Da Wired.it :
L’inchiesta della polizia postale ha svelato un traffico di informazioni delicate rivendute a call center truffaldini per piazzare contratti di telefonia quando c’era un disservizio
State leggendo questo articolo e, all’improvviso, la connessione salta. Scoprite che è un problema tecnico, lo segnalate al vostro operatore, aspettate la manutenzione. E nel frattempo arriva una chiamata. È un call center che vi propone di cambiare gestore con un’offerta appetibile. Il disservizio persiste, perché no? Sembra quasi che dall’altra parte del telefono ci sia la provvidenza. Sembra quasi fatto apposta. E, come emerge da un’indagine della Procura di Roma, in alcuni casi è stato fatto proprio apposta. Un’operazione condotta dagli investigatori specializzati del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) della Polizia postale, denominata Open Data, con la collaborazione dei compartimenti di Napoli, Perugia, Ancona e Roma, ha scoperto un traffico di dati di clienti delle compagnie telefoniche.
Fino a 1,2 milioni di record sono passati di mano tra dipendenti infedeli, che sfruttavano la loro posizione per consultare archivi riservati, un gruppo di intermediari e una rete di almeno tredici call center, per lo più in Campania, che sfruttavano questi pacchetti per chiamare i clienti al momento giusto e spingerli a stipulare i contratti con un’altra compagnia. Dati comprati a 3,4 centesimi a numero di telefono a fronte di commissioni per la portabilità fino a 400 euro ad abbonamento.
Sono tredici le persone finite agli arresti domiciliari, sette le ordinanze di obbligo di dimora, più sei indagati, in un’operazione che ha coinvolto 120 uomini della Postale, impegnati in perquisizioni locali e informatiche. Gli addebiti mossi a vario titolo dai pubblici ministeri Maria Teresa Gerace ed Edmondo De Gregorio sono per accesso abusivo a sistema informatico, detenzione abusiva e diffusione di codici di accesso. Inoltre, per la prima volta in Italia dall’entrata in vigore del regolamento europeo sulla privacy, il Gdpr, viene contestato l’articolo 167-bis, che colpisce chi diffonde in maniera illecita dati personali oggetto di trattamento su larga scala, quindi conservati in grandi archivi come quelli munti dagli indagati.
Strani account nei database
Quello che emerge dall’indagine, partita da una denuncia di Tim (che ha subito proceduto con misure disciplinari nei confronti del personale coinvolto e si costituirà parte civile nel processo), è una “filiera”, ricostruisce a Wired Ivano Gabrielli, responsabile del Cnaipic, che parte dai dipendenti infedeli, “i minatori che estraevano i dati”, passa dai “commerciali” fino “agli utilizzatori finali, i call center”. Un sistema che prevede forniture costanti nel tempo: migliaia di record al mese, con cui alimentare la macchina del marketing selvaggio via telefono. Per Tim, i fatti “rappresentano da tempo un fenomeno grave che arreca danni significativi non solo al gruppo ma all’intero settore delle telecomunicazioni, alterando le regole della libera concorrenza”.
All’ex monopolista di Stato spetta la manutenzione della rete nazionale. E di conseguenza anche la gestione della banca dati nella quale vanno inserite le segnalazioni di disservizi e le richieste di intervento. “È una grande foto della situazione della rete”, dice Gabrielli, a cui possono accedere i vari operatori. Se sto facendo una telefonata e la linea salta, in quel database arriva l’informazione. Un’argomentazione forte per spingere un cliente a cambiare operatore. “Nel gergo usato dagli indagati si parla di scontenti, un bacino di potenziali utenti in portabilità”, chiosa Gabrielli.
Così è dal database di Tim che muove i primi passi l’indagine, dopo una denuncia della compagnia stessa depositata un anno fa alla Procura della Repubblica di Roma e la collaborazione alle indagini, creando anche degli ordini di lavoro fittizi per seguire il flusso dei dati.
Tra gennaio e agosto 2019 l’ex monopolista di Stato scopre alcune anomalie negli accessi alla piattaforma Tim Retail, dove sono custodite informazioni dei suoi cliente e contatti su reclami, segnalazioni guasti e richieste di servizi. Provengono da alcuni account di un partner della compagnia telefonica, in verità adoperati tutti dallo stesso dipendente infedele, che si collega anche di notte e con una virtual private network. Per la procura, fa parte del “medesimo disegno criminoso”, che è “volto alla commercializzazione dei dati estrapolati”.
L’indagine porta a galla anche l’uso di software creati per mungere in automatico migliaia di record dai database. Un account, che in media effettuava 11 interrogazioni al giorno, tra il 25 ottobre e il 7 novembre passa a macinarne circa 3.770 in 24 ore. Un’impennata che, unita all’alta attività notturna, fa sospettare il ricorso a bot, come poi emerge in un’intercettazione, in cui uno degli indagati riferisce di aver commissionato un software ad hoc per 1.500 euro, poi pagato un terzo.
Lo smercio dei dati
Per passare i dati degli “scontenti” agli intermediari, che poi avrebbero bussato alle porte dei call center per vendere liste su misure, l’escamotage era di copiarli in bozze in una casella di posta elettronica, a cui potevano accedere gli interessati, senza inviare alcun messaggio.
Dalle intercettazioni emerge che la fornitura di dati non è saltuaria, ma regolare e su base mensile. In un caso due degli indagati commentano la quantità di record inviati: sono 70mila al mese, finora ne sono stati consegnati 45mila. Bisogna fare i conti, ma l’acquirente rassicura: se ne arrivassero di più, si scala dal mese successivo. A fine gennaio parte un sollecito: sono stati forniti solo 64mila numeri di telefono, ne mancano seimila per chiudere il mese. Il fornitore lo rassicura: tempo dieci minuti e glieli manda, li ha già pronti.
I dati vengono ordinati come pizze al ristorante. In un’intercettazione si ricorda un ordine di 20mila Fastweb residenziali e 20mila Tim. In un’altra si cercano numeri Vodafone o Wind business mobile. La disponibilità di credenziali dei diversi operatori consente ai minatori di estrarre i numeri a richiesta, visto che ciascun operatore può vedere nel database solo la situazione dei propri abbonati. In uno scambio di battute, uno degli indagati rassicura: hanno la password nuova, “stiamo a posto altri 4/5 mesi”.
Soddisfatti o rimborsati?
Ovviamente, non sempre la pesca dà i risultati sperati. In una conversazione viene a galla che dei 70mila record forniti, solo 13mila sono buoni per le chiamate commerciali. Altre volte i call center si lamentano di doppioni (1.200 su 1.500 in un caso). O di dati vecchi: chiamano per sfruttare il disservizio, ma il cliente manco se lo ricorda. È successo tempo fa e ha già cambiato operatore. Quando il tempismo è perfetto, però, i frutti si vedono: un call center racconta di essere riuscito a chiudere contratti sul 30% dei record ricevuti. In un altro 43 nominativi diventano 5-6 contratti.
Tutti cercano di lucrare sullo smercio di dati, che “più passano di mano in mano, più perdono valore”, riconosce Gabrielli. In un’intercettazione uno degli indagati chiede altri numeri, nonostante ne abbia appena ricevuti 55mila. Ma questi, spiega, li tiene per sé, mentre cerca un’infornata per un cliente.
La rete di call center si concentra per lo più in Campania, ma nelle intercettazioni si menzionano anche attività in Albania. E oltre alla telefonia l’attività si allarga anche al settore dell’energia. A fine 2019 gli indagati si muovono per mettere le mano le mani sui clienti di Eni e Acea. C’è un tipo che conosce un tipo che ha la lista. Successivamente nel mirino finiscono gli utenti di Enel e Iberdrola (tutte le società, telefoniche e di energia, sono estranee ai fatti).
Ma quanto valgono quei numeri? Centesimi. Centomila record vengono quantificati 3mila euro. Quando gli indagati ragionano di allargare il business all’energia, uno di loro propone di risalire ai numeri di telefono incrociando i codici fiscali, ma gli viene risposto che il gioco non vale la candela: quei dati si possono comprare a 3 centesimi. Vengono rivenduti a un prezzo più alto. In un caso un intermediario e un call center discutono del costo dei record: 4 euro a numero di telefono o 40 euro a contratto stipulato. Alla fine vince la prima offerta. In altri casi è il tipo di abbonamento a fare la differenza. La fibra, ça va sans dire, è più cara: se per un impianto normale i dati si vendono a 20 euro, per la fibra fino a casa bisogna sborsare dieci euro in più.
Potrebbe interessarti anche