Man in the middle: il vero pericolo nelle relazioni commerciali telematiche

Tra le molte condotte criminose che sono quotidianamente realizzate in rete, una delle più insidiose è quella che ha per oggetto il “dirottamento” di pagamento - spesso consistenti - per via telematica su conti correnti del tutto estranei rispetto a quelli degli effettivi beneficiari. Un fenomeno grave e diffuso, che pone non solo problematiche di natura investigativa ma che impone all'interprete attente valutazioni in relazione alla qualificazione giuridica dei fatti.

È convinzione diffusa che il principale “rischio” di natura patrimoniale nel quale gli utenti della rete possono incorrere sia quello di essere vittima di una “frode informatica”. In tali casi, l'utente si accorge (direttamente o a seguito di avviso del proprio istituto di credito) della presenza di operazioni sul proprio conto o sulla propria carta rispetto alle quali è del tutto estraneo: accrediti su altri conti o carte, acquisti di beni o di biglietti o di servizi o prelievi presso ATM. Reati frequentemente commessi in territorio estero (o comunque, se in Italia, non necessariamente nell'area ove il soggetto risiede) e caratterizzati con assoluta frequenza da importi significativi anche se non particolarmente elevati.

Si tratta di un fenomeno criminale indubbiamente estremamente vasto, rispetto al quale la connotazione di gravità deriva principalmente dal numero degli episodi che vengono segnalati. Nondimeno, la condotta criminale che da alcuni anni che deve essere considerata più insidiosa e che può determinare i maggiori danni patrimoniali è quella riconducibile a una delle manifestazioni di una tecnica criminale generale denominata “man in the middle”. La logica è semplice e chiara: inserirsi in vario modo nelle comunicazioni via mail che intercorrono tra partner commerciali per dirottare su un conto differente da quello di naturale destinazione somme di denaro dovute a titolo di corrispettivo per beni o servizi resi.

Sul sito cernazionale.it, del Ministero dello Sviluppo economico, si precisa: «In un attacco di tipo Man-in-the-Middle (MITM), letteralmente “uomo nel mezzo”, l'attaccante si inserisce tra due entità che comunicano tra loro, tipicamente un client e un server, compromette con tecniche crittografiche la comunicazione e intercetta i messaggi scambiati, leggendoli e modificandoli a piacere, senza che le parti interessate ne siano consapevoli».

Le due varianti maggiormente conosciute sono state definite come BEC (business email compromise) o CEO (Chairman Executive Officer) Fraud; in entrambi i casi si tratta di tecniche fraudolente finalizzate prima a violare la corrispondenza intercorrente tra partner commerciali e quindi a indurre uno di tali soggetti a porre in essere atti di disposizione patrimoniale. Tecniche, entrambe, che richiedono non solo significative capacità informatiche, quanto anche conoscenze commerciale/relazionale, come tali espressive di elevate capacità criminali.

Nel primo caso (BEC) gli autori della condotta intervengono surrettiziamente in un rapporto esistente, al fine di “dirottare” uno o più pagamenti riferibili ad acquisti di beni o servizi effettivamente intercorsi tra le parti. Nel secondo (CEO Fraud), al contrario- con forme ancora più subdole e insidiose- le disposizioni patrimoniali vengono impartire assumendo l'identità telematica di uno o più soggetti (realmente esistenti) ai vertici di una società.

In particolare questa seconda tecnica presuppone o una conoscenza diretta dei rapporti interni della società “vittima” del reato o, in alternativa, una lunga e dettagliata osservazione delle modalità decisionali e operative della stessa; richiede inoltre la capacità di formare documenti – da trasmettere via posta- in grado di trarre in inganno i destinatari delle comunicazioni non solo sulle “forme”, quanto anche sulla sostanza (stile, espressioni, riferimenti commerciali) dei medesimi. Documenti che sono trasmessi a mezzo email aziendali oggetto di contraffazione, e rispetto alle quali occorre garantire che anche le risposte- inviate dalle vittime- siano trasmesse con la funzione di risposta e non digitando autonomamente l'indirizzo o ricorrendo alla rubrica “contatti”.

A un periodo di “studio” dei rapporti commerciali interni ed esterni fa quindi seguito la richiesta di un atto di disposizione patrimoniale, ovviamente a favore di un conto intestato- effettivamente o fittiziamente- a un soggetto compiacente.

La prassi nettamente più utilizzata è, tuttavia, quella della business email compromise, che trova luogoprincipalmente rispetto a soggetti commerciali che eseguono o ricevano regolarmente bonifici con fornitori/terze parti estere. Una prassi per molti aspetti più semplice da utilizzare, e che si fonda sull'acquisizione di elementi aziendali con tecniche specifiche.

Una fase preliminare prende il nome di “spear phishing”; si tratta di una forma di phishing mirato tramite e-mail, con l'intento di ottenere l'accesso non autorizzato, ad esempio, a dati sensibili. A differenza del phishing, che sferra attacchi indiscriminati su vasta scala, lo spear phishing prende di mira un gruppo specifico o un'organizzazione. In concreto, gli autori dei reati scelgono un bersaglio (es. una società che possiede informazioni utili o di cui si può ottenere l'accesso) e quindi identificano un dipendente che potrebbe aver accesso a informazioni significative, studiandone rapporti e abitudini. In esito a ciò:

• in una prima fase, il dipendente di un'azienda riceve una mail, apparentemente inviata da un soggetto o ente che può carpire la fiducia di tale soggetto; la mail può esserci includere link o avere un file allegato; seguendo il primo o aprendo il secondo il computer del destinatario viene “infettato” con un programma in grado di consentire agli autori della condotta di “spiare” le comunicazioni della vittima; in caso di virus presente in un allegato, il codice che è eseguito può essere di qualità sufficiente da aggirare le difese informatiche, incluso il software antivirus; si tratta di un'installazione malevola di un'ATP (Advanced Persistent Threat), che consente di “sottrarre” informazioni preziose per un lungo periodo
• nella seconda fase, tramite l'accesso al p.c. e/o alla mail del dipendente, i criminali iniziano a spiarne le comunicazioni interne ed esterne, individuando i responsabili commerciali, i creditori e debitori.
• nella terza fase, è inviata un'email, apparentemente riferibile a un fornitore dell'azienda cui deve essere fatto un pagamento, nella quale si comunica che è stato modificato il rapporto bancario e che per tali ragioni il pagamento dovrà essere eseguito sul nuovo conto; conto che in realtà non presenta alcuna relazione con la società in concreto destinataria del pagamento.

La condotta è molto insidiosa in quanto:

• la mail utilizzata contiene normalmente un solo elemento alfanumerico differente rispetto a quella normalmente utilizzata per le comunicazioni, così che è sostanzialmente impossibile un riconoscimento ictu oculi della modifica
• la richiesta di eseguire il pagamento è direttamente riferita a un documento (fattura) recente ed esistente, circostanza questa che fuga ogni apparente dubbio sull'autenticità della segnalazione
• richieste di chiarimento -via email- sulla modifica del conto di riferimento possono essere oggetto di “conferma” dall'interlocutore
• una volta effettuato il pagamento, il “sistema” può contare sulla prassi commerciale in base alla quale la mancata effettiva ricezione della somma da parte delle vittima del reato determina un controllo/sollecito dopo alcuni giorni, in un momento in cui la stessa è stata ormai prelevata.

Inutile dire che il meccanismo può essere utilizzato nei due sensi. In concreto, società italiane che attendono un pagamento dall'estero, denunciano il fatto che la somma sia stata versata su un altro conto nazionale; una situazione che consente, nondimeno, come vedremo, alcuni significativi accertamenti. Peggiore è, sul piano investigativo, il caso opposto, nel quale il pagamento su estero di un operatore italiano è effettuato su conti stranieri, rispetto ai quali non solo la possibilità di “recupero” delle somme quanto anche di accertamento delle responsabilità è, per forza di cose, più complesso. È doveroso sottolineare che si tratta sempre di operazione con impegni di spese per decina di migliaia di euro; a volte, anche superiori.

A fronte del quadro sopra descritto, l'interprete deve verificare quali fattispecie possano ritenersi integrate e a opera di quali soggetti.

Non dobbiamo dimenticare - come sopra già evidenziato - che il bonifico “indotto” dall'attività sopra descritta è effettuato su un conto corrente intestato a un prestanome (il c.d. “financial manager”), dal quale il denaro viene - di norma - immediatamente prelevato senza possibilità di recupero; l'attacco informatico è poi condotto con modalità tali (cioè con l'adozione di contromisure che consentono di mantenere l'anonimato in rete) da rendere pressoché impossibile l'identificazione dell'autore; in questo senso, sono utilizzati account aperti con generalità fittizie o sottratte e connessioni riferibili a Stati rispetto ai quali impossibili o ardui sono gli accertamenti su base documentale. Conseguentemente, unica concreta possibilità- che, in effetti, è sistematicamente seguita- è quella di “tracciare” le somme di denaro piuttosto della traccia informatica (header o proprietà della mail) che generalmente porta all'estero e che pertanto consente con maggiore difficoltà di risalire al soggetto che ha creato l'account da cui è partita la mail. È necessario accertare dall'istituto di credito competente la titolarità del conto ove risulta trasferita la somma e il luogo ove il conto è stato aperto, in quanto, per forza di cose, deve trattarsi di soggetto normalmente identificato con certezza e non infrequentemente reperibile.

Può avere un senso distinguere le condotte “preliminari” rispetto al pagamento da quelle successive. L'inserimento di un virus attraverso una e-mail nel sistema di comunicazione di un soggetto terzo idoneo a captare le comunicazioni di tale sistema integra l'ipotesi di cui all'art. 615-ter c.p. (accesso abusivo) 617-quater -quinquies c.p. (intercettazione fraudolente tra comunicazione di sistema telematico e installazione di apparecchiature idonee a tale fine) e 640-ter c.p. (frode informatica, derivante dall'intervento senza diritto a fine di profitto su un sistema informatico/telematico). Intervento che “finisce” la fase attiva della condotta, determinando l'atto di disposizione patrimoniale.

Resta da chiarire - e si tratta del problema di maggiore momento, anche in chiave sanzionatoria - in che termini debba essere qualificata la condotta del soggetto che risulta formalmente titolare del conto, unico a essere certo di essere identificato.

La valutazione della condotta di tale soggetto può essere analizzata in astratto o in concreto; una scelta destinata a portare a conseguenza diametralmente opposte.

Laddove emergano in fase di indagine elementi probatori (di qualsiasi natura, siano essi dichiarativi come oggettivi) indicativi di una partecipazione ab origine del titolare del conto all'organizzazione e realizzazione delle condotte funzionali a determinare l'atto di disposizione patrimoniale, lo stesso concorrerà in tali delitticon i soggetti - normalmente non identificati e non identificabili - che possono avere in concreti attuato tali condotte (e ovviamente ne risponderà a fortiori laddove abbia direttamente svolto un ruolo nelle stesse).

La prassi giudiziaria, nondimeno, è sistematicamente indicativa di una realtà socio-criminale totalmente differente. Le somme derivanti dall'attività sopra descritta sono accreditate su conti di soggetti che, in linea di massima, presentano una serie di caratteristiche comuni:

• privi di competenza informatiche specifiche e rispetto ai quali atti di perquisizione non portano a rinvenire elementi di conferma di un ruolo attivo nella attività di phishing e quindi nelle tecniche “man in the middle”.
• condizioni economico/finanziarie disagiate e disponibilità, pertanto, ad accettare rischi a fronte di facili guadagni
• dichiarazioni, a fronte di contestazioni, mai diretta ad ammettere partecipazione nella condotte “informatiche” , ma sempre e solo caratterizzata da una “offerta” di disponibilità del proprio conto (ovviamente a titolo gratuito) rispetto a soggetti (ma compiutamente identificati) che necessitavano temporaneamente e occasionalmente di un conto di appoggio.

Il punto è che - spesso - almeno i primi due aspetti sopra descritti sono presentati e risultano dagli atti in termini sostanzialmente attendibili, o quantomeno non confutabili. Logico corollario di tale assunto deve essere individuato nella necessità di qualificare, rebus sic stantibus - la condotta del titolare del conto ai sensi come riciclaggio, ex art. 648-bis c.p.; norma che sanziona la condotta di chi: «Fuori dei casi di concorso nel reato, chi, al fine di procurare a sé o ad altri un profitto, acquista, riceve o occulta denaro o cose provenienti da un qualsiasi delitto, o comunque s'intromette nel farle acquistare, ricevere o occultare».

Le indicazioni della S.C. in tema di riciclaggio sono assolutamente sintoniche- in termini generali- con tale impostazione. In questo senso Cass., sez. II, n. 46319/2016, ha stabilito che «integra il delitto di riciclaggio la condotta di colui che, pur completamente estraneo alla compagine societaria, consenta che sul proprio conto corrente sia fatto defluire il danaro frutto dello svuotamento delle casse di una società ad opera dell'amministratore, e ciò indipendentemente dalla tracciabilità dell'operazione». Una prospettiva ermeneutica che si sta affermando anche in relazione al delitto di autoriciclaggio, conuna modifica di pregressa linea interpretativa; per Cass., Sez. V, n. 5719/2019, la S.C., chiamata a pronunciarsi nell'ambito di un giudizio cautelare, ha affermato il principio secondo cui il mero trasferimento di denaro di provenienza delittuosa da un conto corrente bancario a un altro, diversamente intestato e acceso presso un altro istituto di credito, integra il delitto di autoriciclaggio ex art. 648-ter.1 c.p.

Da queste indicazioni emerge un'indicazione assolutamente chiara. Il "valore aggiunto" in chiave criminale del fatto di mettere a disposizione un conto in prima battuta, non solo per un trasferimento successivo di una somma di provenienza illecita, quanto all'atto della prima disponibilità della stessa, è fondamentale rispetto alla volontà di “procurare a sé o ad altri un profitto” illecito.

La “disponibilità del conto è attività assolutamente idonea e sufficiente per impedire un collegamento diretto tra i reati presupposto e la disponibilità della somma ottenuta a mezzi di questi ultimi, e proprio il passaggio attraverso il conto del soggetto “terzo” rispetto ai reati presupposto consente, con il successivo prelievo in contanti (o con trasferimento su conti, meglio se allocati in altri Stati) di conseguire concretamente i profitti illeciti dei reati in oggetto.

Inoltre, sul piano della valutazione dell'elemento soggettivo, recentemente la S.C. ha precisato che per essere ritenuti responsabili del reato di riciclaggio è sufficiente il dolo generico (Cass., sez II, n. 29920, 3 luglio 2018); una vicenda nell'ambito della quale l'imputato, titolare di conti correnti bancari, sui quali erano riversate somme di denaro, provenienti da attività delittuose, gestite da altri soggetti, consegnava le stesse agli effettivi titolari, proprio per rendere più gravosa l'identificazione della provenienza delittuosa delle stesse.

Decisive al riguardo alcune recenti indicazioni della S.C.; per Cass. pen., Sez II, n. 56633/2018, nel delitto di riciclaggio, come nel delitto di ricettazione, l'elemento soggettivo può essere integrato anche dal dolo eventuale quando l'agente si rappresenta la concreta possibilità, accettandone il rischio, della provenienza delittuosa del denaro ricevuto e investito. Integra di per sé un autonomo atto di riciclaggio, essendo il reato di cui all'articolo 648-bis c.p.. a forma libera e potenzialmente a consumazione prolungata, attuabile anche con modalità frammentarie e progressive, qualsiasi prelievo o trasferimento di fondi successivo a precedenti versamenti, ed anche il mero trasferimento di denaro di provenienza delittuosa da un conto corrente bancario a un altro diversamente intestato, e acceso presso un differente istituto di credito.

Un principio facilmente trasponibile alle vicende in oggetto rispetto alle quali si può ritenere integrato un quadro di “dolo eventuale” a fronte della ricezione (con, normalmente, immediato conseguente prelievo o trasferimento) delle somme pervenute nelle circostanze sopra analizzate, considerando:

• gli importi delle somme pervenute sui conti
• l'assenza di rapporti pregressi certi e solidi con i soggetti indicati quali apparenti “danti causa” dei versamenti
• la scarsa verosimiglianza della giustificazione di utilizzo del proprio conto da parte di terzi (considerata l' assoluta semplicità- ormai – delle formalità per aprire autonomamente con conto).

• L'attacco man in the middle consente agli autori della condotta illecita di determinare un pagamento on line a favore di un soggetto estraneo rispetto al rapporto commerciale con l'autore del pagamento
• Ove sia provata una partecipazione del beneficiario della somma all'attività di “intromissione“ nelle comunicazioni lo stesso potrà rispondere, tra l'altro, di concorso in frode informatica; in caso contrario, potrà rispondere del delitto di riciclaggio

M.T. Giordano, Le frodi man-in-the-middle, truffe informatico-finanziarie che provocano danni da migliaia di euro alle aziende, in repmag.it

S. Bonfante, Quella incerta linea di confine tra il phishing e il riciclaggio, nota a Cass. pen., Sez. II, 9 febbraio 2017, n. 10060;

A. Perduca - F. Brizzi, Riciclaggio, reimpiego e autoriciclagio, in Diritto penale dell'impresa, Giuffré, Milano, 2017, I, 431 ss