Carissimi, vi rendo partecipi di un tentativo di truffa (facilmente identificabile ma potenzialmente pericoloso) che mi è capitato nei giorni scorsi.
Lo scorso giovedì il mio ufficio HR riceve una email apparentemente dal mio Nome Cognome ma da un account fasullo (______@alice.it) con il seguente testo:
I nomi eran corretti, il testo non perfetto dal punto di vista dell'italiano, e la mail contrassegnata dai sistemi aziendali come "proveniente dall'esterno".Codice:Ciao <nome della collega> Spero che tu stia bene, al momento ho cambiato la mia banca e modificato i dettagli del mio conto stipendio. Questa modifica può avere effetto prima della data di pagamento corrente? Saluti Marco Inzaghi
Ovviamente la collega si è subito accorta e ha girato a me ed al responsabile IT il messaggio per le opportune considerazioni.
La mail arrivava da un account italiano, inviata tramite webmail con indirizzo IP panamense (probabile VPN).
Decidiamo di fare da "honeypot" e provare ad andare avanti: la collega risponde chiedendo il nuovo IBAN e un documento di identità - temevo potessero avere i miei documenti.
Dopo un paio di giorni viene fornito un IBAN italiano - di primario istituto bancario italiano - millantato a mio nome e nessun documento in allegato.
Nota tecnica: un bonifico in ingresso va a buon fine anche se il nome dell'intestatario non coincide. La normativa SEPA prevede la sola verifica dell'IBAN.
A successiva richiesta di un documento, viene inviato un "certificato di conto corrente" chiaramente falso, utilizzando il logo dell'istituto, che certifica che tale CC è a mio nome. La lingua italiana qui è ancora più maltrattata, inoltre in tutta la conversazione non compare il mio nome completo, dettaglio che tengo solo per le comunicazioni formali, ma che è fondamentale in quanto compare nel codice fiscale.
Racconto la storia con "leggerezza" perché nulla è successo, ho chiesto (informalmente in filiale) una verifica se il conto fosse a mio nome (chiedendo solo SI/NO) e non lo è, quindi non si configura furto di identità.
In accordo con il ns.legale aziendale ho inoltrato comunicazione via PEC all'istituto bancario per le opportune considerazioni - in quanto tale conto è probabilmente utilizzato in modo seriale per questo tipo di attività.
Ho pensato di condividere l'accaduto per sensibilizzare tutti su questi possibili raggiri, e magari se siete dipendenti verificare internamente se le procedure di cambio IBAN sono sufficientemente robuste.
Inoltre per scrupolo aggiuntivo ho chiesto a CRIF la visura gratuita su tutte le posizioni creditizie aperte a mio nome: vi invito a farlo se sospettate qualche possibile furto di identità ed apertura linee di credito a vostro nome.