NEWS

Tim, dipendenti infedeli vendevano dati personali dei clienti ai call center, 13 arresti

Decine di migliaia di euro spartiti tra gli operatori infedeli ed i collettori-rivenditori dei dati. Ecco il volume di affari scoperto dalla Polizia Postale e delle Comunicazioni, con il coordinamento della Procura di Roma, nell'ambito della fase conclusiva dell'operazione Data Room. Di assoluto livello criminale la mole dei proventi, come emerge da più di una conversazione nella quale alcuni indagati discutono dei corrispettivi, mettendosi d'accordo sulla ripartizione degli incassi illeciti del mese. L'attività di commercializzazione delle liste di utenti e i relativi recapiti, riguardava anche i sistemi informatici in uso a gestori operanti nel settore dell'energia, un filone dell'indagine in corso di ulteriore approfondimento.

Dipendenti Tim vendevano a call center i dati dei clienti, perquisizioni e arresti

Le indagini sono state portate avanti dagli specialisti del Servizio Polizia Postale e delle Comunicazioni che hanno svolto intercettazioni telefoniche e pedinato gli indagati, analizzato i sistemi informatici delle piattaforme contenenti i dati, analisi rese possibili anche grazie alla collaborazione della struttura di sicurezza aziendale di Telecom Italia.

È la prima operazione su larga scala per la tutela dei dati personali trafugati, un fenomeno noto a tutti che vede coinvolti dipendenti infedeli, call center compiacenti ed intermediari e che ha quale oggetto ciò che sul mercato ha assunto un significativo valore commerciale: i dati riservati relativi all'utenza. Per l'esecuzione dei provvedimenti restrittivi e di perquisizione, per l'attività informativa, il Cnaipic (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) ha coordinato un team di specialisti in collaborazione con i compartimenti della polizia Postale di Roma, Napoli, Perugia ed Ancona.

Impiegati 100 specialisti della polizia Postale per i 20 provvedimenti cautelari, 13 ordinanze di arresti domiciliari e 7 di obbligo di dimora nel comune di residenza. Notificate anche ordinanze che stabiliscono per altri indagati il divieto di aprire imprese o ricoprire incarichi direttivi: nei loro uffici ci sono state perquisizioni anche informatiche. Gli indagati sono responsabili, a vario titolo ed in concorso tra loro, della violazione aggravata dei reati di accesso abusivo a sistema informatico e di detenzione abusiva e diffusione di codici di accesso, e della violazione della legge sulla privacy e diffusione illecita di dati personali oggetto di trattamento su larga scala.

Tra gli arrestati ci sono dipendenti infedeli di compagnie telefoniche, (i procacciatori materiali dei "preziosi" dati), gli intermediari che si occupavano di gestire il commercio delle informazioni estratte dalle banche dati, e i titolari di call center telefonici, che sfruttavano le informazioni per contattare potenziali clienti e lucrare le commissioni per ogni portabilità, che arrivano fino a 400 euro per ogni nuovo contratto stipulato.

A carico degli indagati, nel corso delle indagini, sono stati acquisiti "concreti e inequivocabili elementi probatori" riguardo ai ripetuti accessi abusivi alle data room in uso ai gestori telefonici operanti sul territorio nazionale e gestite direttamente da Tim, contenenti gli ordini di lavoro di delivery e i reclami di assurance provenienti dalle segnalazioni dell'utenza relativamente ai disservizi della rete di telecomunicazioni.

L'inchiesta è stata avviata nel mese di febbraio scorso dal Cnaipic, su delega della Procura di Roma, a seguito di una denuncia depositata da parte di Telecom Italia, nella quale si segnalavano vari accessi abusivi ai sistemi informatici gestiti da Tim, riscontrati almeno a partire dal gennaio 2019.

Gli accessi abusivi avvenivano tramite account o virtual desktop in uso ai dipendenti di gestori di servizi di telefonia e di società partner per l'accesso ai database, chiavi spesso carpite in modo fraudolento, direttamente gestiti dalla stessa società denunciante, in ragione della concessione delle attività di manutenzione della infrastruttura telefonica nazionale. Le banche dati vengono alimentate da tutti i gestori telefonici in relazione alle segnalazioni ricevute dai clienti sui disservizi, rappresentando oltretutto una vera e propria istantanea delle condizioni della infrastruttura nazionale di telecomunicazioni.

La "filiera criminale", all´interno della quale ogni componente aveva un compito specifico, funzionale al raggiungimento dell'obiettivo finale, aveva predisposto addirittura degli "automi", grazie alla collaborazione di un esperto programmatore romano, anch'esso colpito da misura cautelare, ossia dei software programmati per effettuare continue, giornaliere interrogazioni ed estrazione di dati.

Le estrazioni, per come verificato nel corso delle intercettazioni, venivano sistematicamente portate avanti con un volume medio di centinaia di migliaia di record al mese. Gli indagati gestivano tali volumi modulandoli a seconda della illecita "domanda" di mercato, come emerge ad esempio da una conversazione nella quale uno degli indagati chiede a un dipendente infedele una integrazione di 15.000 record per arrivare ai 70.000 pattuiti per il mese in corso, preannunciando un ulteriore ordine per 60.000 utenze mobili.

Le informazioni estratte dal database, divenivano quindi oggetto di un illecito mercimonio, in quanto particolarmente appetibili per le società di vendita di contratti da remoto che cercano per l'appunto di intercettare la clientela più "vulnerabile", a causa di problemi o disservizi, per proporre quindi il cambio del proprio operatore telefonico.

Il complesso "sistema" vedeva da un lato una serie di tecnici infedeli in grado di procacciare i dati, dall'altro una vera e propria rete commerciale che ruotava attorno alla figura di un imprenditore campano, acquirente della "merce" ed a sua volta in grado di estrarre "in proprio", anche con l'utilizzo di software di automazione, grosse quantità di informazioni, in virtù di credenziali illecitamente carpite a dipendenti ignari. La "merce" veniva poi piazzata sul mercato dei call center, 13 sono quelli già individuati, tutti in area campana, ed oggetto di altrettante attività di perquisizione.

I dati stessi, adeguatamente "puliti" per essere utilizzati dai diversi call center, passavano di mano in mano, rivenduti a prezzi ridotti in base alla "freschezza" del dato stesso, motore di un movimento che alimenta il fenomeno delle continue proposte commerciali che tutti ben conoscono. Di assoluto livello criminale la mole dei proventi, come emerge da più di una una conversazione nella quale alcuni indagati discutono dei corrispettivi, frutto dell´attività illecita, pattuendo la ripartizione dei proventi illeciti del mese, per decine di migliaia di euro da spartirsi tra gli operatori infedeli ed i collettori/rivenditori dei dati.

Le indagini tecniche hanno fatto anche emergere come l'attività di commercializzazione di liste di utenti e relativi recapiti, riguardasse anche i sistemi informatici in uso a gestori operanti nel settore dell´energia, in corso di ulteriore approfondimento.

Si tratta della prima operazione su larga scala volta alla tutela dei dati personali trafugati, un fenomeno noto a tutti che vede coinvolti dipendenti infedeli, call center compiacenti ed intermediari e che ha quale oggetto ciò che sul mercato ha assunto un significativo valore commerciale: i dati riservati relativi all'utenza.

Tim esprime "il più vivo ringraziamento" all'autorità giudiziaria e alla polizia "per aver portato a termine con successo l'indagine relativa alla divulgazione e commercio abusivo di dati anagrafici e numeri telefonici della clientela". Grazie ai provvedimenti adottati dal Gip del tribunale di Roma, si legge in una nota della compagnia, "si chiude oggi una vicenda grave che proprio Tim aveva denunciato alla procura della Repubblica di Roma un anno fa, a seguito di una accurata indagine interna". A seguito dei provvedimenti decisi dalla magistratura, Tim ricorda di aver "subito proceduto con misure disciplinari nei confronti del personale coinvolto" e annuncia l'intenzione di costituirsi "parte civile nel processo in quanto parte lesa".

Fonte: La Repubblica

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Cybersecurity, attacchi cresciuti del 91,5% nel settore dei servizi on line e del cloud
Next Ransomware, l'Università della California paga riscatto da oltre un milione di dollari

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy