Gli uomini del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza ha smantellato una rete di oltre 220 siti web che vendevano al pubblico false polizze assicurative per l’automobile. Complessivamente, la truffa online ha fruttato più di 3 milioni di euro e sono 44 le persone identificate.
È l’esito dell’Operazione ‘Fake Insurance’, coordinata sin dal 2019 dalla Procura della Repubblica di Milano. Un’indagine lunga e articolata, che per la prima volta nel nostro Paese ha preso in considerazione la responsabilità in concorso degli Internet service provider (Isp) e dei colossi del web, ovvero i principali motori di ricerca internazionali.
Abbiamo chiesto al Colonnello Giovanni Reccia, Comandante del Nucleo Speciale Privacy e Frodi Tecnologiche (GdF), in che modo si è giunti a questo risultato, che tipo di reato è ipotizzabile per i provider e perché è fondamentale dare rilievo anche al concomitante reato di violazione della normativa sulla protezione dei dati personali.
Key4biz. Per la prima volta le indagini si sono orientate anche sulla responsabilità in concorso degli Internet Service Provider e dei “colossi del Web, quali le accuse e quali i soggetti in campo?
Col. Giovanni Reccia. C’è una raccomandazione emanata dall’Unione europea nel 2018 in cui si dava l’incombenza agli Internet service provider di eliminare tutti quei contenuti che potevano essere considerati illegali. Una norma, anche più vecchia, del 2003, fa riferimento ad una responsabilità in capo agli stessi provider. Nel caso specifico, l’Ivass, l’Istituto per la vigilanza sulle assicurazioni, organo che autorizza a svolgere attività di assicurativa, aveva già informato alcuni ISP che diversi siti erano illegali.
Sulla base di questa serie di comunicazioni, intervenute tra provider e Ivass, abbiamo ritenuto con Autorità Giudiziaria di Milano, per la prima volta in Italia, che vi possa essere una responsabilità da parte degli ISP che non hanno provveduto a suo tempo a rimuovere i siti in questione.
Key4biz. Cosa avrebbero potuto e dovuto fare ISP e colossi del web per evitare azioni così criminose?
Col. Giovanni Reccia. Avrebbero potuto procedere all’eliminazione dei siti in questione, visto che erano considerati illegali già da parte dell’Ivass. Sostanzialmente si è continuata a perpetrare una truffa nei confronti di cittadini ignari, nel momento in cui un organo di controllo aveva già rilevato l’illegalità delle attività poste in essere online.
Key4biz. Quali potrebbero essere le conseguenze giudiziarie nei confronti di ISP e colossi del web?
Col. Giovanni Reccia. I siti che vendevano le polizze sono stati già oscurati nel 2019. A seguito dei sequestri effettuati i siti web incriminati erano già stati resi inoperativi su internet. Il passo successivo è stata la ricerca e l’individuazione di coloro che erano i responsabili materiali della truffa che abbiamo individuato. Dopo una serie di accertamenti di ordine finanziario sono 44 gli indagati. In relazione al pagamento da parte dei cittadini delle polizze assicurative che avvenivano su Postepay, siamo poi riusciti a risalire a chi erano i soggetti che avevano messo in atto queste truffe. Soggetti che per la maggior parte avevano anche precedenti specifici sempre legati alle truffe informatiche.
Key4biz. Tra i reati si ipotizza anche la violazione alle norme del codice della privacy?
Col. Giovanni Reccia. Un altro passaggio importante dell’investigazione è che molti di questi siti web si appoggiavano su server esteri, situati fuori dal nostro Paese e fuori dall’Europa. I dati personali non sono stati trattati secondo quanto previsto dalla normativa sulla privacy. Sicuramente c’è stato un problema di sicurezza dei dati. Non possiamo escludere quindi che tutta una serie di informazioni relative agli acquirenti delle false polizze assicurative, come dati personali e sensibili, possano essere finite nelle grandi maglie del dark web ed essere poi messe in vendita per un uso illecito di altri criminali.
