Gennaro Andele

NoiPA è il sistema stipendiale per la Pubblica Amministrazione gestito dal ministero dell’Economia e delle Finanze: ma è anche un portale a tutto tondo per gestire il trattamento economico e giuridico del personale centrale e periferico della PA e per i connessi adempimenti previdenziali e fiscali.

Per i dipendenti pubblici, NoiPA è il sito dove gestire cedolini e verificare, tra le altre cose, lo stato dei pagamenti.

Oggi, se un dipendente pubblico cambia banca e ha necessità di fornire il nuovo Iban per l’accredito dello stipendio, deve farlo direttamente online sul portale. Ed è proprio qui che avrebbe avuto origine l’attacco informatico.

Grazie a migliaia di mail di phishing (le classiche mail esca che – travestite da mail istituzionali – chiedono la modifica di dati personali), alcuni utenti avrebbero dato in pasto a un gruppo di hacker tutte le informazioni per accedere al portale NoiPA, comprese quelle che consentono di cambiare il numero di telefono e l’Iban su cui accreditare le spettanze.

In questo caso, il cambio del numero di telefono è determinante, perché nella procedura di cambio Iban, l’utente deve effettuare una chiamata di sicurezza dal numero di telefono impostato nel sistema, così da verificare la sua identità.

Una chiamata di sicurezza che viene gestita da sistemi informatici (la chiamata viene chiusa dopo uno squillo, senza alcuna risposta).

Secondo quanto riferito dalla Polizia Postale il 20 dicembre, la tecnica malevola ha coinvolto alcuni utenti (il numero non è stato reso noto).

E non è un caso che già dal 19 dicembre, proprio su NoiPA sia comparso un avviso abbastanza sospetto: Temporanea indisponibilità del self service “Gestione modalità di riscossione”.

Gli utenti coinvolti non hanno ricevuto tredicesima e stipendio di dicembre sul proprio conto bancario.

Ad oggi, la modifica dell’Iban sul portale non è consentita, e può essere effettuata solo tramite gli uffici territoriali (recandosi di persona).

Il vero guaio per chi è stato colpito da questo attacco informatico, però, potrebbe arrivare adesso: recuperare il maltolto non sarà così semplice.

Mentre sul fatto indaga la Procura di Roma, infatti, non è da escludere l’ipotesi che le persone truffate non verranno mai rimborsate.

Le vittime di phishing, infatti, consegnano in mani altrui le proprie chiavi di accesso, delle quali sono responsabili in prima persona.

E la storia di questa frode racconta che molti enti si sono rifiutati di rimborsare gli utenti.

Una delle truffe più ricorrenti riguarda i possessori di PostePay, che a causa di sms e mail truffa arrivati da indirizzi molto simili a quelli ufficiali, consegnao i dati di accesso ai cybercriminali che prontamente prosciugano il credito presente.

Una truffa della quale l’ente erogatore (in questo cado Poste) non risponde, non avendo responsabilità dirette. In Rete ci sono interi forum dedicati a queste vicende.

La faccenda di NoiPA è più complessa, anche se poggia le sue fondamenta sulle stesse modalità di esecuzione.

La Procura di Roma sta esaminando gli Iban sui quali sono stati accreditati inopportunamente stipendi e tredicesime, per provare a rintracciare il gruppo criminale dietro a questa truffa di Natale.

Sarà una lunga storia.

Per visualizzare l'intera discussione, completa di domanda e risposta, clicca qui.