È degli ultimi giorni la notizia del maxi blitz delle forze dell’ordine contro una banda con base tra Giugliano in Campania e Napoli. L’operazione, l’ennesima contro il fenomeno del cybercrime, ha portato a 11 arresti, di cui dieci in carcere e una persona agli arresti domiciliari, con accuse di vario titolo: associazione per delinquere, truffa, ricettazione e indebito utilizzo e falsificazione di strumenti di pagamento.
Secondo le indagini il gruppo criminale operava con la tecnica dello spoofing, ovvero la falsificazione dei numeri di telefono degli istituti bancari per ingannare le vittime, che venivano contattate per false operazioni urgenti. L’episodio, l’ennesimo, si colloca nella lunga lista delle truffe informatiche che in modo capillare avvengono tramite la rete, ai danni di soggetti che arrivano a fidarsi degli interlocutori che si spacciano per rassicuranti professionisti interessati a mettere in sicurezza i loro risparmi, oppure spasimanti interessati a una relazione amorosa i cui contorni, si vedrà, si rivelano inquietanti.
Nella maggior parte dei casi le vittime accuratamente selezionate dai cybercriminali sono le persone anziane, in quanto non abbastanza alfabetizzate sul mondo digitale e sui rischi della rete.
Gli 11 arresti in Campania
All’alba di martedì 7 ottobre i militari della compagnia di San Giugliano in Campania hanno condotto un’operazione coordinata dalla Procura della Repubblica di Napoli Nord, un blitz mirato all’arresto di almeno 11 persone accusate, a vario titolo, di truffa, associazione per delinquere, ricettazione e indebito utilizzo e falsificazione di strumenti di pagamento.
Il presunto gruppo criminale avrebbe posto in atto la frode del finto operatore bancario nota come spoofing, aggirando persone con il falso intento di mettere in sicurezza i loro conti. Il gruppo acquistava i dati delle loro vittime nel dark web, poi inviava ai malcapitati messaggi con link che indirizzavano gli utenti a siti falsi di istituti bancari. Messaggi, questi, che comunicavano improbabili tentativi di pagamento. Le persone che cadevano nella trappola cliccavano su quei link fraudolenti e venivano contattate dai truffatori, che si presentavano come impiegati bancari assumendo un tono rassicurante per catturare la fiducia dell’interlocutore.
La truffa continuava quando le vittime venivano convinte a spostare i loro risparmi, spesso tramite bonifici i cui destinatari erano dei prestanome. Incassato il denaro, il gruppo acquistava elettrodomestici pregiati presso Leroy Merlin (l’azienda, va detto, era ignara del raggiro) che venivano poi rivenduti a ricettatori. Gli inquirenti hanno contato, per il momento, almeno ventidue vittime residenti in territori che si spingono fino al Casertano. I soggetti colpiti dallo spoofing erano per lo più persone anziane, spaventate da quell’improvviso avviso di pagamento e rassicurate, quindi, dai truffatori che facilmente ponevano in essere il raggiro.
Spoofing, romance scam, phishing: cosa sono
I denominatori comuni sono sempre due: il furto di identità e la truffa, dunque il guadagno tramite illecito. I gruppi criminali, come nel recente caso in Campania, si muovono sotto le mentite spoglie di operatori qualificati o di persone affidabili – bisognose di aiuto, innamorate, autorevoli e altre vesti di inesistente attendibilità – per convincere i loro interlocutori di essere in buone mani, quindi passano allo step successivo per appropriarsi dei loro risparmi.
Lo spoofing si manifesta quando il truffatore si spaccia per un host e contatta la vittima direttamente sulla messaggistica della sua utenza personale (smishing), invitandola a intervenire tempestivamente a risolvere un problema. Il romance scam, come la denominazione suggerisce, riguarda le cosiddette truffe romantiche: la vittima viene contattata generalmente sui social network da utenti fittizi, che si presentano con foto profilo rubate dalla rete o create con l’AI e instaurano con loro un rapporto di fiducia ed empatia. Conquistato il cuore della vittima, lo scammer fa leva sui suoi sentimenti e avanza richieste di denaro giocando varie carte, dai problemi di salute a malattie dei figli, improbabili conti bloccati e problemi legali, il tutto con un’insistenza ai limiti del mobbing e dello stalking.
Il phishing si verifica generalmente con contatti meno diretti: le vittime vengono raggiunte generalmente sulla posta elettronica da improbabili istituti bancari ma anche da finte aziende sanitarie, agenti di servizi mai richiesti e nel peggiore dei casi da finti avvocati e finti agenti di polizia. Nel testo viene chiesto all’utente di cliccare su un link per accedere a un servizio o risolvere un problema. Le conseguenze sono cosa nota.
Come agiscono i cybercriminali
Man In The Middle e Man In The Browser
Il ministero delle Imprese e del Made in Italy ha pubblicato un rapporto del 2016 dell’avvocato Fabio di Resta, specializzato in Cybersecurity e protezione dei dati personali nonché docente universitario, che elenca le modalità con cui i cybercriminali operano sulla rete per commettere i loro illeciti.
Oltre alle modalità che abbiamo già riportato, Di Resta indica anche la strategia del Man In The Middle (MITM) e del Man In The Browser (MITB). L’esperto scrive:
Infine, solo per citare i più diffusi ci sono le tecniche di Man In The Middle (MITM) o Man In The Browser (MITB), con la prima il truffatore durante la sessione di lavoro sul PC si insinua nel canale di comunicazione tra l’utente e l’istituto di credito, riuscendo a carpire le credenziali di autenticazione dell’utente e compiendo azioni dispositive di denaro su conti correnti di terzi, nel MITB l’azione illegale compiuta è molto simile all’altro ma sfrutta la debolezza del browser.
In questi casi, quindi, l’attacco avviene per intercettazione: il truffatore si insinua in un contatto tra due utenti per ottenere le informazioni che gli servono per mettere in pratica il suo illecito.
Le scam cities
Questa realtà meriterebbe un capitolo a parte, ma cercheremo di essere sintetici. Le scam cities altro non sono che quartier generali delle truffe online. Nel febbraio 2025 circa “settemila persone” – secondo la premier thailandese Paetongtarn Shinawatra – sono state liberate dalle cosiddette “città dello scam” in Myanmar nel contesto di un’operazione nata per smantellare le roccaforti della truffa anche in Laos e Cambogia.
Al loro interno vivono i dog, persone sfruttate e addestrate per spremere i conti dei pig (i maiali, ovvero le vittime). Secondo un reportage pubblicato il 24 aprile 2025 da Repubblica da un’inchiesta condotta nella città di Shwe Kokko, al confine con la Thailandia, i cosiddetti cyber schiavi vengono obbligati a vestire i panni di “una dolce cinesina che finge di essere in cerca di affetto” che poi “ti consiglia di aprire un conto condiviso e giocare con le criptovalute” tramite un conto condiviso sul quale i pig riversano ingenuamente i loro risparmi.
Due esempi di romance scam e sextortion
Nel 2024 la Procura di Savona ha iscritto nel registro degli indagati sette persone accusate, a vario titolo, di aver perpetrato una truffa romantica a una donna ligure. Il gruppo si presentava sui social con la falsa identità di un giovane francese piacente che, contattata la donna sul profilo privato, dopo aver conquistato la sua fiducia e avere ottenuto confidenze avrebbe avanzato richieste di denaro con varie giustificazioni.
La vittima avrebbe dunque assecondato le richieste ma in seguito, fiutato il raggiro, avrebbe interrotto i contatti. A quel punto i truffatori, sempre dietro la falsa identità del ragazzo francese, avrebbero minacciato la donna di diffondere in rete alcune foto intime che la riguardavano. Scrive Il Messaggero:
Gli investigatori della Polizia Postale di Savona hanno accertato che nell’arco di un anno è transitato sui conti correnti in uso al sodalizio criminale oltre un milione di euro, denaro trasferito per essere monetizzato in Costa d’Avorio, Etiopia, Burkina Faso, e anche in Stati europei: Francia, Belgio, Austria e Cipro.
Un altro esempio arriva dall’Africa. Il 26 settembre l’Interpol con la collaborazione del Regno Unito ha scovato una pericolosa rete criminale dedita alle truffe romantiche, con un totale di 260 arresti in almeno 14 Paesi dell’Africa. Le vittime colpite sono state almeno 1400 tra Ghana, Kenya e Angola. Secondo gli investigatori la banda avrebbe posto in atto il classico sistema usato per la romance scam: gli utenti social, soprattutto persone anziane, venivano contattate da profili fake con audaci corteggiamenti messi in atto, come sempre, per conquistare la fiducia dell’interlocutore. Un copione ben noto ma che continua a far parte della realtà nonostante i ripetuti appelli delle autorità e degli esperti.
Cybercrime e legge italiana: a che punto siamo
Come si muove la legge italiana contro la cybercriminalità? Agenda digitale indica due articoli, il 494 del codice penale e il 640-ter. L’articolo 494 individua il reato di sostituzione di persona:
Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno.
E i cybercriminali, infatti, agiscono sempre dietro le mentite spoglie di impiegati qualificati, operatori, persone comuni e autorità. Sui social, inoltre, sono soliti creare profili fittizi usando immagini di profilo di altre persone ignare, a volte famose.
L’articolo 640-ter individua il reato di frode informatica e punisce “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico (…) procura a sé o ad altri un ingiusto profitto con altrui danno“. Il reato si estende anche a condotte in cui “il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti”.
Come difendersi dal cybercrime
In primo luogo da sempre gli istituti di credito, le compagnie telefoniche e più in generale tutte le aziende che erogano i servizi più comuni (forniture gas, elettricità, acqua) ci ricordano che i loro operatori non chiedono mai i dati sensibili ai loro clienti via telefono, né inviano mail o sms urgenti con l’invito a cliccare su link sospetti per risolvere un problema. Di fronte a questi tentativi è sempre opportuno chiudere la conversazione o ignorare il messaggio.
In secondo luogo è sempre prezioso evitare qualsiasi confidenza con persone che ci contattano improvvisamente sui social, anche se si rivolgono a noi con parole gentili, se dimostrano empatia e comprensione e se hanno un aspetto gradevole. L’invio di nostre foto private, dei nostri dati e la totale condivisione della nostra vita privata sono gli strumenti utili ai truffatori per ricattarci.
In terzo luogo è sempre consigliato dotare i propri dispositivi – smartphone, tablet, PC – di sistemi di protezione antimalware e antivirus che proteggono il sistema dalle trappole che si celano dietro i link che i truffatori ci inviano.
Infine, e non per minore importanza, è sempre importante non sentirsi sbagliatƏ quando si subisce un raggiro di qualsiasi tipo, sia questo uno spoofing o una truffa romantica: bisogna, piuttosto, parlarne con i propri affetti e denunciare.
Fonti
- L. Sforza (2025). Maxi blitz: sgominata banda dello “spoofing”, ci sono 11 arresti. eCaserta.
- Redazione (2025). Truffe con lo spoofing, 11 arresti tra Napoli e provincia. Ansa.
- D. Sautto (2025). Soldi sottratti agli anziani con lo «spoofing» e poi spesi da Leroy Merlin, 11 arresti tra Napoli e Giugliano: «Se ci prendono truffe anche dal carcere». Corriere della Sera.
- F. di Resta (2016). L’evoluzione del furto di identità digitale dal phishing alla sim swap fraud: analisi dei profili di responsabilità degli istituti di credito. Ministero delle Imprese e del Made in Italy.
- M. Bulaj, T. Guzman (2025). Scam city, le città delle truffe. Repubblica.
- G. Modolo (2025). Myanmar, migliaia di schiavi liberati dalle città delle truffe online. Repubblica.
- F. Coin (2025). Scam, tra mercato della truffa e solitudine. Il Manifesto.
- Redazione (2025). Vishing: cos’è, come funziona e come difendersi. Repubblica
- Redazione (2024). Truffe romantiche, il sexy ragazzo francese poi la richiesta di soldi e i ricatti: raggiro da un milione di euro. Il Messaggero
- W. Muia, N. Booty (2025). Mass arrests for sextortion and romance scams in sting operation across Africa. BBC.
