Percorso 5 - Innovazione La rapina in banca che doveva essere da un miliardo di dollari

La rapina in banca è un genere di storia che cattura l'attenzione, come dimostra il nutrito filone cinematografico sul tema, o il successo recente della serie Netflix spagnola La casa di carta. E se all'immagine della rapina in banca è facile associare una squadra di persone incappucciate che irrompono in una filiale, è meno immediato pensare che uno dei furti più grandi mai tentati, e in parte riusciti, sia stato digitale. Il 4 febbraio del 2016 un gruppo di hacker - mai identificato con certezza, ma probabilmente legati alla Corea del Nord - si infiltrò nella Banca del Bangladesh a Dhaka per rubare 951 milioni di dollari dal suo conto presso la Federal Reserve di New York, uno dei principali snodi globali per le transazioni internazionali da parte delle banche centrali di tutto il mondo. Il furto era stato pianificato per più di un anno e avrebbe potuto diventare il più grande mai eseguito, non fosse stato per due minuscoli errori commessi dagli hacker.

Il piano degli hacker era molto semplice: dopo aver ottenuto accesso ai sistemi informatici della  Banca del Bangladesh, la banca centrale del popoloso paese asiatico, avrebbero fatto partire dei bonifici per trasferire circa un miliardo di dollari dal conto della Federal Reserve verso altri conti correnti privati. Per prima cosa, quindi, gli hacker avrebbero dovuto accedere ai sistemi della Banca del Bangladesh, e ci erano riusciti con un trucco comune e banale. Avevano mandato a diversi dipendenti della banca una mail apparentemente innocua che conteneva una candidatura per un posto di lavoro e invitava a scaricare un curriculum. Almeno uno dei destinatari aveva aperto la mail e scaricato l'allegato, che conteneva però anche un malware con il quale, a poco a poco, gli hacker avevano ottenuto accesso a tutto il resto della rete informatica della banca.

Circa un anno dopo, intorno alle ore 20 di giovedì 4 febbraio 2016, i bonifici cominciarono ad essere eseguiti. Gli ordini di pagamento furono diverse decine e cominciarono ad essere approvati dalla Federal Reserve mentre in Bangladesh era la notte tra giovedì e venerdì, complicando ogni tentativo di comunicazione diretta tra i dipendenti delle due banche. Venerdì, inoltre, in Bangladesh è giorno di riposo dal lavoro (l'equivalente della nostra domenica) e gli hacker si erano quindi assicurati un giorno intero di tempo per completare la rapina. 

Alla Banca del Bangladesh, i primi sospetti che qualcosa fosse successo si formarono sabato mattina, alla riapertura degli uffici, quando il direttore della banca si rese conto che la stampante del server Swift, in funzione costante per registrare tutte le richieste di pagamento, non aveva stampato nessuna conferma di pagamento nel giorno precedente, una cosa molto strana. Nel tentativo di stampare manualmente i rapporti, il computer Swift indicava un errore critico di sistema che impediva ogni operazione: gli hacker erano riusciti a bloccare la stampante, in modo che non fornisse indicazioni sui bonifici in corso. 

Le conferme delle transazioni sospette divennero disponibili solo il giorno successivo a sistema ripristinato, quando però era la Fed di New York ad essere era chiusa per il fine settimana: gli hacker avevano pianificato con attenzione il momento giusto per la rapina, in modo da rendere più complicato ogni tentativo di fermarla. Il direttore della banca centrale chiese aiuto ad un'agenzia esperta in sistemi informatici, nella speranza che parte dei fondi sottratti fosse ancora recuperabile: ma diversi milioni di dollari ormai erano stati spostati tra conti correnti in giro per il mondo in modo da rendere più complicata ogni indagine.  

Lunedì 8 febbraio fu chiaro che mancavano 101 milioni di dollari dai conti della Banca del Bangladesh. Venti milioni erano stati inviati in Sri Lanka, sul conto della Pan Asia Bank intestato alla ong agricola Shalika Foundation, mentre gli altri 81 milioni erano stati trasferiti a quattro diversi conti della filiale di Jupiter Street della Rizal Commercial Banking Corporation di Makati City, non lontano da Manila. Il pagamento non venne autorizzato immediatamente, dato che le due banche non facevano parte della rete Fedwire, un servizio della Fed che permette alle banche aderenti di automatizzare i pagamenti. I venti milioni diretti alla Pan Asia Bank furono reindirizzati a Deutsche Bank, che aveva dei rapporti commerciali con la banca, e gli 81 milioni diretti alla banca Rizal furono processati tramite Wells Fargo, Citibank e New York Mellon, che avevano rapporti con la banca filippina. 

A bloccare l'invio degli altri 840 milioni di dollari e impedire che il conto della Banca del Bangladesh fosse completamente svuotato erano stati due piccolissimi errori commessi dagli hacker. La parola "Jupiter", la stessa del nome della filiale della banca Rizal, compariva su una lista di aziende sanzionate per aver cercato di evadere le sanzioni applicate contro l'Iran. La banca di Manila non aveva niente a che vedere con l'azienda sanzionata, ma la coincidenza fu abbastanza per far scattare degli avvisi automatici sui sistemi della Fed e spingere al blocco di ulteriori pagamenti. Altri pagamenti che erano invece indirizzati alla Shalika Foundation contenevano un refuso nel nome del destinatario ("Fundation" al posto di "Foundation") e questo portò alla sospensione di altri pagamenti.

L'8 febbraio la Banca del Bangladesh cominciò a chiedere il blocco e lo storno dei pagamenti effettuati, e il congelamento nel caso in cui fossero già stati trasferiti i fondi. Fu possibile recuperare i venti milioni inviati alla Pan Asia Bank, ma non fu possibile bloccare subito i fondi inviati a Manila: quel lunedì, infatti, nelle Filippine si festeggiava il Capodanno cinese, giorno in cui le banche sono chiuse in tutto il paese. Alla riapertura degli uffici, dai conti della filiale di Jupiter Street erano già stati prelevati 58,15 milioni di dollari. Il giorno successivo, il 9 febbraio, sui conti restavano solo circa 68 mila dollari.

BBC ha ricostruito con una recente indagine cosa sia successo ai soldi che non sono mai stati recuperati. Nei giorni successivi alla rapina, dopo che i soldi rubati erano stati spostati su altri conti, convertiti in valuta locale e depositati nuovamente a Manila, circa 50 milioni di dollari furono prelevati nuovamente e depositati su due conti di gioco in due casinò della città. Qui, grazie alle poco stringenti leggi antiriciclaggio filippine, gli hacker ebbero tempo di rendere ancora più complicato il percorso dei soldi rubati. Insieme a dei complici avevano preso in affitto delle sale da gioco: i fondi rubati furono usati in partite al casinò che venivano vinte dai complici dei ladri, che potevano quindi poi dire di aver acquisito legalmente quelle grosse somme, per portarle fuori dal paese.

La ricostruzione degli investigatori su cosa sia successo ai soldi rubati a questo punto diventa più complicata. Le indagini hanno portato all'arresto di una delle persone coinvolte nelle finte partite al casinò e al recupero di 16 milioni di dollari; gli altri 34 sono probabilmente stati trasferiti a Macao, un territorio cinese a statuto speciale - come Hong Kong - sede di molti casinò e istituti finanziari. Da Macao provenivano diverse delle persone coinvolte nelle partite al casinò, così come due società che avevano affittato le sale da gioco a Manila. Macao, inoltre, ha stretti rapporti con la Corea del Nord, il paese dove secondo gli investigatori sono finiti i soldi mai recuperati.  

Nonostante siano state condotte ricerche e indagini in Bangladesh e nelle Filippine con il coinvolgimento degli Stati Uniti, non è stato possibile dimostrare con certezza chi fossero gli hacker responsabili dell'elaborato furto. Una serie di dettagli legati al malware impiegato per accedere alla Banca del Bangladesh, però, ha portato l'FBI a ipotizzare che dietro il colpo ci sia stato il Lazarus Group, un'organizzazione di hacker in contatto diretto con la Corea del Nord, che ha trovato nelle banche dei paesi in via di sviluppo un anello debole da sfruttare nella catena finanziaria globale. Le ipotesi raccolte da Bloomberg fanno riferimento a tre diversi gruppi di hacker, almeno uno dei quali potrebbe avere avuto a che fare con l'attacco a Sony avvenuto nel 2014, attribuito dal governo statunitense alla Corea del Nord.