La polizia olandese porta a casa un arresto che fotografa l’evoluzione del phishing nel 2026: non più campagne artigianali, ma piattaforme vendute come servizio e progettate per aggirare proprio la barriera che molte persone considerano “definitiva”, cioè la MFA. Nello stesso perimetro temporale, un’altra storia corre parallela e colpisce in modo diverso: la compromissione di un fornitore, Conduent, apre una finestra su un rischio che molte aziende non riescono ancora a chiudere, quello della supply chain dei dati, con informazioni sensibili di clienti Volvo Group North America finite esposte dopo un incidente che si estende tra ottobre 2024 e gennaio 2025. Le due vicende non sono collegate tecnicamente, ma sono collegate nella sostanza. Da un lato c’è l’industrializzazione dell’inganno, con bot e script che “fanno la voce” del servizio e trasformano l’OTP in una password da consegnare al criminale in tempo reale. Dall’altro c’è la fragilità delle catene di outsourcing, dove un fornitore che gestisce processi e piattaforme diventa un punto di concentrazione per dati estremamente sensibili. In mezzo, sempre lo stesso bersaglio: identità digitale, accesso, fiducia.
JokerOTP: l’arresto nei Paesi Bassi e il modello phishing-as-a-service
Le autorità nei Paesi Bassi arrestano un 21enne di Dordrecht, indicato come venditore di accessi a JokerOTP, una piattaforma che automatizza attacchi di phishing mirati alla raccolta di codici OTP e altri dati di autenticazione. L’indagine dura tre anni e arriva dopo uno smantellamento che, secondo la ricostruzione, culmina ad aprile 2025 con la chiusura della piattaforma e con l’arresto del principale sviluppatore. La filiera continua a essere colpita nel tempo: ad agosto 2025 arriva l’arresto di un co-sviluppatore associato agli alias “spit” e “defone123”. Il messaggio operativo è chiaro: l’obiettivo non è solo interrompere il “sito”, ma spezzare la catena commerciale che rende questi strumenti acquistabili e replicabili. Il passaggio più rilevante è il ruolo del venditore. In un ecosistema PhaaS, la differenza tra un criminale “capace” e un criminale “attivo” si riduce al pagamento di una licenza e alla disponibilità di una lista di target. JokerOTP, in questa logica, democratizza la frode: non serve competenza avanzata, serve una sottoscrizione, un canale di vendita e una procedura standardizzata.
Come JokerOTP cattura i codici MFA: l’OTP diventa una password “a tempo”
JokerOTP funziona perché sfrutta una contraddizione psicologica: l’utente sa che l’OTP è sensibile, ma crede di doverlo comunicare “per proteggersi”. Lo schema tipico si accende quando il criminale possiede già credenziali rubate o trapelate. Avvia un login, provoca l’invio di un OTP via SMS, email o app authenticator, e in quel momento entra in gioco il bot o l’operatore che contatta la vittima con una chiamata che simula un alert di sicurezza. La vittima riceve un messaggio di urgenza, sente un “supporto” che parla di accessi non autorizzati e, nel tentativo di bloccare l’intrusione, consegna proprio il codice che la piattaforma sta aspettando. In pratica, la MFA non viene “bucata” tecnicamente: viene girata contro la vittima con un inganno costruito per operare in sincronia con la finestra di validità del codice. È qui che JokerOTP mostra la sua potenza: automatizza i tempi e le frasi, riduce gli errori e aumenta la probabilità che la vittima consegni il dato giusto al momento giusto.
Servizi colpiti e impatto economico: frodi su piattaforme di pagamento e crypto
Il quadro attribuito a JokerOTP include target ad alta monetizzazione e ad alta probabilità di “conversione” in denaro: servizi come PayPal, Venmo, Coinbase, Amazon e Apple. L’elemento più duro è la scala: vengono citati oltre 28.000 attacchi in 13 paesi, con perdite economiche che superano 9.170.000 euro. In questo tipo di frode, la perdita non è solo il trasferimento di fondi, ma l’effetto cascata: account hijacking, accessi bloccati per i legittimi proprietari, possibilità di usare account compromessi per ulteriori acquisti e per riciclare credenziali in altre campagne. L’arresto nei Paesi Bassi è un punto di pressione sulla filiera, ma la storia che racconta è più ampia: l’OTP, usato da anni come “pavimento” di sicurezza, perde affidabilità se l’utente viene spinto a trattarlo come un dato da comunicare. E quando la frode diventa un servizio, l’utente non affronta più un truffatore “improvvisato”, ma un sistema che testa script, ottimizza conversioni, misura risultati e replica.
🔴 OSSERVATORIO INTELLIGENCE: LIVE
Il secondo fronte: Conduent compromessa e dati di clienti Volvo esposti
Mentre la polizia olandese colpisce un pezzo del mercato PhaaS, un’altra crisi si consuma sul terreno della gestione dati. Conduent, fornitore di servizi e piattaforme BPO, subisce una compromissione collocata tra ottobre 2024 e gennaio 2025. L’effetto, per quanto ricostruito, coinvolge quasi 17.000 clienti di Volvo Group North America, con esposizione di dati che vanno ben oltre l’anagrafica. Tra le informazioni esposte compaiono nomi, Social Security Number, date di nascita, numeri ID, dettagli collegati a polizze sanitarie e perfino informazioni mediche. È una classe di dati che cambia completamente lo scenario: non si tratta di un leak “fastidioso”, ma di materiale utilizzabile per furto d’identità, frodi finanziarie, e in alcuni casi abusi legati alla sfera sanitaria, dove la persistenza del rischio può durare anni.
Conduent notifica per conto di Volvo e offre un anno di protezione: cosa significa davvero
La notifica ai clienti avviene tramite Conduent per conto di Volvo e include la disponibilità di monitoraggio identità gratuito per un anno. Viene indicato che non emerge, al momento, un uso improprio dei dati. Questo tipo di formula è comune nelle comunicazioni di incident response: serve a ridurre l’impatto immediato e a offrire un percorso minimo di mitigazione, ma non azzera il rischio. Quando esce un SSN insieme a data di nascita e informazioni identificative, l’esposizione resta strutturale: non si cambia un SSN come si cambia una password. Il contesto geografico e industriale conta anche per evitare confusione. Volvo Group North America opera tra USA, Canada e Messico e produce veicoli commerciali e attrezzature pesanti. È una realtà distinta da Volvo Cars. Questa distinzione non è un dettaglio: nel rumore mediatico dei breach, i brand vengono spesso fusi e l’effetto è una percezione distorta del perimetro reale.
Un pattern che torna: breach supply chain e precedenti esposizioni legate a fornitori
La vicenda Conduent si inserisce in un pattern ricorrente, quello degli incidenti che colpiscono un’organizzazione attraverso un fornitore. Nel racconto emergono anche riferimenti a un ulteriore incidente che coinvolge Volvo in agosto 2025 tramite un fornitore, con esposizione di dati staff. È la fotografia del rischio moderno: il dato non vive “in un posto”, vive in una rete di contratti, piattaforme, processi esternalizzati e accessi integrati. Quando la supply chain viene compromessa, spesso non si buca l’azienda “finale” con un exploit diretto: si colpisce il punto dove si accumulano volumi, privilegi e processi standardizzati. Il risultato è una superficie d’attacco più ampia e, soprattutto, una difficoltà maggiore nel controllo: l’organizzazione dipende da ciò che il fornitore fa, misura e notifica.
Cosa cambia per utenti e aziende: la sicurezza non è più solo password e OTP
Le due storie, lette insieme, spingono verso una conclusione operativa: la sicurezza non è più un check di compliance, è una disciplina di comportamento e di architettura. JokerOTP mostra che la MFA basata su OTP resta vulnerabile quando l’utente viene manipolato in tempo reale, soprattutto con chiamate e messaggi che simulano assistenza ufficiale. Conduent mostra che anche quando l’utente “fa tutto giusto”, un incidente lato fornitore può esporre dati che abilitano frodi e furto d’identità senza bisogno di rubare password. Per il mondo consumer, il punto di frizione più importante è semplice e spesso ignorato: un OTP non si comunica mai. Non a un operatore, non a un call center, non a una voce registrata, non a un numero che chiama “per la tua sicurezza”. Se arriva una chiamata inattesa che chiede codici, la verifica deve passare da canali ufficiali, iniziata dall’utente e non da chi chiama. Per il mondo enterprise, invece, l’impatto è nella governance dei fornitori: la gestione del rischio non si ferma al perimetro interno, perché i dati vivono in ecosistemi esterni che vanno misurati, auditati e vincolati contrattualmente. Il segnale più chiaro di questi casi è la direzione: automazione del phishing e centralizzazione dei dati presso terze parti aumentano la scala del danno. La risposta non è una singola misura, ma un salto di maturità: protezioni più robuste contro il social engineering, e un modello di controllo della supply chain che tratti i fornitori come estensione del perimetro.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
