulla sim; infine gli hub, cioè piattaforme di aziende specializzate tramite i quali l’operatore gestisce l’addebito. Il costo del servizio aggiuntivo, quindi, viene ripartito in tre: la compagnia telefonica trattiene il 40-50% del prezzo pagato, l’hub tecnologico il 5-7%, il resto va alle aziende produttrici del contenuto. Ed è proprio da un contenzioso legale nato fra alcune aziende per spazi pubblicitari, intrusioni tecnologiche e concorrenza violata che il lavoro degli inquirenti milanesi ha inizio nell’estate del 2019 e ha portato quasi un anno dopo al primo sequestro preventivo di 12 milioni di euro che, a seguito di un decreto ingiuntivo, stavano per essere pagati ad una società di servizi con sede a Dubai.
“Così ci fornivano le liste dei numeri”
Ed è proprio dalla capitale dell’Emirato che uno degli indagati dalla procura milanese ha deciso di collaborare con l’inchiesta e raccontare un “modus operandi” in cui ognuna delle parti coinvolte pare consapevole e partecipe di un sistema evidente di truffa. Un raggiro basato su quella che i tecnici definiscono tecnologia “0 click”, ossia sulla possibilità di attivare servizi a pagamento su numeri e utenze che non ne hanno in alcun modo fatto richiesta.
Della truffa, secondo quanto raccontato dal “pentito”, sarebbero state vittime oltre un milione di utenti soltanto a cavallo fra il 2018 e il 2019: 1.048.576 utenze Wind, per la precisione. “Dopo aver fatto altre analisi, abbiamo avuto conferma che era possibile attivare utenti utilizzando delle liste di numerazioni, queste ci vennero passate con cadenze trimestrali, abbiamo utilizzato 2 o 3 liste al massimo, ciascuna lista conteneva centinaia di migliaia di numerazioni Wind”, ha raccontato l’informatico il 4 novembre scorso al sostituto procuratore Francesco Cajani.
A fornire le liste di numeri su cui attivare i servizi a pagamento, senza alcun consenso degli utenti, era una società hub commercialmente legata a Wind. Ma non c’erano solo le liste dei numeri “da attivare”, ce n’erano anche altre di numeri da evitare. “Ci venne fornita anche una sorta di blacklist, aggiornata di tanto in tanto, che conteneva dipendenti Wind e altri numeri che era meglio non attivare per ragioni di politica interna a Wind”, ha infatti spiegato il tecnico indagato ai magistrati. Forse, è il sospetto di chi indaga, per evitare di colpire soggetti in grado di dare pubblicità alla truffa e rendere pubbliche le pratiche in uso.
Non conosci il Salvagente? Scarica GRATIS il numero con l'inchiesta sull'olio extravergine cliccando sul pulsante qui in basso e scopri cosa significa avere accesso a un’informazione davvero libera e indipendente
Tutti consapevoli, tutti coinvolti
“Noi – ha poi spiegato l’indagato – abbiamo eseguito dei test per capire come le altre società Vas eseguissero tali numeri elevati di attivazioni, arrivando a capire che era facilmente possibile aumentare i numeri di attivazioni tramite la procedura dello ‘0 click’. Usavamo due modalità in tal senso. La prima era quella di acquistare su canali internet spazi pubblicitari al fine di raggiungere utenti in maniera truffaldina: questo sistema lo abbiamo utilizzato fin dall’inizio, ed onestamente era ed è un sistema noto nell’ambiente dei Csp, non solo di Wind ma di tutti gli altri operatori. Queste campagne difficilmente possono passare tramite Google anche se in teoria è possibile bypassare le restrizioni di Google. Se una pagina, anche di rilievo nazionale, porta con sé o utilizza un network pubblicitario basati su tali banner è possibile una attivazione 0 click che abbia come fonte proprio tale sito”.
Sistemi di attivazione, quindi, nascosti dietro innocue pubblicità presenti anche in pagine web affidabili e certificate. “Il secondo sistema – ha spiegato ancora la fonte della procura – lo abbiamo utilizzato dalla metà del 2018. Dopo aver fatto altre analisi, abbiamo avuto conferma che era possibile attivare utenti utilizzando delle liste di numerazioni. Anche su Tim sapevamo per certo che la piattaforma presentava altrettante vulnerabilità tecniche”. Per funzionare, però, l’architettura della truffa aveva bisogno che tutte le parti facessero il proprio lavoro, e infatti secondo i magistrati all’interno del sistema lavoravano solo aziende “di fiducia” e ogni ingranaggio poteva muoversi solo a patto di collaborare con società specifiche appartenenti al sistema. Pena l’esclusione dal business, come hanno denunciato i responsabili della società la cui azione civile ha dato origine all’inchiesta.
I cartoni animati durante il lockdown
Secondo gli inquirenti, in ogni caso, le truffe sarebbero proseguite anche dopo il novembre 2019 quando le modifiche normative hanno introdotto il diritto di ripensamento entro 6 ore dalla ricezione del messaggio di attivazione dei servizi, con rimborso erogato entro 24 ore dalla richiesta, e hanno costretto le aziende Csp a modificare i testi delle “landing page” (le pagine su cui “atterrano” gli utenti dopo il primo click) e degli sms informativi inserendo un riferimento al diritto di ripensamento. Secondo quanto emerge della indagini, infatti, gli inquirenti avrebbero scoperto servizi a pagamento che durante il lockdown, quando i volumi di traffico sono saliti alle stelle: si attivavano semplicemente collegandosi a siti di streaming di cartoni animati.
A dimostrazione di come i servizi fossero “accesi” senza alcuna richiesta o procedure consapevole eseguita dall’utente, poi, c’è un dettaglio incredibile. Nella lista dei numeri “attivati” fornita ai Csp, infatti, c’erano decine di migliaia di sim utilizzate in servizi “m2m”, machine to machine. Si tratta, in sintesi, di tecnologie e che permettono il trasferimento automatico delle informazioni da macchina a macchina con limitata o nessuna interazione umana. Il frigo che comunica automaticamente con la app per la spesa, ad esempio. Oppure l’antifurto che si attiva mettendosi in contatto con la centrale o la caldaia di riscaldamento che può essere accesa da remoto. Impossibile quindi, ragionano i tecnici della procura, che su quei numeri possa essere stata richiesta l’attivazione di servizi a pagamento. A meno di non prendersela con i frigoriferi di casa…