Cibercriminalità: Indagini internazionali di MPC e fedpol portano a una condanna per Realtime-Phishing in Inghilterra

Nel luglio 2022, il Ministero pubblico della Confederazione (MPC) ha avviato un procedimento penale contro ignoti per sospetto abuso di un impianto per l’elaborazione di dati (art. 147, cpv. 1, in combinato disposto con il cpv. 2 del Codice penale, CP) in relazione a una vasta serie di phishing. In precedenza, diverse procure cantonali avevano già avviato vari procedimenti concernenti circa 30 casi nello stesso contesto; successivamente, il MPC li ha ripresi e riuniti in un’unica procedura. Nell'agosto 2023, in seguito all'identificazione dello sviluppatore e distributore del kit di phishing, il procedimento penale è stato esteso nei confronti di questa persona.

Realtime-Phishing su larga scala

Da maggio 2022 a settembre 2022, un autore sconosciuto ha creato e utilizzato numerose pagine di accesso al portale e-banking falsificate (pagine di phishing) di diverse banche svizzere. Per farlo, ha utilizzando un cosiddetto kit di phishing. I clienti bancari sono stati truffati poiché, effettuando una ricerca su Google, venivano reindirizzati alle pagine di phishing pubblicizzate come annunci e tramite queste pagine di phishing tentavano di accedere al loro presunto conto e-banking. In questo processo, le credenziali di accesso venivano intercettate in background, consentendo all’autore del reato di accedere ai conti e-banking delle vittime e di attivare l'autenticazione a due fattori. Le vittime, convinte di trovarsi sul vero sito web della loro banca, inserivano nella pagina di phishing il codice di autenticazione per il login ricevuto via SMS. Anche questo codice veniva intercettato dall’autore del reato, permettendogli di accedere con successo al conto e-banking delle vittime e di registrare un dispositivo aggiuntivo per l’autenticazione a due fattori. In seguito, gli autori potevano accedere ai conti delle vittime senza ulteriori interventi da parte loro e eseguire transazioni senza il loro consenso. Il danno finanziario nel procedimento penale svizzero ammonta a circa 2,4 milioni di franchi svizzeri.

Cooperazione efficace con il Regno Unito, Europol ed Eurojust

Grazie alle approfondite indagini condotte dal MPC e da fedpol, un cittadino britannico è stato localizzato e identificato come sviluppatore e distributore del kit di phishing. La conseguente stretta collaborazione del MPC e di fedpol con Europol, Eurojust e le autorità giudiziarie britanniche ha permesso di arrestare e di assicurare l’individuo alla giustizia nel Regno Unito. Poiché le autorità britanniche stavano già conducendo un procedimento analogo contro questa persona, su richiesta del MPC hanno assunto il procedimento penale svizzero, perseguendolo in via sostitutiva nel Regno Unito. Il MPC ha successivamente archiviato il suo procedimento penale. Il 23 Iuglio 2025 l’imputato è stato condannato per i suoi reati a una pena detentiva di sette anni (Comunicato stampa del Crown Prosecution Service). Questo successo dimostra l’importanza e l’efficacia della cooperazione internazionale nella lotta contro la cibercriminalità, fenomeno in costante aumento.

Testo originale del comunicato stampa in tedesco.