Pathé perde 19 milioni di Euro da una truffa via e-mail

Storie come questa sarebbero difficili da credere, se non fosse che capitano più spesso di quanto si pensi. Le aziende coinvolte però preferiscono non dare mai risalto alla truffa subita, a causa delle ovvie ripercussioni di immagine.

In questo caso la storia è diventata di pubblico dominio attraverso una causa di lavoro intentata da un dipendente licenziato. Ma vediamo come si sono svolti i fatti.

Pathé è l’azienda che ha contribuito a creare il cinema come lo conosciamo oggi. Fondata nel 1896, è stata la prima azienda a gestire tutto il processo produttivo di un film, dalla creazione della pellicola alla distribuzione. Con sede in Francia, nel 2017 ha fatturato 903 milioni di Euro e ha 111 cinema multisala in Francia, Svizzera, Belgio e Paesi Bassi.

Ed è proprio nei Paesi Bassi che si è consumata la truffa che ha portato l’azienda a perdere ben 19.244.304,00 Euro a causa di un cosiddetto “CEO fraud“.

I fatti, come riportati nella causa per licenziamento di una delle persone coinvolte, iniziano l’8 marzo di quest’anno, quando la General Manager della filiale olandese, identificata dalla testata Quote500 come Dertje Meijer, riceve la seguente e-mail da un indirizzo apparentemente compatibile (e quindi scambiato per vero) con quello del CEO della casa madre francese:

Hi,
Have you been contacted by Mr. [nome oscurato] from KPMG this morning?
Regards,
[nome del CEO francese]
Sent from my Smartphone

La General Manager olandese si consulta con il suo Chief Financial Officer (il dipendente che alla fine della storia ha intentato la causa per ingiusto licenziamento) identificato da Quote500 come Edwin Slutter, ma lui non sa nulla della mail.

Seguono alcuni scambi di e-mail per capire cosa stesse succedendo. Né la General Manager né il Financial Officer olandesi avevano di norma contatti diretti con il CEO francese, quindi presumibilmente questo è il motivo per cui nessuno ha pensato di alzare il telefono e chiamarlo per avere maggiori dettagli.

Durante gli scambi e-mail il “CEO francese” (le virgolette sono d’obbligo) comunica quanto segue alla filiale olandese. Il grassetto l’ho aggiunto io:

We are currently carrying out a financial transaction regarding the acquisition of a foreign corporation based in Dubai.
The transaction must remain strictly confidential. No one else must be made aware of it for now in order to give us an advantage over our competitors.
I and I alone will notify the affected parties in due time.
Please contact Mr [nome oscurato] from KPMG immediately via email ( [indirizzo e-mail] (…)) to obtain the opposing party’s banking information in order to proceed with the transfer of the first installment in the amount of 826,521 EUROS (same day value).
(File REF#26770 is required in the email).
As a security measure for this type of confidential transaction, we must communicate solely via my personal email so that our discussions remain free of any risk of disclosure and to respect the transaction’s norm.
It is imperative that no references be made about this file, either orally or by phone, nor speak of this matter whit third parties. In accordance with the norms of KPMG, my personal email is to be the sole means of communication.

A questo punto, e con il senno di poi, è facile sentire l’odore di truffa. I due dipendenti della filiale olandese però, pur realizzando che l’attività richiesta era fuori del comune, non hanno pensato per un momento di trovarsi all’interno di un raggiro. Il CFO, nella sua causa contro il licenziamento, ha dichiarato che l’azienda non li aveva mai adeguatamente formati per identificare questo genere di truffe.

La General Manager chiede al “CEO francese” di ricevere ulteriori conferme scritte per approvare il trasferimento di fondi, ad esempio una nota scritta da parte del General Manager francese, che assieme al CEO gestisce il quartier generale e finora rimasto fuori dalla discussione. Il giorno dopo la manager olandese riceve una fattura da parte della Towering Stars General Trading LLC con sede a Dubai, contenente al suo interno le firme richieste.

Quindi, dopo aver diligentemente controllato le firme, la filiale olandese trasferisce 826.521 Euro sul conto indicato.

Poiché questa somma iniziale veniva considerata una prima tranche del 10% rispetto al’importo totale, nel corso dei successivi giorni la filiale olandese riceve ulteriori richieste di denaro. Il 13 marzo vengono pagati 2.479.563,00 Euro. Il 16 marzo gli olandesi trasferiscono sul conto della Towering Stars General Trading LLC di Dubai la terza tranche.

Il 19 marzo i truffatori commettono un errore, inserendo un nome errato sotto un’e-mail (quando giostri molte identità diverse è facile commettere errori di questo tipo) ma a quanto pare nessuno ad Amsterdam dà troppo peso alla svista.

Il 20 marzo gli olandesi pagano la quarta tranche. Da notare che con ogni tranche vengono trasferiti milioni di Euro, e poiché la filiale olandese non disponeva di tali risorse liquide, aveva iniziato a chiedere di attingere alla riserva del quartier generale francese. Mantenendo però il riserbo richiesto da quello che loro credono essere il “CEO francese”, indicavano come motivazione “spese in conto capitale (CapEx) e un aumento degli affitti”.

Dopo la quarta tranche i truffatori (oramai li chiamiamo così) fanno capire alla General Manager olandese che serviranno altri soldi. Lei confessa al CFO che credeva di aver finito con i pagamenti, ma nessuno dei due capisce la situazione in cui si trovano, entrambi credono ancora di stare eseguendo le disposizioni del CEO francese in una delicata acquisizione internazionale.

Il 22 marzo gli olandesi ricevono indicazioni che nonostante il prezzo di acquisto sia stato saldato, servono ulteriori 5-9 milioni di Euro per spese di “comunicazione e sviluppo”. Segue prontamente un nuovo bonifico dall’Olanda a Dubai di 5.826.770,00 Euro.

Il 26 marzo i truffatori assicurano che i bonifici precedenti sono stati ricevuti (grazie) ma che servono altri 5.152.354,00 Euro per risolvere una situazione di “differenza di fondi”. Il giorno dopo i solerti amministratori olandesi pagano quanto richiesto.

Il 28 marzo il quartier generale francese (quello vero) chiede alla filiale olandese come mai stesse prelevando così tanti soldi dalle riserve di liquidi della casa madre. Il giorno stesso francesi e olandesi sono finalmente al telefono per parlarne a voce.

Ed è durante quella (credo memorabile) conference call che gli olandesi capiscono di essere stati raggirati.

Il totale dell’importo trasferito a Dubai ammonta a 19.244.304,00 Euro. General Manager e Financial Officer olandesi vengono sospesi il 29 marzo. Dopo un’indagine della casa madre, la General Manager viene licenziata il 13 aprile. Il 16 aprile il Chief Financial Officer va in malattia, ma viene comunque licenziato il 26 aprile.

Il giudice che ha dovuto decidere sul licenziamento del Financial Officer ha deciso che non è possibile il reintegro, ma che Pathé avrebbe dovuto pagargli lo stipendio fino al 1 dicembre 2018.

Dei truffatori che hanno ricevuto 19 milioni di Euro sul loro conto a Dubai al momento non ci sono notizie.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.