Un call center per la truffa Immaginate un motore di ricerca all’indirizzo www.mistralreport.com — facile da usare come Google — per entrare negli archivi dell’Inps e dell’ex Inpdap e chiedere tutti i nostri dati previdenziali cercandoli per nome e cognome. Vi serve Mario Rossi magari per proporgli un investimento o perché vantate con lui un credito?
Eccolo: dati, informazioni personali, contributi, livello di reddito. Tutto a portata di clic. Avete dei dubbi? Basta alzare il telefono e chiamare tanto di call center con ben dieci persone dedicate. Per quanto possa apparire incredibile, fino a poche ore fa il «google dell’Inps» era online grazie a una truffa tutto meno che artigianale architettata secondo la Procura di Roma da Mario Posca e Teresa Signorello, vicesindaco di Girifalco, ambedue agli arresti domiciliari da giovedì. Il danno è enorme: con le visure fatte tra il 2 gennaio 2012 e il 29 luglio 2013 sono stati schedati «centinaia di migliaia di italiani» come racconta una fonte investigativa.
Nelle mani dei magistrati ci sono ora 4 terabyte di dati, una quantità di informazioni imbarazzante.
Per l’Inps che, come si legge sul sito, è diventato negli anni «il pilastro del sistema nazionale del welfare», sia privato che pubblico, è un terremoto: dopo aver investito milioni di euro per costruire una banca dati informatizzata e un bunker a Roma a prova teorica di hacker, la società guidata da Antonio Mastrapasqua è risultata un colabrodo senza i normali standard di sicurezza: gli accessi avvenivano infatti con l’utilizzo di regolari utenze e password di patronati conniventi. Ma troppi accessi con le stesse credenziali, tutti fatti da soli due indirizzi Ip (i codici che permettono di risalire ai computer) e anche in orari improbabili, avrebbero dovuto mettere in allerta molto prima. Il caso dà forza a chi, nel dibattito in corso a livello governativo su una banca dati centralizzata con un’unica password per i cittadini, argomenta che i dati degli italiani non sono di proprietà delle singole istituzioni ma dello Stato. La parcellizzazione dei dati non sembra garanzia di maggiore protezione.
Il fatto sconcertante è che tutto avveniva con regolari fatture, società registrate, siti in chiaro sul web. Il meccanismo era talmente sotto gli occhi di tutti che la polizia postale e delle comunicazioni, guidata da Antonio Apruzzese, nelle perquisizioni e sequestri disposti dal sostituto procuratore della Repubblica, Eugenio Albamonte, ha trovato fatture per 20 milioni e una cassa da 80 mila euro relativa solo ai servizi «erogati» nelle ultime settimane. Un conto della Mistral Finanziamenti srl presso la banca di Credito Cooperativo di Montepaone numero IT96N0812642930000000051991 era addirittura segnalato sul sito. Il portale girava su Aruba, uno dei più noti servizi di web hosting in Italia. E lo stesso Posca aveva anche un profilo LinkedIn dove risultava la sua carriera all’interno della Mistral e della Network Finance spa, società collegata alla prima.
Per diventare clienti di Posca & co. era sufficiente navigare sul sito dove veniva pubblicizzato e commercializzato il servizio di accesso alle banche dati Inps ed ex Inpdap. Anzi, come si legge nell’ordinanza di misure cautelari personali firmata dal giudice Alessandrina Tudino del Tribunale di Roma «lo stesso Posca offriva personalmente ad istituti finanziari ed agenzie di recupero crediti il servizio». Procedure come minimo in chiara violazione della privacy. I pacchetti prepagati andavano da un minimo di 242 euro ad un massimo di 3.025, con un vero e proprio tariffario in base al tipo di prestazione richiesta.
In effetti, comincia solo ora la seconda parte delle indagini per valutare le responsabilità delle società che si sono avvalse di questi «servizi». Le indagini, come ricostruisce il vice questore aggiunto e direttore del Cnaipic (la centrale anti-crimini informatici della Postale), Ivano Gabrielli, erano cominciate da molto tempo partendo da una soffiata di un pesce piccolo che, catturato circa un anno fa, aveva parlato di «una sorta di google della posizione previdenziale degli italiani». In un secondo momento, ad indagini già avviate, erano arrivati gli allarmi anche da parte di alti dirigenti dell’Inps. Fino alla conclusione di queste ore con l’oscuramento del sito. «È probabilmente la prima sistematica truffa nazionale ai danni dei dati previdenziali degli italiani», sintetizza Gabrielli. La speranza è che possa servire per evitare la seconda.
Massimo Sideri – Corriere della Sera – 30 novembre 2013